Cyberkriminelle nehmen Storage-Infrastrukturen ins Visier

Warum die Speicherinfrastruktur ins Visier nehmen?

Die Cyberkriminalität hat eine neue Phase erreicht: Storage wird zum nächsten Ziel. Angreifer zielen konkret auf die Speicherinfrastruktur ab, weil diese große Mengen hochwertiger Daten enthält – darunter personenbezogene Informationen (PII), geistiges Eigentum, Dateifreigaben, Systemprotokolle, Quellcode, Konfigurationsdateien, Finanzunterlagen, KI-Trainingsdaten und vieles mehr.

Die Speicherinfrastruktur beherbergt zudem Backups und Snapshots, die für Cyberangreifer in Unternehmen zu Hauptzielen geworden sind. Sie wollen Wiederherstellungsmöglichkeiten ausschalten, bevor sie ihre Erpressungskampagnen starten. Zu den gespeicherten Daten können auch Anmeldedaten, Schlüssel für Dienstkonten, Verbindungszeichenfolgen oder andere Zugangsdaten gehören. Das ermöglicht Angreifern, sich lateral durch die Systeme eines Unternehmens zu bewegen und den Wirkungsradius weiter auszudehnen.

Durch Angriffe auf die Speicherinfrastruktur können Hacker ihre Wirkung weitaus effizienter maximieren als bei Angriffen auf einzelne Endpunkte. Sobald sie in ein Speichersystem eingedrungen sind, können sie Ransomware ausrollen, die direkt die Speichersysteme komprommitiert. Sie können Backups zerstören, Daten beschädigen, Daten stehlen oder Informationen und Einstellungen manipulieren. Oft nutzen sie die gestohlenen Anmeldedaten, um sich auf andere verbundene Systeme und Dienste von Drittanbietern auszubreiten.

Ein Angriff auf die Speicherinfrastruktur kann ein Unternehmen auf vielfältige Weise treffen – durch Bußgelder, Produktivitätsverluste, Reputationsschäden, Betriebsstörungen, Umsatzeinbußen, Wiederherstellungskosten, exponierte Daten und Rechtskosten. Angreifer sind besonders an Cloud Storage interessiert, etwa bei Angriffen auf Azure Blob Storage, da diese Plattformen oft enorme Mengen hochwertiger Daten beherbergen.

Trotz dieser Bedrohungen verfügen viele Speichersysteme nicht über umfassende Schutzmaßnahmen und verlassen sich stattdessen auf Endpunkt- und Netzwerksicherheit, um die Daten zu schützen. Ein Speichersystem nutzt etwa gemeinsam genutzte Anmeldedaten oder nicht verwaltete Dienstkonten, setzt keinen Zero-Trust-Ansatz für den Speicherzugriff um, vergibt übermäßige Berechtigungen oder kann keine angemessene Überwachung und Netzwerksegmentierung offerieren.

Speichersysteme sind zudem häufig falsch konfiguriert, besonders in komplexen Hybrid-Cloud-Umgebungen. Das macht sie anfällig für Cyberangreifer, die Schwachstellen im Cloud-Speicher ausnutzen, einschließlich Sicherheitslücken bei Backups.

Angesichts fehlender Schutzmaßnahmen sowie der Menge und Qualität der Daten verlagern Angreifer ihren Fokus zunehmend von Endgeräten auf die Speicherinfrastruktur. Dieser Trend wird durch die wachsende Wirksamkeit von Endgerätesicherheitsplattformen verstärkt, die traditionelle Angriffe auf verwaltete Geräte erschweren. Zudem erkennen Angreifer, wie wichtig es ist, direkt auf die Backups eines Unternehmens abzuzielen und den Speicher als Ausgangspunkt für die Eskalation von Berechtigungen und laterale Bewegung in andere Systeme und Datenspeicher zu nutzen.

Cybersicherheitsrisiken bei der Remote-Arbeit

Wenn Mitarbeiter an externen Standorten arbeiten, greifen sie von außerhalb des internen Unternehmensnetzwerks und der Perimeter-Firewall auf Speicherressourcen zu. Sie verbinden sich von zu Hause, aus Hotelzimmern, Cafés, Flughäfen, über mobile Hotspots oder anderen öffentlichen Orten und nutzen dabei eine Vielzahl von Geräten und Verbindungsprotokollen. Auf Reisen können sie sich von fast jedem Ort der Welt aus verbinden, oft zu jeder Tages- und Nachtzeit.

IT-Teams haben keine Kontrolle über und keinen Einblick in externe Netzwerke, was es schwierig macht, Zugriffsmuster vorherzusagen oder subtile Verhaltensabweichungen zu erkennen. Gleichzeitig weisen Remote-Netzwerke oft schwächere Schutzmaßnahmen auf und werden nicht so sorgfältig implementiert oder gewartet. Ein WLAN-Netzwerk kann etwa mit Standardpasswörtern eingerichtet sein, oder der Router läuft mit ungepatchter Firmware, wodurch das Netzwerk für verschiedene Angriffe anfällig wird, etwa Man-in-the-Middle-Angriffe.

IT-Teams haben zudem nur begrenzte Kontrolle über die Remote-Endpunkte und das Verhalten der Nutzer. Externe Mitarbeiter verwenden möglicherweise persönliche Geräte, denen Unternehmensschutzmaßnahmen wie Data Loss Prevention oder Endpoint Detection and Response (EDR) fehlen. Die Geräte können veraltete oder ungepatchte Software ausführen oder keinen angemessenen Malware-Schutz bieten. Nutzer teilen ihre Geräte manchmal mit anderen Personen, lassen sie ungesperrt liegen oder versäumen es anderweitig, ihre Geräte vor Risiken zu schützen.

Wenn ein Unternehmen Remote-Mitarbeiter unterstützt, wird die Identität zum neuen Perimeter – anstelle von Firewalls und anderen Netzwerkschutzmaßnahmen. Remote-Arbeit stützt sich stark auf Identitäts- und Zugriffsmanagement, Multifaktor-Authentifizierung (MFA), Single Sign-On (SSO) und andere Zugriffstechnologien, um Unternehmensressourcen zu schützen. Wenn eine dieser Maßnahmen kompromittiert wird, könnten Angreifer unbemerkt auf Netzwerkressourcen zugreifen.

Externe Mitarbeiter nutzen zudem verschiedene Zugriffsmechanismen für die Verbindung mit Unternehmensressourcen. Beispielsweise kommen VPNs, Remote-Desktop-Protocol-Sitzungen (RDP) oder Cloud-Speicher-APIs zum Einsatz. Jede dieser Komponenten kann falsch konfiguriert oder veraltet sein und bietet Angreifern zusätzliche Angriffsvektoren für den Fernzugriff.

Darüber hinaus lockern Unternehmen häufig die Zugriffsberechtigungen auf Ressourcen, um mehr Flexibilität und Zusammenarbeit zu ermöglichen und die Produktivität der Remote-Mitarbeiter zu steigern. Nutzer können bei ihren täglichen Abläufen unachtsam werden, etwa indem sie bei der Verbindung mit Ressourcen keine MFA verwenden oder API-Schlüssel auf ihren Computern speichern.

Remote-Arbeit erhöht zudem das Risiko von Schatten-IT. Mitarbeiter nutzen möglicherweise Tools oder Datendienste, die nicht von der IT genehmigt sind, wie das Speichern sensibler Daten in persönlichen Dropbox-Konten oder das Pflegen eigener GitHub-Repositories für proprietären Quellcode. Schatten-IT kann zu fragmentierten und kompromittierten Daten sowie zu unkontrolliertem Datenwachstum führen und IT-Teams die Transparenz vorenthalten, die sie zum Schutz dieser Daten benötigen.

Aus all diesen Gründen sind Remote-Mitarbeiter zu Hauptzielen für den Diebstahl von Anmeldedaten, MFA-Fatigue-Angriffe, OAuth-Missbrauch und andere Bedrohungen geworden. Das erhöht das Risiko von Angriffen auf die Speicherinfrastruktur, was wiederum zu Ransomware gegen Speichersysteme, Diebstahl und Exfiltration von Anmeldedaten sowie anderen Formen der Datenkompromittierung führen kann.

Wie sich ein erfolgreicher Cyberangriff auf ein Unternehmen auswirken kann

Mehr denn je zielen Cyberangreifer auf Schwachstellen in lokalen und Cloud-Speichersystemen ab und nutzen dabei, wo immer möglich, die Cybersicherheitsrisiken der Remote-Arbeit aus. Ein erfolgreicher Angriff kann verheerende Auswirkungen auf die Remote-Arbeit, die Speicherinfrastruktur und das Unternehmen als Ganzes haben:

• Remote-Arbeit. Wenn Speicher aufgrund eines Cyberangriffs nicht mehr verfügbar ist, können Remote-Mitarbeiter nicht mehr auf die benötigten Daten zugreifen, und Anwendungen, die auf diese Daten angewiesen sind, funktionieren nicht mehr ordnungsgemäß. In vielen Fällen kommt die Arbeit vollständig zum Erliegen oder wird stark beeinträchtigt, was zu Produktivitätsverlusten führt und die Erreichung von Geschäftszielen sowie die Umsetzung strategischer Initiativen verhindert. Benutzer müssen sich zudem oft mit der Zurücksetzung von Anmeldedaten, strengeren Zugriffskontrollen und Änderungen an Abläufen auseinandersetzen, verbunden mit der Unsicherheit, ob sie den Daten vertrauen können.
• Speicherinfrastruktur. Ein Angriff auf den Speicher kann zur Verschlüsselung, Beschädigung, Änderung, Löschung oder Exfiltration von Daten führen. Alle in diesem System gespeicherten Daten können kompromittiert werden – einschließlich Backups, Snapshots, Metadaten, Systemeinstellungen und Anmeldedaten. Das Unternehmen kann sich nicht mehr auf die Integrität, Genauigkeit oder Vollständigkeit der Daten verlassen. Die Speicherinfrastruktur kann zudem funktionsunfähig werden oder unter Ressourcenmangel leiden, was zu Systemausfällen führt. In einigen Fällen wird die Firmware des Speicher-Controllers beschädigt. Angreifer können zudem Sicherheits- und Konfigurationseinstellungen stehlen oder ändern, den autorisierten Zugriff verhindern oder die Informationen nutzen, um auf andere Daten oder Systeme zuzugreifen.
• Unternehmen. Ein erfolgreicher Angriff auf die Speicherinfrastruktur kann ein Unternehmen erheblich beeinträchtigen. Allein die finanziellen Auswirkungen können enorm sein. Das Unternehmen kann mit Lösegeldforderungen, Anwaltskosten, Bußgeldern, Kosten für Incident Response und Wiederherstellung, Gebühren für forensische Dienstleistungen und vielem mehr konfrontiert werden. Zudem kann es zu Produktivitätsverlusten, Umsatzeinbußen und einem Rückgang des Marktwerts kommen, während erhebliche Reputationsschäden entstehen, deren Behebung Jahre dauern kann.

Laut dem „Cost of a Data Breach Report 2025“ von IBM beliefen sich die weltweiten Durchschnittskosten einer Datenpanne im Jahr 2025 auf 4,4 Millionen US-Dollar. Das ist ein Rückgang von 9 Prozent gegenüber dem Vorjahr, was IBM auf schnellere Erkennung und Eindämmung zurückführt. Eine Datenpanne auf Unternehmensebene kann jedoch deutlich teurer werden.

Im Mai 2025 wurde Coinbase Opfer eines Cyberangriffs auf seine Kundendaten. Laut einer Pressemitteilung von Coinbase „bestachen und rekrutierten Cyberkriminelle eine Gruppe von betrügerischen Support-Mitarbeitern im Ausland, um Coinbase-Kundendaten zu stehlen und Social-Engineering-Angriffe zu ermöglichen.“ Die Angreifer forderten 20 Millionen US-Dollar Lösegeld, dessen Zahlung das Unternehmen verweigerte. Stattdessen richtete Coinbase einen Belohnungsfonds in Höhe von 20 Millionen US-Dollar für Hinweise ein, die zur Festnahme und Verurteilung der Verantwortlichen führen. Damals wurde vielfach berichtet, dass Coinbase die Kosten des Angriffs auf bis zu 400 Millionen US-Dollar schätzte.

Tools zum Schutz der Speicherinfrastruktur

Ein Unternehmen kann seine Speicherinfrastruktur nur dann vor Cyberbedrohungen schützen, wenn IT- und Sicherheitsteams über die erforderlichen Tools verfügen, um die Daten zu sichern und die Umgebung zu schützen, in der sie sich befinden. Die folgende Tabelle bietet einen Überblick über einige gängige Tools zum Schutz von Daten und Speicherinfrastruktur. Dies ist jedoch nur eine Auswahl der verschiedenen auf dem Markt erhältlichen Produkte. Unternehmen sollten die Tools sorgfältig prüfen und diejenigen auswählen, die für ihre Gegebenheiten und Speicherumgebungen am besten geeignet sind.

Unabhängig von der Tool-Wahl müssen IT- und Sicherheitsteams weiterhin sorgfältig für die Sicherheit ihrer Speichersysteme sorgen – etwa durch die Implementierung von Zero-Trust für den Speicherzugriff, den Schutz vor Fernzugriffs-Angriffsvektoren, das Air-Gapping von Backups und Snapshots sowie die Verschlüsselung von Audit-Protokollen. Zudem sollten sie sicherstellen, dass ihre Speichersicherheit ordnungsgemäß in die übergeordnete Sicherheitsstrategie des Unternehmens integriert ist, um einen konsistenten und umfassenden Schutz zu gewährleisten – unabhängig davon, wo sich die Daten befinden und wie auf sie zugegriffen wird.

Dieser Artikel ist im Original in englischer Sprache auf SearchStorage erschienen.