Die Cloud bleibt sehr ­verletzlich

Angriffe aus der Cloud

Quelle: Ponemon Institute
Gefahr droht nicht nur für Cloud-Server, sondern auch durch Cloud-Server. Immer häufiger erfolgen etwa DDoS-Attacken mit Hilfe von Cloud-Servern. Liviu Arsene erklärt: «Der Einsatz von Cloud-Servern zur Durchführung von DDoS-Attacken ermöglicht es den Angreifern, Server-basierte Bot-Netze extrem schnell hochzufahren und Bandbreiten auszunutzen, die manchmal um das Hundert- oder Tausendfache höher liegen als bei IoT- oder Router-basierten Bot-Netzen. Vermutlich verwenden Hacker gestohlene Kreditkarteninformationen und falsche Identitäten, um diese Dienste oft nur für eine kurze Zeit zu erwerben und damit dann gezielt spezifische Services oder Online-Ressourcen anzugreifen.»
Die meisten Cloud-Anbieter träfen zwar Vorkehrungen gegen diese Art Betrug, so Arsene, doch gelinge es den Angreifern manchmal, durch diese Kontrollmechanismen hindurchzuschlüpfen und ihre Command-&-Control-Server oder Bot-Netze innerhalb der Infrastruktur aufzubauen. «In der Regel analysieren Cyberkriminelle Code-Repositories wie Github, um versehentlich offengelegte API-Schlüssel oder Token für Amazon-Buckets zu finden. Damit können sie Infrastrukturen übernehmen und ihnen befehlen, Angriffe auszuführen.“

Geteilte Verantwortung

Dass die Cloud-Sicherheit in der gemeinsamen Verantwortung von Cloud-Provider und Unternehmen liegt, ist eine Binsenweisheit. Aber es stellt sich die Frage, wer eigentlich konkret für was zuständig ist. Studien belegen, dass nicht wenige Unternehmen davon ausgehen, dass der Cloud-Provider in Bereichen für Sicherheit sorgt, in denen sie selbst die Verantwortung tragen müssten. Bertram Dorn, Principal Solutions Architect Security and Compliance bei Amazon Web Services (AWS), erläutert die Zuständigkeiten näher: «Für eine sichere Nutzung von AWS ist das Shared Responsibility Model zentral, das für Kunden wie für AWS selbst gilt: AWS betreibt das Rechenzentrum und die einzelnen Cloud-Dienste nach gängigen technischen Standards und Sicherheitsprotokollen. Der Kunde wiederum ist in der Pflicht, sich um die sichere Nutzung der Anwendung zu kümmern, also Sicherheits-Features nicht zu deaktivieren, den Zugriff auf relevante Mitarbeiter zu limitieren und sensible Daten nicht in ungeschützten Bereichen abzulegen.»
Dieses Modell bedeute für die Unternehmen eine Arbeitsentlastung, da die Komponenten des Host-Betriebssystems und der Virtualisierungsebene vom Cloud-Provider ausgeführt, verwaltet und gesteuert werden. Zudem sorge er für die physische Sicherheit der Stand­orte, an denen die Ser­vices ausgeführt werden. «Im Bereich In­frastruktur als Dienstleistung ist der Kunde für das Gastbetriebssystem und dessen Verwaltung einschliesslich Updates und Sicherheits-Patches verantwortlich», führt Dorn weiter aus. «Ausserdem ist er für die damit verbundene Anwendungs-Software zuständig sowie für die Konfiguration der Sicherheitsgruppe, die eine virtuelle Firewall darstellt.» Was die Sache allerdings etwas verkompliziert, ist die Tatsache, dass die Verantwortung für jeden AWS-Dienst unterschiedlich geregelt ist.
Rackspace-Manager O’Neill unterstreicht, dass die Zuständigkeiten vom Modell abhängen. Setzt ein Unternehmen Infrastructure as a Service ein, ist der Cloud-Service-Provider für die Infrastrukturkomponenten verantwortlich, während der Nutzer für das Gastbetriebssystem, die Konfiguration von nativen Cloud-Sicherheitsfunktionen, Anwendungen und andere Kontrollen zuständig ist. Im Rahmen eines Software-as-a-Service-Modells hingegen kümmert sich der CSP weitgehend um die Infrastruktur- und Anwendungskomponenten, wobei ein angemessenes Management der Netzwerkaktivitäten Sache des Kunden ist.
“Das Problem liegt häufig in der Fehlkonfiguration der ­Workloads und in der unsach­gemäßen Zugriffskontrolle.„
Fleming Shi, CTO bei Barracuda, www.barracuda.com
«Sicherheit in der Cloud ist mehr denn je ein Modell der gemeinsamen Verantwortung», postuliert O’Neill. Sicherheitsfachkräfte müssten eine Lift-&-Shift-Mentalität vermeiden, damit ihr Unternehmen sicher in der Cloud agieren könne. Bestehende Kontrollen, Technologien und Fähigkeiten böten nämlich möglicherweise keine vollständige Sicherheit in der Cloud. «Es liegt ein grosses Missverständnis vor, wenn Unternehmen den Schutz der Cloud dem Anbieter der Ser­vices überlassen», bringt es Michael Scheffler auf den Punkt.




Das könnte Sie auch interessieren