Sicher in die Wolke dank Cloud Security
Offene Datenkübel
Aber nicht nur bei den Endanwendern öffnen sich in Sachen Cloud Computing Einfallstore. Auch Entwickler und IT-Mitarbeiter geben den Hackern Angriffsflächen oder exponieren Daten. So sind die grössten Datenlecks der jüngsten Geschichte meist darauf zurückzuführen, dass grössere Datenmengen in Form von «Buckets» im AWS-Speicher S3 öffentlich abgelegt wurden. Diese Datenkübel werden zwar standardmässig als privat generiert, oft möchten aber Entwicklerteams die Speicher gemeinsam nutzen und veröffentlichen sie zu diesem Zweck. Wird danach vergessen, den Kübel wieder auf «privat» zu stellen, kann es zum Datenleck kommen.
Genau dies geschah offenbar den beiden US-Finanzinstituten Advantage und Argus. Dort hatte man im Zusammenhang mit einer Smartphone-App eine S3-Bucket offen gelassen. Das Ergebnis: Gut 425 Gigabyte an hochsensiblen Informationen standen Ende Dezember 2019 öffentlich zugänglich im Web. Fast 500'000 zum Teil hochsensible Dateien wie etwa Bankabrechnungen von Kunden waren so offen einsehbar.
Fehlkonfigurationen ohne Ende
Der Fall von Advantage und Argus zeigt deutlich, dass nicht die Cloud-Umgebung per se mehr oder weniger sicher ist als die hauseigene IT. Vielmehr sind es oft Fehler bei der Konfiguration von Online-Speichern und virtuellen Instanzen, die in der Cloud gelagerte und verarbeitete Daten gefährden. Und die damit verbundene Gefahr wird eher zunehmen als abnehmen, befürchtet das Marktforschungsunternehmen Gartner. Die Auguren gehen davon aus, dass bis 2025 sage und schreibe 99 Prozent aller Cloud-Security-Vorfälle auf Fehler der Kunden zurückzuführen seien.
“Der Einsatz von Kubernetes kann zu einem wahren Konfigurationsdurcheinander führen„
Zohar Alon, Check Point
Dass Fehlkonfigurationen grosse Datenklaus ermöglichen, beweist der Fall von Capital One, der im Sommer 2019 ruchbar wurde. Damals gelang es einer ehemaligen Mitarbeiterin von AWS, über eine falsch konfigurierte Web Application Firewall (WAF) auf die von AWS gehostete Infrastruktur des Finanzdienstleisters zuzugreifen, Daten abzusaugen und die Ausbeute voller Hackerstolz auf GitHub abzulegen.
Auch gemäss Zohar Alon, Leiter des Cloud-Geschäfts beim israelischen Cyber-Security-Experten Check Point, lauert die grösste Gefahr für Cloud-Umgebungen in der fehlerhaften Konfiguration entsprechender Anwendungen. «Diese werden nämlich zunehmend komplexer», gibt er im Gespräch mit Computerworld zu bedenken. Und Alon hat mit Kubernetes, einem System zur Bereitstellung von Container-Anwendungen, einen Hauptverdächtigen identifiziert. «Ein besonderer Faktor, der die Konfiguration verkompliziert, ist Kubernetes», berichtet er. Denn dessen Konfiguration sei sehr komplex. «Somit kann der Einsatz von Kubernetes zu einem wahren Konfigurationsdurcheinander führen, und zwar egal, ob in der öffentlichen Cloud betrieben oder im eigenen Unternehmen», meint Alon weiter. Ein Grund hierfür sei, dass Kubernetes hauptsächlich von den Entwicklern selbst installiert und betrieben werde und nicht von der IT-Abteilung der Unternehmen. «Dann sind die Standardkonfigurationen von Kubernetes nicht optimal und die Benutzeroberfläche nicht grafisch und daher sehr unübersichtlich», bekrittelt er weiter.