Zum Hauptinhalt springen

Cloud-Sicherheit: Themen und Herausforderungen

Cloud-Sicherheitsthemen haben erheblich an Tragweite gewonnen, seit wir einen Großteil unseres Lebens in die virtuelle Welt verlagert haben. In der Folge der jüngsten Ereignisse, haben die Aktivitäten von Cyberkriminellen viele Schwächen der Cloud ans Tageslicht gebracht, die IT-Teams haben weltweit aufhorchen lassen. Und auch wenn andere Bedrohungen der Cybersicherheit in der digitalen Landschaft seit dem Corona-Ausbruch zugenommen haben, steht die Besorgnis um die Cloud-Sicherheit zunehmend an vorderster Front.

Zu den wesentlichen Bedrohungen für die Cloud-Sicherheit gehören:

  • Unternehmenssysteme mit Fernzugriff sind nicht ausreichend abgesichert und es mangelt an Sicherheitsüberprüfungen, weil niemand in diesem Maße auf verpflichtende Heimarbeit vorbereitet war.
  • Schulungen von Endbenutzern in Social-Engineering-Techniken sind weiterhin vonnöten, denn noch immer werden Anmeldedaten von Benutzern über betrügerische E-Mails und andere Täuschungsmanöver abgegriffen.
  • Nutzern von Smart Home-Systemen im Privatbereich fehlt noch immer das Bewusstsein für sichere Konfigurationspraktiken. Zuvor nicht vernetzte Geräte, wie z. B. Thermostate, sind zu potentiellen Einlasstoren geworden, über die Kriminelle in private Netzwerke eindringen.

Sicherheitsrisiken in der Cloud

Die Sicherheit im Cloud Computing ist zu einem großen Thema geworden. Während private Cloud-Services, wie z. B. die iCloud von Apple bereits sehr kontrovers diskutiert wurden, bereitet die Sicherheit von Unternehmens- und Regierungssystemen derzeit viel mehr Kopfzerbrechen.

Wenn sich Netzwerke und Hardware im Büro noch einigermaßen abschirmen lassen, so öffnet der Fernzugriff möglichen Angriffen die Tore. Jede Verbindung und jede Komponente muss mit einem sicheren Framework gehärtet werden, um versehentliche Sicherheitsverletzungen zu vermeiden. Im Rahmen eines Konzepts für sichere Fernarbeit, werden Laptops, Handys und Netzwerkverbindungsgeräte allesamt von internen IT-Teams eingerichtet und getestet.

Leider haben die weltweit steigenden Zahlen von COVID-19-Fällen zu einem unmittelbaren Umstieg auf Heimarbeit geführt. Die ungeplante Einführung von Infrastrukturen für die Heimarbeit wurde begleitet von unvollständigen und unverständlichen Richtlinien für Tools wie den Cloudserver-Zugang. Die vermehrte Nutzung von Cloud-basierten Kollaborationsplattformen und virtuellen Meeting-Systemen, hat zu einem starken Anstieg der Komplikationen für die IT geführt.

Ergebnisse einer Fugue-Umfrage zeigen, dass nahezu jedes dritte von vier Teams, das über Cloud-Systeme arbeitet, mehr als 10 Vorfälle pro Tag erlebt hat, die auf eine fehlerhafte Systemeinrichtung zurückzuführen waren. Einbrüche in Speichermedien bis hin zu nachlässigen Richtlinien beim Systemzugang geben 84 % der IT-Teams Anlass zur Sorge, dass sie bereits gehackt wurden, ohne dies überhaupt bemerkt zu haben. Ineffiziente Rückgriffe auf manuelle Tätigkeiten, wie sie von den meisten Teams praktiziert wurden, erschweren die Bilanz durch eine weitere mögliche Fehlerquelle noch zusätzlich, was die Zuverlässigkeit der Fehlerbehebung in der Cloud fraglich macht.

Bedrohungsakteure haben sich den zunehmenden Cloud-Einsatz zunutze gemacht und greifen von Gesundheitseinrichtungen bis hin zu Online-Diensten von Personalabteilungen alles an. Angesichts der bereits bestehenden Sicherheitslücken bereitet der menschliche Faktor den Organisationen zusätzliche Kopfschmerzen. IT-Mitarbeiter und Endpoint-Nutzer müssen ständig vor Cyberbedrohungen auf der Hut bleiben, was zu „Alarmermüdung“ und anderen Fehleinschätzungen führt.

Sicherheitsrisiken in der Cloud

Sicherheitsgefährdungen für Cloud Computing-Services bestehen auf mehreren Ebenen:

  • Schwachstellen im System beziehen sich auf die technische Seite der Bedrohungen mit der sich die IT-Experten im Unternehmen beschäftigen müssen.
  • Fehler oder Nachlässigkeit der Endpoint-Nutzer ist die menschliche Seite, die sich nur durch kontinuierliche Fort- und Weiterbildung bekämpfen lässt.
  • Böswillige Cyberangreifer sind letztendlich nur so erfolgreich, wie es die menschlichen und technischen Schwachstellen in einem Cloud-System zulassen. Allerdings sind die Angreifer dank ihrer Erfahrung in der Manipulation von technischen und menschlichen Elementen im Vorteil.

Solange Zero-Day-Exploits absolut im Bereich des Möglichen liegen, können viele Angreifer bekannte Infiltrierungsvektoren in den Cloud-Systemen eines Unternehmens nutzen. Spezifische Probleme der Cloud-Nutzung:

Cloud-Konfiguration

Fehlerhaft konfigurierte Cloud-Systeme sind derzeit noch weit verbreitet, da viele Arbeitgeber zum ersten Mal Remote-Arbeitsplätze einrichten mussten. Für ein Cloud-basiertes System sind umfassende Sicherungen im Backend erforderlich, um Schwachpunkte gegenüber Online-Angriffen auszumerzen. Eine detailgenaue Cloud-Einrichtung braucht Zeit. Stattdessen mussten zahlreiche IT-Abteilungen diesen Prozess im Eiltempo abschließen.

Die Umfrage von Fugue im April 2020 nennt mangelndes Richtlinienbewusstsein als einen wesentlichen Grund dafür, dass diese Bedrohungen nicht effektiv bedacht wurden. Außerdem fehlt es den Teams an geeigneten Überwachungsfunktionen und Vorgaben für die große Zahl an Software-APIs, die mit den Cloud-Services interagieren. Bei so vielen Berechtigungs- und Kontrollebenen, die zuvor nicht betriebsrelevant waren, verwundert es nicht, dass IT-Teams schlecht vorbereitet waren.

Fehlende Stresstests sind ein ebenso besorgniserregendes Thema im Zusammenhang mit dem Übergang zur Remote-Arbeit. Die Last eines gesamten Arbeitsplatzes – oder Dutzenden bzw. Hunderten von Arbeitsplätzen – auf der Basis von Cloud-Servern erfordert wiederholte Kapazitätstests. Ohne sie kann keine Systemstabilität garantiert werden und es kann zu unerwünschten Verhaltensweisen in einer (normalerweise) sicheren Infrastruktur kommen.

Trotz all dieser Risiken gehen Firmen mit ihnen unvertrauten Verfahren online, während sie sich immer noch in der Installations- und Testphase befinden. Parallele Fehlerbehebung und Kurskorrekturen sorgen für lange Arbeitszeiten bei den IT-Teams, in denen sie nicht mehr unbedingt zu Höchstleistungen fähig sind. Und jede dieser Schwachstellen kann eine offene Tür für übel gesinnte Zeitgenossen sein.

Richtlinien zur Heimarbeit mit Privatgeräten

Einige Organisationen haben Richtlinien für den Einsatz von privaten Geräten implementiert, um die Bequemlichkeit und Flexibilität zu schaffen, die die Fernarbeit fordert. Während Unternehmen so die Kosten für Hardware und Wartung auf ihre Mitarbeiter abwälzen können, ergeben sich daraus zahlreiche potentielle Einlasspunkte in die IT-Systeme der Unternehmen.

Da sich private und berufliche Aktivitäten durch die Gerätenutzung vermischen, laufen Cloud-Systeme eher Gefahr, verirrter Malware von ungeschützten Geräten zum Opfer zu fallen. In den meisten Büros lautet die Ansage, dass berufliche Geräte nicht für private Zwecke genutzt werden dürfen. Das hat den zusätzlichen Vorteil, dass der Kontakt zu ungesicherten Konten und Dateien des Endpoint-Users eingeschränkt wird.

Netzwerke im Unternehmen sind durch Firewalls geschützt, durch WLAN-Router gesichert und selbst die vom Arbeitgeber bereitgestellt Smartphones werden vom internen IT-Team verwaltet. Sie stellen systematisch sicher, dass jede mögliche Angriffsfläche mit den aktuellsten Sicherheitsprotokollen und Softwareupdates ausgestattet ist.

Der neue Trend der Remote-Konnektivität hat viele Organisationen auf dem falschen Fuß erwischt. Es gibt nur wenige, wenn nicht so gar keine, für Fernzugriff eingerichteten Unternehmenscomputer und Diensthandys, die sie ihren Mitarbeitern zur Verfügung stellen könnten. Vorhandene Malware-Infektionen gehören zu den zahlreichen Problemen bei der Nutzung von ungesicherten Privatgeräten. Veraltete Betriebssysteme und andere Gerätesoftware, können von Kriminellen spielend leicht ausgenutzt werden. Die Geräte der anderen Familienmitglieder im Heimnetz des Mitarbeiters können ebenfalls Vektoren für Malware werden.

Selbst mit vorsorglich sicherer Hardware bleiben bereits vorhandene Schutzmechanismen im Unternehmen wirkungslos, solange es keinen Prozess gibt, um die Heimnetzwerke der User auf ihre Sicherheit hin zu überprüfen.

Social Engineering und andere Cyberangriffe

Selbst in diesen sensiblen Zeiten haben Bedrohungsakteure ihre Bemühungen verstärkt, Schlupflöcher in der Cloud-Architektur auszunutzen, um Organisationen zu schröpfen oder zu schädigen.

Beim Phishing geben sich die Angreifer als vertrauenswürdige Personen oder Behörden aus, um ihre Opfer dazu zu bringen, Wertgegenstände preiszugeben oder private Bereiche zugänglich zu machen. Dieser Begriff bezieht sich meist auf den Online-Diebstahl von Kontodaten oder Geld. Social-Engineering-Methoden wie diese sind sehr beliebt, um sich den Zugang zu Cloud-Systemen von Mitarbeitern oder Privatpersonen zu erschleichen.

Beim Phishing in Kombination mit Malware geben sich Kriminelle als vertrauenswürdige Parteien aus und verleiten ihre Opfer dazu, infizierte Dateien oder Links zu öffnen. Das Ziel können dabei auch Mitarbeiter sein, um den Cloud-Speicher, Datenbanken und andere vernetzte Strukturen eines Unternehmens zu infizieren. Ist das System erst einmal befallen, kann sich diese Art von Malware ungehindert ausbreiten und alle möglichen Störungen verursachen oder, was noch häufiger geschieht, eine unternehmensweite Datenschutzverletzung in Gang setzen.

Für Gewaltsame Angriffe im Sinne einer Cloud-Infiltrierung, kommt das sogenannte „Credential Stuffing“ zum Einsatz. Dabei werden gestohlene Anmeldedaten verwendet, um sich bei verschiedenen anderen Diensten anzumelden. Die Angreifer versuchen jede Wiederverwendung derselben Benutzername-Passwort-Kombination an mehreren Konten auszunutzen. Normalerweise verschaffen sie sich die gestohlenen Anmeldedaten von vorangegangenen Datenschutzverletzungen, die im Darknet vertrieben werden. Schnelle Anmeldeversuche von vielen weit entfernten Standorten, sind ein deutliches Zeichen für derlei Aktivitäten.

DDoS-Angriffe (Distributed Denial-of-Service) überlasten Cloud-Server oder das Framework in dessen Umfeld, um Dienste zu stören oder ganz offline zu schalten. Sie treten oft im Nachgang von Botnet-basierten und Phishing-Bedrohungen auf, wobei sich die Kriminellen Zugang zu einem System verschaffen und dann mit einer ganzen „Armee“ von vorbereiteten Remote-Computern zum Angriff übergehen. Die simple Ausführung und das Ausmaß der Störung von web-basierten Angeboten machen DDoS-Angriffe so attraktiv. Aufgrund ihrer beliebig zusammengewürfelten Infrastruktur-Einstellungen sind viele Organisationen mit Cloud-Systemen ihnen nahezu schutzlos ausgeliefert.

Schutz für Ihre Daten in der Cloud

Wer die Datensicherheit in seiner Cloud verbessern möchte, sollte ein paar wichtige Punkte beachten. Vor allem die Datenverschlüsselung ist ein zentrales Thema innerhalb der Cloud-Sicherheit. Korrekt verschlüsselte Daten sind praktisch für jeden unbrauchbar, der nicht über den passenden Verschlüsselungsschlüssel verfügt, um sie wieder zu entsperren. Im Folgenden finden Sie ein paar Tipps zu diesem Thema.

Als privater Heimanwender können Sie folgende Maßnahmen ergreifen.

  • VPN-Service: Mit einer virtuellen privaten Netzwerkverbindung (VPN) können Sie Ihre Daten schützen, indem Sie sie bei der Übertragung zwischen Ihrer Cloud und Ihren Geräten anonymisieren. Verschlüsselung ist eine primäre Funktion der meisten VPN-Dienste und hilft dabei Lauschangriffe auf Ihre Verbindungen wirksam zu verhindern.
  • Welche Daten verschlüsselt werden müssen: Nicht alle Daten müssen verschlüsselt werden, aber sensible Daten sollten immer mit dieser Schutzebene ausgestattet werden. Die Empfehlung lautet, dass man die Verschlüsselung für Dateien wie Steuerdokumente und andere private Daten verwendet, während sie bei Dateien und Daten, die Sie sowieso schon ins Netz gestellt haben, überflüssig erscheint. Und nicht vergessen: Wenn Sie Ihre Verschlüsselungsschlüssel verlieren, verlieren Sie auch den Zugang zu diesen Daten.
  • Sorgfältige Bereitstellung der Verschlüsselung: Da Ihr Anbieter eventuell Verschlüsselungsschlüssel nicht selbst nachverfolgt, sollten Sie sicherstellen, dass die Cloud-Verschlüsselungsschlüssel nicht an einem gefährdeten Ort, wie einem eingebauten Computerspeicher abliegen.
  • Wählen Sie einen Sicherheitsservice, der Ihre Identität überwacht: Mit Produkten wie der Kaspersky Security Cloud erhalten Sie Updates, wenn Ihre Daten durch eine Datenschutzverletzung beim Cloud-Anbieter gefährdet sind. Falls alle Ihre Verschlüsselungsmethoden nicht helfen, werden Sie in einem entsprechenden Aktionsplan informiert, wie Sie sich persönlich schützen können.

Wenn Sie die Systeme Ihres kleinen, mittleren oder großen Unternehmens schützen möchten, sollten Sie folgende Punkte prüfen:

  • Daten verschlüsseln bevor sie in der Cloud gespeichert werden: Indem Sie Ihre lokalen Datenspeichermedien und Betriebssysteme schützen, können Sie auch besser kontrollieren, wie Ihr Unternehmen seine Verschlüsselungsmaßnahmen handhabt.
  • Durchgängige Verschlüsselung: Achten Sie darauf, dass Ihr Anbieter eine Verschlüsselung bietet, die Ihre Daten bei der Übertragung von sowie in die Cloud schützt. Sensible Daten wie Finanzdaten oder Firmeninterna sollten immer vor Abfangversuchen geschützt werden.
  • Umgang mit Verschlüsselungsschlüsseln: Für die Verschlüsselung sind verschiedene Schlüssel erforderlich, um auf die Daten zugreifen zu können. Diese sollten sorgfältig kontrolliert und verwahrt werden. Erkundigen Sie sich, ob Ihr Cloud-Anbieter seine Schlüssel für Sie verwaltet oder ob Sie das selbst tun müssen.
  • Einsatz einer Cloud Security-Lösung: Die eigene Datenverschlüsselung immer auf dem neuesten Stand zu halten, fällt ohne Unterstützung schwer. Sicherheitsprodukte wie Kaspersky Hybrid Cloud Security können Ihnen nicht nur helfen zu erkennen, wie die lokalen Maßnahmen und die Cloud-Sicherheit verbessert werden können, sondern schützen Sie gleichzeitig vor neuen Bedrohungen.

Tipps für ein Mehr an Cloud-Sicherheit

Im Umgang mit den Sicherheitsherausforderungen im Cloud Computing, sollte man sich zunächst auf die Tools und Methoden des Endbenutzerschutzes konzentrieren. Ob für den privaten Bereich oder die Ausgestaltung unternehmensweiter IT-Richtlinien – im Folgenden finden Sie ein paar Tipps, wie Sie Ihre Cloud-Services schützen:

  1. Laden Sie Dokumente und Anhänge gar nicht erst herunter: Nutzen Sie, wann immer möglich, die Vorschaufunktion für Anhänge und Dokumente. Belassen Sie Dokumente online statt sie auf einem lokalen Speicher abzulegen und von dort aus zu öffnen.
  2. Informieren Sie den Support im Fall eines Phishing-Versuchs: Ob E-Mails, Telefonanrufe, Textnachrichten oder jede andere Form des vermuteten Phishings – setzen Sie Ihren Serviceanbieter und/oder das IT-Team Ihrer Firma in Kenntnis.
  3. Aktivieren Sie die Multifaktor-Authentifizierung: Mehrere Schutzschichten wie biometrische Daten oder USB-„Schlüssel“ in Kombination mit traditionellen Passwörtern, können die Sicherheitsbarriere erhöhen. Und auch wenn es keine 100-prozentige Sicherheit gibt, genügt manchmal schon eine einzige investierte Minute Zeit, um kleinere Cyberangriffe abzuwehren.
  4. Smart Home-Geräte sichern (oder zumindest den Internetzugang): Achten Sie auf einen erschwerten Adminzugang zu Ihrem Router, indem Sie ein sicheres Passwort und einen starken Benutzernamen wählen. Die Passwörter für das heimische WLAN zu verbessern, ist immerhin auch ein Anfang. In Bezug auf Fernarbeit sollten Sie über einen mobilen Hotspot mit VPN anstelle Ihres Heimnetzwerks nachdenken.
  5. Befolgen Sie stets die Tipps aus den Cybersicherheitsschulungen Ihres Unternehmens. Regeln und Richtlinien können nur greifen, wenn Sie sich die Zeit nehmen sich damit zu befassen und diese Regeln auch anzuwenden. Schlagen Sie Ihrem IT-Team vor, virtuelle Übungen gegen Bedrohungen wie Phishing zu implementieren, falls dies noch nicht der Fall ist.
  6. Richten Sie eine VPN-Verbindung ein und machen Sie die Verwendung zur Pflicht. Mit diesem Service erhalten Sie und Ihr Unternehmen einen privaten Tunnel, den Ihre Daten ungehindert passieren können. Vergewissern Sie sich, dass Ihr VPN-Anbieter durchgängige Verschlüsselung anbietet und vertrauenswürdig ist.
  7. Benutzerzugänge überprüfen und einschränken. Nicht mehr verwendete Benutzerkonten zu entfernen und die Berechtigungen für einige Nutzer auf das Wesentliche zu beschränken, ist ein guter Schritt in Richtung Cyberhygiene in der Fernarbeit.
  8. Internet-Sicherheitssoftware für Mitarbeiter Selbst wenn Sie äußerst wachsam mit Ihren eigenen Geräten umgehen, hilft das wenig, wenn sich die Infektion über einen anderen User in Ihrer beruflichen Cloud ausbreiten kann. Eine angemessene Antiviren-Software wie Kaspersky Cloud Security hilft Ihnen dabei in Sachen Sicherheit gut aufgestellt zu sein.
  9. Halten Sie alle Ihre Softwareprogramme auf dem Laufenden. Ein Großteil der Softwarepatches ist nötig, um Sicherheitslücken zu schließen. Installieren Sie diese so zeitnah wie möglich, um mögliche Lücken für Datenschutzverletzungen abzudichten.
  10. Erhöhen Sie die Sicherheitsstufe für Betriebssysteme, Programme usowie Webservices. Die standardmäßig in Programmen und auf Geräten vorhandenen Sicherheitsmaßnahmen, sind meist ein Kompromiss zwischen Sicherheit und Bequemlichkeit. Wir empfehlen die Berechtigungen enger zu fassen, um Sicherheitsrisiken keine Chance zu geben.
  11. Testen Sie die Sicherheit Ihrer Cloud. Dabei sollten Sie unterschiedliche Sicherheitsmethoden anwenden, um Ihr Netzwerk und alle seine Komponenten auf mögliche Schwachstellen zu durchleuchten. Eine wichtige Methode besteht darin, Passwörter mit Tools wie Kaspersky Password Manager auf ihre Sicherheit zu überprüfen. Und wenn Ihnen das zu zeitaufwändig erscheint, dann bieten einige Cybersicherheitstools wie Kaspersky Hybrid Cloud Security eine Stärkung Ihrer Systeme bei gleichzeitiger Abwehr von ankommenden Bedrohungen.

Weitere Produkte:

Verwandte Artikel:

Cloud-Sicherheit: Themen und Herausforderungen

Mit der Weiterentwicklung der Cloud-Technologie sind auch Sicherheitsthemen stärker ins Zentrum der Aufmerksamkeit gerückt. Erfahren Sie in diesem Beitrag, wie Sie mit Kaspersky den Bedrohungen in Bezug auf Cloud-Sicherheit wirksam begegnen.
Kaspersky logo