:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/63/d1/63d1b63470a199c6d3dd30f867257cae/0114316603.jpeg "Die meisten IT-Sicherheitslösungen konzentrieren sich darauf, unrechtmäßigen Zugriff von außen zu erkennen und zu verhindern. Insider-Threats bleiben hingegen oft lange unbemerkt. (Bild: Blue Planet Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/e3/21e39515f189be19af1e1c124c7af34b/0114233258.jpeg "Wer erkennt den Betrug besser: Mensch oder KI? (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/76/4276ea2d1e8017bef9f8062a8f86460e/0114233512.jpeg "Die mit NIS2 bevorstehende Einführung von Mindeststandards im Bereich der Cybersicherheit betrifft viele Institutionen, die das Thema bisher nur stiefmütterlich behandelt haben. (Bild: Андрей Яланский - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/ab/9dab51056cf30c7d100f1bd2daa971f7/0114174544.jpeg "Welche realistische Rolle wird künstliche Intelligenz in der Cybersicherheit übernehmen können und wo liegen aktuell noch die Herausforderungen? (Bild: Shuo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/dc/bddc5a178cdf1e50a1c97407178aacc2/0113981618.jpeg "Eine Lösung für Cloud Security Posture Management (CSPM) der nächsten Generation von Aqua Security soll die Angriffsfläche um 99 Prozent reduzieren und es der IT-Sicherheit ermöglichen, sich in Echtzeit auf die kritischsten Bedrohungen zu konzentrieren. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/58/395865fa1933cbf2a9d67fc9457b7b79/0114165948.jpeg "Ist ein Cloud-basierter Netzwerkschutz aus dem Rennsport auch für andere Bereiche nutzbar? (Bild: Porsche Motorsport)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/50/3f50e3875b5463348d790f00ca3ad82d/0114222695.jpeg ""Warum Security Awareness die Basis der NIS2 Umsetzung ist", ein Interview von Oliver Schonschek, Insider Research, mit Christian Laber von G DATA. (Bild: Vogel IT-Medien / G DATA / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/35/5c/355c5d6af0509a4a109682eaca824105/0114174663.jpeg "Watchguard Technologies möchte die Partner durch ein MSSP-fähiges Portfolio gut aufstellen und erklärt, was momentan im IT-Security-Business hoch nachgefragt ist. (Bild: Tex vector - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/8f/678f3451fbd3cc9e468de0e35f73ee4d/0112115118.jpeg "Unter Desktop-as-a-Service versteht man virtuelle Desktops als Service eines Cloud-Anbieters. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud-bezogene Digitalforensik Cloud-Unwetter: Ein Schirm wird zum Schutz kaum reichen
Mit Cloud Computing hat sich schlagartig die Art und Weise geändert, wie Organisationen ihre IT-Infrastruktur betreiben. Der Wechsel zur Cloud ersetzte einen Großteil der traditionellen Hardware durch virtualisierte, aus der Ferne bereitgestellte, on-demand verfügbare Software-Services, die für den jeweiligen speziellen Bedarf konfiguriert werden. Diese Services werden meist in externen Rechenzentren von spezialisierten Providern betrieben. Die Folge: Software und Daten können physikalisch an mehreren Orten verteilt rund um den Globus gespeichert sein.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
Für Anbieter von investigativen Response-Dienstleistungen (z.B. IT-Security-Experten oder Ermittler) kann es daher eine Herausforderung sein, auf Daten und Beweismaterial ihrer Kunden in externen Cloud-Rechenzentren zeitnah Zugriff zu bekommen. Unternehmen sind sich häufig nicht den Herausforderungen rund um einen Datenzugriff bei externen Providern bewusst. Wer Maßnahmen zur digitalen Forensik durchführen muss, sollte die folgenden drei Punkte beachten. So ist es für den Kunden wichtig zu wissen, welche Arten von Cloud-Hosting-Services im eigenen Unternehmen überhaupt verwenden werden. Außerdem sollte es möglich sein, bei einem Provider zeitnah auf die eigenen gespeicherten Daten zugreifen zu können. Schließlich empfiehlt es sich, mit einem erfahrenen Cloud-Provider zusammenzuarbeiten.
Welche Cloud-Services werden genutzt?
Ganz gleich, für welchen Cloud-Provider sich ein Unternehmen entscheidet, der Kunde sollte sich eingehend mit dem Servicevertrag beschäftigen. Wichtig ist auch zu klären, wer beim Thema Cybersicherheit für welche Aspekte zuständig ist. Drei Kategorien von Cloud-Services gilt es hier zu unterscheiden:
- Infrastructure-as-a-Service (IaaS): Der Provider betreibt Services für Vernetzung, Hardware und Virtualisierung, während der Kunde Software und Daten verantwortet.
- Platform-as-a-Service (PaaS): Der Provider liefert Services für Vernetzung, Hardware, Virtualisierung und Betriebssysteme; der Kunde verantwortet die Daten und Anwendungen.
- Software-as-a-Service (SaaS): Hier ist der Provider im Kundenauftrag für alle Dienste zuständig.
Daten finden und den Datenzugriff sicherstellen
In diesem Zusammenhang sollten sich IT-Verantwortliche folgende Fragen stellen: Wo in der Cloud laufen die bezogenen Service, wo stehen die Speichersysteme und wo werden Logs und Daten generell gespeichert? Dazu sollte der Standort des Cloud-Centers bekannt sein. Zu wissen, wo die Daten gespeichert sind, verkürzt für investigative Dienstleister die benötigte Zeit, um Beweisdaten zu sammeln und zu sichern. Weiter erhöht regelmäßiges und exaktes Daten- und Asset-Management die Geschwindigkeit, mit der sich die benötigten Informationen im Falle eines Sicherheitsvorfalls auffinden lassen.
IT-Manager sollten daher klären, ob zur Beweissicherung der physikalische Zugriff auf das Cloud-Rechenzentrum möglich ist. Falls ein Live-Image eines physikalischen Systems benötigt wird, kann dann ein investigativer Dienstleister überhaupt physikalisch auf das System zugreifen? Zahlreiche Provider erlauben Dritten gar keinen direkten Zugriff auf die bei ihnen betriebenen Systeme. Weiterhin ist zu klären, ob ein Image der gesammelten Daten auf ein Netzwerklaufwerk oder ein Storage-System innerhalb des Cloud-Centers exportiert werden kann. Sollte im Rahmen einer digitalen Untersuchung das Imaging eines großen Storage-Systems erforderlich sein, beispielsweise von einem vollständigen Network Attached Storage (NAS) Speichersystem, kann es schwierig werden, einen Speicherort für die forensischen Informationen zu finden. Daher sollten Unternehmen vorab klären, wie der Cloud-Provider selbst größte Datenmengen innerhalb seiner Cloud-Speichersysteme für eine forensische Analyse bereitstellen kann.
Falls Remote Imaging die einzige Option ist, um an Beweise zu gelangen, wird es noch wichtiger zu verstehen und zu testen, wie ein Zugang erfolgen kann. Sich hiermit proaktiv auseinanderzusetzen hilft dabei, spätere Verzögerungen zu vermeiden. Gerade das Einholen von Genehmigungen für einen lokalen oder physikalischen Zugriff auf die eigenen gespeicherten Daten bei einem Cloud-Provider kann zu Verzögerungen führen, die während eines Sicherheitsvorfalls die Analyse unnötig verzögern.
Auf erfahrene Cloud-Provider setzen
IT-Verantwortliche sollten daher die Verträge mit ihrem Cloud-Anbieter auf Möglichkeiten prüfen, wie sich im Rahmen einer forensischen Untersuchung das benötigte Beweismaterial sowie Logs und Daten sammeln lässt. Die Erfahrung eines Falls aus der Praxis zeigt, dass in Vereinbarungen zwar die Kundenanforderungen exakt definiert wurden. Als während eines Cybersecurity-Vorfalls der Provider dann aber umfassende Anfragen rasch bearbeiten sollte, war von der praktischen Umsetzung nicht mehr viel zu spüren.
Im nächsten Schritt sollte der Kunde das Ticketingsystem des Cloud-Anbieters einem Probelauf unterziehen. Dort sind im Allgemeinen nämlich keine Prozesse definiert, um einen Imaging-Prozess zur forensischen Datensicherung unter Kundenaufsicht und Kontrolle zügig durchzuführen. Hier könnte der Kunde im Vorfeld um Einblick in die Incident-Response-Planung bitten sowie versuchen Antworten darauf zu bekommen, wie der Anbieter auf Cybersecurity-Vorfälle reagiert und wie er dabei mit dem Kunden kooperiert.
Weiterhin sollte ein IT-Manager den Cloud-Provider darauf vorbereiten, dass dieser bei einem Cybersecurity-Vorfall im Zusammenhang mit Daten an seinen Standorten zur Mitarbeit aufgefordert wird. Für investigative Dienstleister ist dieser Zugang zu den Kundendaten eine wichtige Voraussetzung dafür, dass diese so schnell und effizient wie möglich mit ihrer Arbeit starten können. Professionelle Cloud-Anbieter kennen sich mit Datenschutz und -sicherheit aus und wissen auch, wie sie mit den verschiedenen Aspekten von digitaler Forensik und auf Cybervorfälle umzugehen haben.
Beispiel für ein Cloud-Unwetter
Ein Szenario aus dem 2017 Data Breach Digest (DBD) von Verizon verdeutlicht, warum diese Vorsichtsmaßnahmen so wichtig sind. Bei einer digitalen forensischen Untersuchung in Zusammenhang mit Cloud-basierten Daten hatte die betroffene Firma Beschwerden von Kunden zu ihrer eCommerce-Website erhalten. So scheiterten die Kunden mit ihrem ersten Zahlungsversuch; im zweiten Anlauf hingegen klappten die Transaktionen. Eine Untersuchung der Website ergab, dass es sich um eine Fälschung handelte. Die betroffene Organisation nahm die Seite sofort vom Netz.
Es stellte sich heraus, dass der verwendete und sehr preisgünstige Cloud-Provider die Daten über den halben Globus verteilt hostete. Glücklicherweise waren investigative IT-Experten in der Nähe der Rechenzentren für eine Untersuchung verfügbar. Nachdem das Team schließlich Zugriff auf die Daten hatte, stellte man fest, dass die gefälschte Zahlungsseite so codiert war, dass sie die Kreditkartendaten in Echtzeit an eine externe IP-Adresse umleitete; der zweite Zahlungsversuch verlief dann ordnungsgemäß. Die Geschichte ging vergleichsweise gut aus, denn wie sich herausstellte, hatte ein Programmierfehler verhindert, dass tatsächlich Daten entwendet wurden.
Sicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special finden Sie nützliche Informationen rund um die Themen Rechtssicherheit, dazu Lösungsansätze, Standards und Initiativen aus der Industrie. Zum Special „Rechtssicheres Cloud Computing“
Sicherheitsempfehlungen für die Cloud
Zu den Themen Prävention, Risikominderung, Reaktion und Analyse im Zusammenhang mit Sicherheitsvorfällen in der Cloud sollten Unternehmen folgende Punkte beachten:
- Mehrfach-Authentifizierung: bei kritischen Systemen mindestens Zweifaktor-Authentifizierung implementieren.
- Zugang zu kritischen Assets einschränken: direkten Zugang auf die vertrauenswürdigen User und IP-Adressen reduzieren.
- Logdaten wirkungsvoller machen: Logging zentralisieren und so gestalten, dass es für investigative Teams leicht möglich ist, während eines Sicherheitsvorfalls darauf zuzugreifen.
- Incident Response Playbooks nutzen: Incident Response Playbooks für die relevantesten Datenverletzungen und andere Sicherheitsvorfälle erstellen und diese branchenspezifisch ausrichten.
- Admin-Passwörter sofort ändern: im Fall einer Datenverletzung als erste Maßnahme die Passwörter der lokalen und der Netzwerk-Administratoren ändern.
Verizon veröffentlicht alljährlich den Data Breach Investigations-Report mit aussagefähigen Statistiken zu aktuellen Bedrohungen nach Branche. Weiter gibt Verizon jedes Jahr den Data Breach Digest (DBD) heraus. Dieser enthält Darstellungen von realen Vorfällen, die vom Investigative Response Team des Verizon Threat Research Advisory Center untersucht wurden. Die in den jährlichen DBDs beschriebenen Szenarios lassen sich dazu nutzen, aktuelle Bedrohungen näher zu analysieren und Empfehlungen auszusprechen, um so das Online-Sicherheitstraining weiter auszubauen.
* Stefica Divkovic ist in der DACH-Region für Verizons gesamtes ICT-Portfolio verantwortlich.
(ID:45359055)
:quality(80)/p7i.vogel.de/wcms/01/f3/01f302eaafc753318d309b1623c07136/99551979.jpeg "Trotz omnipräsenter Deep Fakes waren wir uns ziemlich sicher: Als Studiogast durften wir den echten Götz Güttich begrüßen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/23/cf/23cfd1164032cd8def6b40fc0023503b/0105031204.jpeg "Der Anstieg von Ransomware-Angriffen im Vergleich zum Vorjahr ist größer als in den letzten fünf Jahren zusammen! Der neueste DBIR unterstreicht das Ausnahmejahr für die Cybersicherheit. (Bild: Verizon Business)")