:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/ba/d4ba7d9c80dd783f861f4fb50dcc91dd/0111554559.jpeg "Es ist an der Zeit, dass CFOs die traditionelle Einzelposten-Methode zur Festlegung der Ausgaben für IT-Security aufgeben. (Bild: rogerphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/4e/f54ebc11db3e6d8e876a96e96fef53c3/0111552259.jpeg "Florian Jörgens ist Chief Information Security Officer (CISO) der Vorwerk Gruppe und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Vorwerk)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Malware aus der Cloud, Schwachstellen, DDoS Die Gefahr aus der Cloud
Cyber-Täter machen sich überaus gerne Cloud-Dienste zu Nutze – vorzugsweise für lau. Sie lancieren ausgefuchste Attacken gegen die Unternehmens-IT und -OT eines Opfers mit der elastischen Skalierbarkeit der Cloud eines anderen. Die Lage spitzt sich zu.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
Sicherheitsforscher von Netskope berichten von einem dramatischen Anstieg des Missbrauchs von Cloud-Diensten für Attacken aus der Cloud. Mehr als die Hälfte aller Malware-Downloads, die Netskope Security Cloud-Plattform im Jahre 2020 blockierte, stammten aus der Cloud. Seither sei der Anteil weiter angestiegen: auf satte 62 Prozent im ersten Quartal 2021 und 68 Prozent im zweiten (die neuesten Zahlen).
Cyberkriminalität liegt den Unternehmen schwer auf der Tasche. Wäre diese Aktivität eine Volkswirtschaft, würde sie hinter den Vereinigten Staaten und China gleich den dritten Platz belegen. Analysten von Cybersecurity Ventures sehen die weltweiten Kosten für Cyberkriminalität bis zum Jahr 2025 im Durchschnitt um 15 Prozent pro Jahr auf 10,5 Billionen US-Dollar steigen (zum Vergleich: im Jahr 2015 hat sie schätzungsweise drei Billionen US-Dollar verschlungen).
Das Jahr 2021 war bisher das teuerste. Bis das Jahr schlussendlich ausklingt, rechnet SonicWall mit 714 Millionen versuchten Ransomware-Angriffen, was einem Anstieg von 134 Prozent im Vergleich zum Vorjahr entsprechen soll.
Die zunehmende Verbreitung von Cloud-Bedrohungen begann mit dem Pandemieausbruch, als die Grenze zwischen dem Arbeitsplatz und dem Privatleben verwischte, und der Perimeterschutz der Unternehmens-IT begann, aufzuweichen.
Der Vertrieb von Malware läuft laut Netskope vor allem über Cloud-Anwendungen ab. Das Phänomen des Malware-Vertriebs würde sich demnach zu 66,4 Prozent über Storage-Anwendungen der verschiedenen Cloud-Anbieter abspielen, gefolgt von Kollaborationslösungen und Entwicklungswerkzeugen (einschließlich Chat-Plattformen und Code-Repositories).
Die Zahl der in Unternehmen genutzten Cloud-Apps nimmt inzwischen weiter zu. In der ersten Hälfte des Jahres 2021 stieg sie laut Netskope um 22 Prozent gegenüber dem Vorjahreszeitraum. Damit hat sich das Wachstum nahezu verdoppelt.
Organisationen mit 500 bis 2.000 Mitarbeitern nutzen laut Netskope im Durchschnitt 805 verschiedene Cloud-Apps pro Monat. Bei 97 Prozent von diesen Apps handelt es sich um Anwendungen der sogenannten Schatten-IT, also um Lösungen, welche einzelne Fachabteilungen oder Einzelpersonen auf eigene Faust, an der IT-Abteilung vorbei, in Betrieb nehmen. 48 Prozent dieser Anwendungen hat die niedrigste CCI-Risikobewertung (Cloud Confidence Index) und hätte von den IT-Verantwortlichen niemals grünes Licht bekommen, urteilten die Analysten von Netskope.
Geteilte Freude
Geteilte Freude ist doppelte Freude; geteilte Verantwortung schafft jedoch höchstens doppelt so viele Cyber-Verwundbarkeiten – so auch im Falle der Cloud. Während die Cloud-Anbieter für die Sicherheit ihrer Infrastruktur bereitwillig geradestehen, müssen Cloud-Nutzer die korrekte Konfiguration der Sicherheitseinstellungen einzelner Dienste, Anwendungen und Arbeitslasten hinbekommen und aufrechterhalten. Doch über das ganzheitliche Zusammenspiel der Dienste und Anwendungen auf allen Ebenen des Stacks in der dynamischen Realität des Tagesgeschäfts wacht in der Cloud im Zweifelsfalle niemand.
Fehlkonfigurationen und konzeptionelle Unzulänglichkeiten der Architektur können gravierende Sicherheitslücken eröffnen, die sowohl die betroffenen Cloud-Anbieter und -Nutzer als auch unbeteiligte Dritte in Mitleidenschaft ziehen – zum Beispiel durch DDoS-Attacken gegen die Unternehmens-IT und -OT aus der Cloud.
Cyber-Täter missbrauchen Cloud-Dienste für eine Vielzahl von Aktivitäten, darunter:
- das Hosting von Malware und Phishing-Seiten bei einem legitimen Cloud-Service: diese Taktik hilft Cyber-Tätern, „unter dem Radar“ zu fliegen, um keinen Verdacht zu erregen, warnen Sicherheitsforscher von Check Point Research;
- Command-and-Control-Attacken (C2 oder C&C), über Phishing-Touchpoints aus der Cloud heraus lanciert, können die gesamte digitale Infrastruktur eines Unternehmens unter Kontrolle der Cybertäter bringen;
- DDoS-Attacken gegen IT- und cyberphysische Infrastrukturen: Auch hier bieten Cloud-Dienste den Cybertätern nahezu unbeschränkte Kapazitäten auf Kosten eines ahnungslosen Cloud-Nutzers und zusätzlich die Möglichkeit, bösartige Kommunikation im harmlosen Netzwerkverkehr zu verstecken;
- Ransomware in der Cloud: Die durchschnittliche Lösegeldzahlung im Jahre 2021 erreichte laut Palo Alto Networks astronomische Cloud-Dimensionen: 865 tausend USD pro Vorfall;
- Crypto-Mining für lau, finanziert durch einen ahnungslosen Cloud-Nutzer aus dessen kompromittiertem Cloud-Account: So kassieren die Täter garantiert – und garantiert anonym – ab, mit Glück vielleicht sogar unbemerkt.
Zu den Besonderheiten von Public-Cloud-Diensten zählt der hohe Grad der Virtualisierung unter den Betriebsbedingungen geteilter Verantwortung. Er ermöglicht es Cyber-Angreifern, sehr fortgeschrittene Attacken über eine Vielzahl von Angriffsvektoren reproduzierbar durchzuführen. Zahllose Kampagnen wie Xbooster haben es wiederholt unter Beweis gestellt.
Hijacking von Cloud-Migrationen
Während einer Migration von Daten oder Arbeitslasten im Rahmen der Hybrid-Cloud ist das betroffene Unternehmen besonders verwundbar. Insbesondere eine Live-Migration schafft für Angreifer zusätzlichen Spielraum, um die Orchestrierungsebene zu kompromittieren und etwa eine betrügerische, ungewollte Migration abseits der gewollten Richtung auslösen.
Hypercall-Einbrüche
Bei einem Hypercall-Angriff kompromittiert ein Angreifer virtuelle Maschinen (VMs) mithilfe des sogenannten Hypercall-Handlers. Dieser ist Teil des Virtual Machine Managers (VMM) auf jeder Cloud-Maschine in Diensten wie Amazon EC2. Der Angriff gewährt den Cybertätern einen Zugriff auf VMM-spezifische Berechtigungen und ermöglicht ihnen in einigen Fällen die Ausführung von bösartigem Code auf einer kompromittierten VM.
Hyperjacking
Ein Hyperjacking-Angriff ist der Versuch eines Angreifers, mit einem Rootkit auf einer VM die Kontrolle über ihren Hypervisor zu übernehmen. Der Angreifer verschafft sich so einen Zugriff auf den gesamten Host und kann das Verhalten der virtuellen Maschinen verändern, laufende VMs beschädigen und neue VMs für andere böswillige Aktivitäten initialisieren.
DoS durch kompromittierten Hypervisor
Ein Angreifer kann schließlich den Hypervisor infizieren und ausnutzen. Ein Hypervisor steuert die VMs auf einem virtuellen Host. Ein kompromittierter Hypervisor macht sich typischerweise durch einen erhöhten Ressourcenverbrauch bemerkbar.
DDoS aus der Cloud
Mit der wachsenden Verbreitung von Cloud-Diensten haben auch DDoS-Attacken in ihrer Intensität und Dauer zugenommen. Nicht nur bietet die Cloud keinen Schutz vor DDoS, sondern bewährt sich aus Sicht der Täter als ein Instrument der Amplifizierung – auch im Falle von Ransomware-Attacken. Cybertäter missbrauchen zudem Cloud-Dienste legitimer Cloud-Nutzer, um auf deren Kosten Vernichtung bei ihren Opfern zu säen.
Fazit
Viele Unternehmen schlagen sich immer noch mit den vielen Herausforderungen der grundlegenden Beobachtbarkeit ihrer Cloud-Dienste herum. Die Gewährleistung einer lückenlos fehlerfreien Konfiguration von Cloud-Diensten – einschließlich der sicheren Bereitstellung von Fernzugriffen –, die verantwortungsvolle Nutzung von API-Schlüsseln sowie ein ausgeprägtes Bewusstsein um das Potenzial für Hintertüren in App-Ökosystemen von Drittanbietern, dürften auf absehbare Zukunft ein Problemfeld bleiben.
Über die Autoren: Anna Kobylinska und Filipe Pereira Martins arbeiten für McKinley Denali Inc. (USA).
(ID:48060348)
:quality(80)/images.vogel.de/vogelonline/bdb/1923700/1923717/original.jpg "Cloud-Apps verleiten zu drei Arten von Missbrauch: Angreifer, die versuchen, sich Zugang zu Cloud-Apps von Opfern zu verschaffen, Angreifer, die Cloud-Apps zur Verbreitung von Malware missbrauchen, und Insider, die Cloud-Apps zur Datenexfiltration nutzen. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1945900/1945969/original.jpg "Eine DDoS-Schutzlösung sollte hybrid konzipiert sein (kentoh - stock.adobe.com)")