:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b9/19/b919a3957005579af63806ea93582f48/0110645981.jpeg "Security-Verantwortliche müssen sich jetzt auf die unmittelbare Gefahr durch den Missbrauch von KI-Tools vorbereiten – und diese selbst für den eigenen Schutz einsetzen. (Bild: Somchai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/1a/981aceb27d5907ef149315c189951356/0110648062.jpeg "Bitdefender GravityZone Business Security Enterprise hilft IT-Administratoren dabei, einen vollständigen Einblick in den Sicherheitsstatus ihrer Netzwerke zu erhalten. (Bild: ZinetroN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/a3/02/a302fc55ce64854309f68658699489e9/0110092786.jpeg ""Die dunkle Seite des Mondes": Viele heute gängige Verschlüsselungsalgorithmen werden durch die Power der kommenden Quantenrechner „ausgeknockt“. (Bild: frei lizenziert: Sebastian)")
:quality(80)/p7i.vogel.de/wcms/d1/c5/d1c5fea2ce3ce0ed7deecfdfaf4107ba/0110318835.jpeg "NTT und Cisco geben ihre Zusammenarbeit bekannt: Gemeinsam möchten sie Managed Private 5G für Unternehmen anbieten. Gerade in der Industrie ist eine Beschleunigung in Sachen 5G erforderlich. (Bild: Parradee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/55/1a/551a6019dabe99651db28e09bf021474/0110645639.jpeg "Einfach und DSGVO-konform: Die Prozesse sind für die Anwenderinnen und Anwender ebenso sicher wie für die Unternehmen, die eine KI-basierte Methode zur automatischen Identitätsverifikation nutzen. (Bild: PXL Vision)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/00/a0/00a0e8a2f1cdfee83e671424736a7301/0110648118.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b076ec25acd35a9a3b6b3981b3c2c/0109580118.jpeg "Best of Breed ist ein Ansatz, bei dem für jeden Anwendungsfall Herstellerunabhängig immer die bestmögliche Unternehmenssoftware verwendet wird, statt einer Komplettlösung eines einzigen Anbieters. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Eigenverantwortung für Cloud-Sicherheit Die zehn größten AWS-Security-Fehler
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Mit einem Anteil von mehr als 30 Prozent am globalen Cloud-Markt und einer Vielzahl von anpassbaren Funktionen ist Amazon Web Services (AWS) für viele Unternehmen zum bevorzugten Anbieter von Cloud-Diensten geworden. Während AWS zwar die Sicherheit der Cloud verwaltet, liegt die Verantwortung für die Sicherheit in der Cloud trotzdem beim Kunden.
Sicherheitsteams müssen ihren Teil des Modells der geteilten Verantwortung verstehen, bei dem Kunden die Kontrolle darüber behalten, welche Sicherheit sie zum Schutz ihrer eigenen Inhalte, Plattform, Anwendungen, Systeme und Netzwerke implementieren – genauso wie bei einem eigenen Rechenzentrum. Je nach Erfahrung mit Cloud-Diensten und Phase der Nutzung der öffentlichen Cloud gibt es bestimmte Punkte, auf die man sein Augenmerk richten sollte. Werfen wir einen Blick auf die zehn größten Fehler in Bezug auf die Security, um zu erkennen, was Unternehmen tun können, um die Sicherheit zu gewährleisten.
Fehler 1: Nutzung des Root-Accounts für alltägliche Aktivitäten
Der Root-Account (Root User oder auch Superuser) verfügt über die volle Kontrolle über den Account, einschließlich der Möglichkeit, den Account und sämtliche Inhalte zu löschen. Diese Zugriffsebene ist für bestimmte Aufgaben erforderlich und sollte nur in den entsprechenden Fällen verwendet werden. Alltägliche Aufgaben sollten auf Benutzerkonten mit begrenzten Befugnissen delegiert werden.
Damit vermeidet man die übermäßige Nutzung des Root-Accounts, was zu unbeabsichtigten, weitreichenden Änderungen von Berechtigungen, Richtlinien, Einstellungen und ähnlichem führen kann. Die meisten Benutzer, besonders in größeren Unternehmen, können ihre Arbeit problemlos mit eingeschränkteren Befugnissen erledigen. Und die die Kompromittierung eines Root-Kontos, das einem Angreifer die Möglichkeit bietet, alles mit den Daten zu tun, einschließlich des Löschens, kann verhindert werden. In größeren Unternehmen erhöht schon die schiere Anzahl der Benutzer das Risiko einer Kompromittierung.
AWS gibt die Flexibilität, zu partitionieren und Rollenberechtigungen festzulegen. Mit Lösungen von Drittanbietern können zudem Aktivitäten von Root-Benutzern überprüft und Sicherheitsverantwortliche auf schlechte Praktiken, wie die regelmäßige Verwendung eines Root-Benutzers in einem AWS-Konto, hingewiesen werden.
Fehler 2: Keine Partitionierung von Benutzer- und Rollenberechtigungen
Eine bewährte AWS-Sicherheitspraxis für Berechtigungen besteht darin, dem Benutzer nur die Berechtigungsstufe zu gewähren, die für die effektive Ausführung seiner Arbeit erforderlich ist. Diese Art des eingeschränkten rollenbasierten Zugriffs erfordert möglicherweise einige Feinabstimmung, um genau das richtige Maß zu finden, jedoch schränkt sie die Gefährdung Ihrer Daten effektiv ein. Wenn ein bestimmter Benutzer gelegentlich mehr Zugriff benötigt, als Sie ihm für den täglichen Gebrauch gewährt haben (etwa um Amazon EC2-Instanzen zu erstellen), gewähren Sie ihm zusätzliche Privilegien für die Dauer einer bestimmten Aufgabe und setzen Sie dann wieder auf den Standard zurück.
Fehler 3: Unbeschränkter Zugang zu Amazon S3 Buckets
Ein Amazon S3-Bucket ist ein öffentlicher Cloud-Speicherdienst, in dem oft auch sensible Daten wie Kunden- oder Zahlungsinformationen gespeichert werden. Es kommt leider immer wieder vor, dass AWS-Nutzer vergessen, Einschränkungen vorzunehmen, so dass der Zugriff auf diese Container für jeden möglich ist, der den entsprechenden Namen erraten (oder erschließen) kann. Ohne angemessene Zugangsrichtlinien sind Daten in Amazon S3 anfällig. Auch hier gibt es Drittanbieter-Lösungen, die nach außen offene Buckets aufspüren und konkrete Schritte zur Abhilfe vorschlagen.
Fehler 4: Verzicht auf Multi-Faktor-Authentifizierung
Viele Datenverletzungen sind das Ergebnis von Passwörtern, die keinen ausreichenden Schutz bieten, etwa weil sie von Haus aus schwach sind oder kompromittiert wurden. Heutzutage reicht eine einzige Authentifizierung bei der Anmeldung nicht mehr aus, um Ihre Daten sicher zu halten. Entsprechend ist eine Multi-Faktor-Authentifizierung (MFA) zum Muss geworden. Indem Sie von den Benutzern verlangen, sich mit ihrem Kontopasswort anzumelden und dann einen zweiten Schritt zu durchlaufen, können Sie das Risiko für Ihr Unternehmen verringern.
Einige gängige Beispiele für MFA sind zum einen OTP (one-time passwords). Hier werden Einmal-Passwörter per Telefon oder E-Mail an den Benutzer zur Überprüfung seiner Identität geschickt, bevor er seine Anmeldung abschließt. Zum anderen die Authentifizierung über USB-Hardware-Token, wobei der Nutzer nur einen USB-Stick benötigt, der ein OTP erzeugt, bevor er Zugriff erhält.
AWS-Benutzer, die nach einer Möglichkeit suchen, MFA einzusetzen, ohne ihrem Sicherheitsbudget einen weiteren Posten hinzuzufügen, können auf kostenlose Tools wie Google Authenticator zurückgreifen. Grundsätzlich sollten Sie überwachen, ob Best Practices wie MFA befolgt werden, und eine kontinuierliche Sicherheitsbewertung Ihrer Umgebung durchführen, um Risiken schnell zu erkennen und zu beheben. Diese zusätzlichen Schritte sind relativ schnell und schmerzlos, und sie tragen wesentlich zur Sicherung Ihrer Daten bei.
Fehler 5: Keine Verschlüsselung abgelegter Daten
AWS verfügt über einen Key-Management-Service, mit dem Sie Verschlüsselungs-Keys verwalten können. Dieser sollte zur Verschlüsselung von gespeicherten Daten verwendet werden. Leider ist diese Möglichkeit vielen Benutzern jedoch nicht bewusst. Zu den besten Verschlüsselungspraktiken gehört die Festlegung eines Verschlüsselungsschlüssels und wer ihn verwenden kann, und dann das Sperren des Schlüssels. Eine Verschlüsselung verhindert zwar keinen Datenverstoß, aber sie stellt sicher, dass Ihre Daten im Falle eines Datenverlusts privat bleiben.
Fehler 6: Keine Verwendung von Netzwerk-ACLs
Port-Scans sind ein sehr beliebter Angriffsvektor, um das schwächste Glied zu finden, über das ein Netzwerk infiltriert werden kann. Ohne die Implementierung der richtigen Schutzmaßnahmen wird permanent eine Menge unnötiger, unerwünschter und potenziell unsicherer Datenverkehr Ihre Sicherheitsgruppen treffen. Diese Gruppen fungieren oft als Firewall auf Instanzebene, aber je mehr Datenverkehr auf sie trifft, desto schwieriger ist es, potenzielle Bedrohungen wirksam zu überwachen. Die Verwendung der Standard-Netzwerk-ACLs lässt viel Datenverkehr zu und erzeugt eine größere Anzahl von Warnungen im Downstream, wodurch sich das Signal-Rausch-Verhältnis erhöht.
Verwendet man hingegen spezifische Netzwerk-ACLs lässt sich der Verkehr begrenzen und entsprechend der Lärm reduzieren. Wenn Sie zum Beispiel zulassen, dass SSH nur von einem bestimmten IP-Block innerhalb der ACLs stammt, erhalten Sie von den Instanzen keine Blockbenachrichtigungen in den VPC-Flussprotokollen. Infolgedessen können kompromittierte Anmeldeinformationen nicht von anderen IP-Adressen verwendet werden, und das SSH-Scannen wird Ihre Instanzen nicht treffen.
Fehler 7: Kein Einsatz von Monitoring- und Protokollierungsdiensten
AWS bietet eine Reihe von Möglichkeiten, die Benutzer bei der Verwaltung, dem Verständnis und der Feinabstimmung ihrer Cloud-Dienste für mehr Sicherheit und einen insgesamt besseren Betrieb zu unterstützen. Insbesondere neue oder nicht besonders versierte Benutzer sollten die Nutzung folgender Services in Betracht ziehen:
- AWS Config hilft Ihnen bei der Beurteilung der Konfiguration Ihrer AWS-Ressourcen zur Unterstützung von Konformitätsprüfungen, Fehlerbehebung im Betrieb und Sicherheitsbewertungen.
- Mit AWS CloudWatch können Sie Metriken sammeln und verfolgen, Protokolldateien überwachen, Alarme einstellen, automatisch auf Änderungen reagieren und vieles mehr.
- AWS CloudTrail ermöglicht unter anderem die Prüfung von Risiken und Betriebsabläufen, protokolliert und überwacht Kontoaktivitäten und bietet Ereignisverläufe zur Vereinfachung der Sicherheitsanalyse.
Fehler 8: Keine Identifizierung (und Verhinderung) von anormalem Verhalten
Wann immer eine Änderung in Ihrer AWS-Umgebung vorgenommen wird, sollten Sie dies bemerken und dann den Gründen nachgehen. Nutzen Sie hierfür Ihre Protokolle und Daten. Alle bisher beschriebenen Maßnahmen sind nur dann erfolgreich, wenn Sie strenge Verfahren anwenden, die sofortige proaktive Reaktionen ermöglichen. Effektive Cloud-Security-Lösungen lösen Alarme und Schutzmaßnahmen aus, sobald anomale Aktivitäten entdeckt werden.
Sie können kompromittierte Anmeldeinformationen oder potenzielle Kontoübernahmesituationen und andere Anomalien schnell identifizieren, indem Sie beispielsweise Anmeldeversuche oder fehlgeschlagene Anmeldeversuche verfolgen. Wenn Sie nicht über ein solches System verfügen, das Sie bei ungewöhnlichem Verhalten benachrichtigt, werden Sie Sicherheitsprobleme möglicherweise erst sehr spät oder gar nicht bemerken.
Fehler 9: Keine regelmäßige Änderung der Anmeldeinformationen (Access Keys)
Kompromittierte Zugangsdaten geben einem potenziellen Eindringling Zugang zu Ihren Cloud-Ressourcen. Wenn Sie Ihre Anmeldeinformationen regelmäßig ändern, begrenzen Sie den Zeitraum für einzelnen Berechtigungen und damit die Auswirkungen auf Ihre Daten und Ihr Geschäft, sollten sie in falsche Hände geraten. Richten Sie hierfür einen Zeitplan und einen Prozess für die Rotation der Anmeldeinformationen ein, um die Risiken zu minimieren.
AWS lässt diese Berechtigungsnachweise in einigen Anwendungen automatisch ablaufen und erneuert sie automatisch, aber je nach Standort Ihrer Anwendungen müssen Sie möglicherweise zusätzliche Schritte unternehmen, um einen Prozess zur Rotation der Zugangsdaten einzurichten.
Fehler 10: Kein hinreichendes Verständnis für die Auswirkungen auf die Sicherheit bei der Einführung und Nutzung von Diensten
Zahlreiche neue Benutzer steigen in AWS ein, ohne die Wirkungsweise oder die damit verbundenen Implikationen in Bezug auf die Datensicherheit zu verstehen. Wenn Sie zum ersten Mal mit AWS arbeiten, sollten Sie sich ausreichend Zeit nehmen, um zu verstehen, wie sich die verschiedenen Zugangsmöglichkeiten in der „realen Welt“ auswirken und welche Richtlinien und Verfahren eingeführt werden müssen, um das Risiko nachhaltig zu verringern.
Die Cloud verleitet zu hohem Tempo. Dennoch: Fangen Sie einfach an und bauen Sie dann langsam auf den Basisdiensten auf. Wenn man schnell verschiedene Dienste einrichtet, ist es schwierig, zu erkennen, was benötigt wird und was nicht, und zu verstehen, welche Sicherheitskontrollen implementiert werden müssen. Auch in der Cloud muss Sicherheit stets oberste Priorität haben.
* Der Autor Thomas Ehrlich ist Country Manager DACH von Netskope.
(ID:46803727)
:quality(80)/images.vogel.de/vogelonline/bdb/1882800/1882828/original.jpg "Der Report „Psychologie der Passwörter“ von Lastpass zeigt die Diskrepanz zwischen dem Sicherheitsbewusstsein vieler Internetnutzer und der gelebten Praxis. (Vitalii Vodolazskyi - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953600/1953606/original.jpg "KI ist eine Chance, aber auch ein Risiko. Wie geht man mit durch KIs verursachten Fehlern um, wer trägt die Verantwortung? (Kaikoro - stock.adobe.com)")