Suchen

Cloud Security Teil 2: Sicherheitsrisiko Cloud Computing Angriffsarten und Angreifertypen in Cloud-Computing-Systemen

| Autor / Redakteur: Angelika Ruppel (Fraunhofer SIT) / Peter Schmitz

Angriffe auf Webanwendungen sind keine Seltenheit und auch Cloud-Computing-Systeme sind nicht davor geschützt. Neben passiven und aktiven Angriffen auf Cloud-Computing-Systeme kann man Gefahren zusätzlich zwischen internen und externen Bedrohungen unterscheiden. Security-Insider.de zeigt Ihnen die Angriffsarten und die Angreifertypen, die eine Bedrohung für Cloud-Systeme darstellen und demonstriert Best-Practice-Ansätze, die Kunden und Cloud-Anbieter anwenden sollten.

Firmen zum Thema

Cloud-Systeme sind ein interessantes Ziel für Angreifer, da dort große Mengen sensibler Daten lagern. Konsumenten und Anbieter müssen sich also umso mehr vor Angriffen schützen.
Cloud-Systeme sind ein interessantes Ziel für Angreifer, da dort große Mengen sensibler Daten lagern. Konsumenten und Anbieter müssen sich also umso mehr vor Angriffen schützen.
( Archiv: Vogel Business Media )

Passive Angriffe zeichnen sich dadurch aus, dass der Angreifer Informationen erlangt, ohne in das IT-System einzugreifen. Ein Beispiel hierfür ist das Mithören bzw. Mitschneiden von Informationen über das Netzwerk. Da der Angreifer nicht aktiv in das IT-System eingreift, sondern nur passiv zuhört, ist es sehr schwer einen solchen Angriff zu erkennen.

Um diese Arten von Angriffen zu verhindern müssen die übertragenen Daten verschlüsselt werden oder/und weitere Maßnahmen (z.B. keine Übertragung wichtiger Daten an den Cloud-Anbieter oder Ersetzen wichtiger Daten durch Platzhalter) eingesetzt werden, die das Mithören erschweren. Passive Angriffe bedrohen die Schutzziele Vertraulichkeit und Authentizität.

In Cloud-Computing-Systemen ist eine verschlüsselte Übertragung der Daten vom Konsumenten zum Anbieter weit verbreitet und sollte für alle Daten stets verwendet werden. Bestehen die Optionen einer unverschlüsselten und einer verschlüsselten Übertragung von Informationen, so kann beispielsweise durch entsprechende Firewall-Regeln eine SSL Verbindung über HTTPS erzwungen werden. Der verschlüsselte Kanal endet jedoch meist beim Übergang des öffentlichen in das private Netzwerk des Cloud-Anbieters. Im privaten Netzwerk des Cloud-Anbieters sind die Daten meist unverschlüsselt und werden häufig unverschlüsselt abgespeichert. Innerhalb der privaten Netzwerke des Anbieters sind ggf. passive Angriffe möglich, so dass der Anbieter Vorkehrungen, z.B. durch Isolierung des Datenverkehrs einzelner Benutzer, treffen sollte.

Seite 2: Aktive Angriffe: Gefährlich aber gut zu entdecken

(ID:2043746)