Fünf Tipps für mehr Sicherheit in der Cloud

Tipp 1: Dokumentieren Sie Ihre Assets in der Cloud

Der frühere US-amerikanische Verteidigungsminister Donald Rumsfeld prägte vor einigen Jahren die Begriffe „bekannte Bekannte“, „bekannte Unbekannte“ und „unbekannte Unbekannte“. Ursprünglich stammen sie von NASA-Forschern, auf die sich Rumsfeld in einer Rede bezog. Auch von Sicherheitsexperten und Geheimdiensten werden sie verwendet.

Wenn es um die Absicherung ihrer in der Cloud gespeicherten Daten geht, müssen Unternehmen genau dokumentieren können, um welche Informationen es sich dabei handelt und wie sie derzeit geschützt werden. Das entspricht den „bekannten Bekannten“.

Für diesen Zweck gibt es zahlreiche geeignete Tools, mit denen IT-Sicherheitsexperten die vorhandenen Ressourcen aufspüren können. Die größte Herausforderung liegt dabei jedoch darin, herauszufinden, welche Ressourcen überhaupt dokumentiert werden müssen. Zusätzlich zu den offensichtlichen Bereichen, wo und unter welchen Umständen zum Beispiel ein Workload läuft, sollten Sie auch die folgenden Informationen zusammentragen:

• Daten über IAM-Nutzer und -Administratoren (Identity and Access Management), um alle Accounts und Rollen zu identifizieren, die mehr Rechte haben, als sie für ihre eigentlichen Aufgaben benötigen,
• alle öffentlichen IP-Adressen, die Sie für Ihre Cloud-Umgebung benötigen, um so bereits frühzeitig gewarnt zu werden, wenn eine davon für nicht autorisierte Zwecke genutzt wird,
• Daten über Beziehungen zwischen den Assets und Ressourcen, um potentielle Angriffsvektoren zu identifizieren sowie
• alle verwendeten Schlüssel und die dazugehörigen Charakteristiken wie etwa das Datum der Erstellung, um diejenigen Schlüssel aufzuspüren, die älter als ein vorgegebenes Ablaufdatum sind.

Tipp 2: Testen, testen und noch mehr testen

Sobald die Cloud-Umgebung eines Unternehmens eingerichtet ist, sollten Sie sich vornehmen, sie auf Herz und Nieren auf Probleme und potentielle Sicherheitslücken zu prüfen. Eine große und wachsende Zahl von Tools steht bereit, um Penetration Tests sowie Scans auf Schwachstellen durchzuführen und um nach fehlerhaften Konfigurationen zu suchen. Manche Lösungen sind zudem geeignet, um Schlüssel und Passwörter aufzuspüren. Mit anderen ist es möglich, selbst eigene APTs (Advanced Persistent Threats) zu entwickeln, die dann für Tests eingesetzt werden können.

Unterm Strich eignen sich alle Tools und Werkzeuge für diese Aufgaben, die auch echte Cyberangreifer gegen das Unternehmen einsetzen würden, wenn es darum geht, die eigene Cloud-Umgebung vor Attacken zu schützen.

Tipp 3: Kontinuierliches Monitoring

Ein konsequentes Monitoring der eigenen Cloud-Umgebung ist heutzutage ebenfalls unverzichtbar. Unternehmen sollten auf alle Konfigurationsänderungen, Fehler bei der Einhaltung der Compliance-Vorgaben sowie verdächtige Änderungen an Dateien oder strukturierten Daten achten.

Wenn diese Kontrollen in Echtzeit erledigt werden, lassen sich Angriffe damit sehr frühzeitig erkennen und bekämpfen. Auch bislang unbekannte Schwachstellen können auf diese Weise schneller entdeckt und behoben werden, indem etwa aktuelle Security-Patches eingespielt werden.

Tipp 4: Nutzen Sie „echte“ Trainingsmöglichkeiten

Trainings unter „echten Bedingungen“ werden immer wichtiger. So gibt es zumindest in den USA mittlerweile Feuerwehren, die extra ein bestehendes Gebäude erwerben, es genauso wie ein typisches Wohn- oder Bürogebäude ausstatten und dann in Brand setzen, um die Bekämpfung von Bränden unter realen Umständen testen zu können.

Die dabei eingesetzten Feuerwehrmänner lernen so, wie sich ein Feuer bei unterschiedlichen Verhältnissen verhält, wo ihre eigenen Schwächen liegen und wie sich der Stress anfühlt, einen echten Brand zu bekämpfen.

Auch für die Cloud wurden Umgebungen und Anwendungen entwickelt, die absichtlich unsicher sind. Sie enthalten zum Beispiel aus Sicherheitssicht eher ungünstige Konfigurationen, die von Angreifern missbraucht werden könnten. Außerdem lassen sie sich in der Regel schnell und ohne großen Aufwand einrichten.

Die Sicherheitsspezialisten im Unternehmen können sie dann nutzen, um zu lernen, wie sie Fehlkonfigurationen und potentielle Sicherheitslücken erkennen und beheben. Solche Umgebungen sollten daher ein Teil aller Trainingsvorgänge in Unternehmen werden, die ihre Cloud-Infrastruktur besser vor Cyberangriffen schützen wollen. Nutzen Sie auch den Spieltrieb Ihrer Mitarbeiter und vergeben Sie Punkte oder Auszeichnungen an die diejenigen, die neue Schwachstellen am schnellsten und effektivsten entdeckt haben.

Tipp 5: Halten Sie sich über neue Bedrohungen auf dem Laufenden

Jedes Unternehmen, das seine IT-Sicherheit ernst nimmt, muss sich kontinuierlich über neue Cyber-Bedrohungen informieren. Dazu gehören zunehmend auch staatlich organisierte Angriffe, die sich immer öfter gegen fremde Cloud-Umgebungen richten.

Sehr hilfreich ist hier das Mitre ATT&CK Framework, das Daten über bekannt gewordene Angriffe sammelt und die dabei verwendeten Techniken und Tricks umfassend analysiert. Außerdem enthält es Ratschläge und konkrete Empfehlungen zur Bekämpfung der Bedrohungen sowie aktuelle Erkenntnisse über das Verhalten und die Aktivitäten zahlreicher Cyberangreifer.

Eine weitere Möglichkeit, sich zu informieren, ist das Abonnieren eines geeigneten Threat-Intelligence-Feeds und die Teilnahme bei auf das Thema IT-Security spezialisierten Organisationen wie der ISACA (Information Systems Audit and Control Association), die auch in Deutschland aktiv ist. Hierzulande kümmert sich zudem das Bundesamt für Sicherheit in der Informationstechnik (BSI) um die Hilfe für von Cyberangriffen betroffene Unternehmen. Die Behörde veröffentlicht dazu regelmäßig Lageberichte und ist in zahlreichen Social-Media-Kanälen aktiv, um sicherheitsrelevante Informationen zu verbreiten.