:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Cloud-Native Breaches (CNB) Gefährliche Sicherheitslücken im Cloud-Code
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/e6/63e64c801da00/01-o24-color.png "01-o24-color (https://outpost24.com/de)")
Die Public Cloud der Hyperscaler ist sowohl bei Entwicklern als auch Finanzchefs der Unternehmen beliebt. Die einen versprechen sich mehr Geschwindigkeit und Verlässlichkeit, die anderen niedrigere Kosten bei der Entwicklung und Bereitstellung von Apps. Gefährlich wird es jedoch, wenn fehlerhaft programmiert wird oder es keine durchdefinierten Prozesse gibt.
Den 6. August 2020 wird das Management von Capital One so schnell nicht vergessen. Das Office of the Comptroller of the Currency (OCC), eine Behörde des Finanzministeriums der USA, verhängte an diesem Tag eine zivilrechtliche Geldstrafe in Höhe von 80 Millionen Dollar gegen den US-amerikanischen Finanzdienstleister. Eine Hackerin hatte Capital One im Juli 2019 100 Millionen Kreditkartendaten gestohlen. Die Urteilsbegründung: Die Bank habe es versäumt, vor der Migration der IT in eine Public-Cloud-Umgebung wirksame Risikobewertungsprozesse einzurichten und Mängel nicht rechtzeitig behoben.
Datenverluste stark zunehmend
Auch wenn derart drastische Strafen eher selten sind: Datenverluste sind längst kein Einzelfall mehr. Die Liste der Unternehmen, die 2019 und 2020 von Datendiebstahl betroffen waren, liest sich wie das Who is Who der internationalen Wirtschaft: unter anderem EasyJet, Nintendo oder Marriott Hotel in 2020, Facebook, Microsoft oder Toyota im Jahr 2019. Entweder waren wie bei EasyJet oder MGM Hotels Hacker am Werk oder einfach nur unzureichende Sicherheitsvorkehrungen implementiert, wodurch Externe auf ungeschützte Daten zugreifen konnten. Was aber auffällt: Die Zahl der Datenverluste hat seit 2020 massiv zugenommen. Und daran hat auch die Public Cloud einen signifikanten Anteil.
Es sind aber meist nicht die Public-Cloud-Anbieter selbst, die Hackern Tür und Tor öffnen. Eine Studie von McAfee zur Sicherheit von IaaS-Umgebungen: Ein großes Einfallstor für Hacker sind von den Cloud-Nutzern selbst fehlerhaft konfigurierte Systeme, die zudem auch noch über längere Zeiträume zu 99 Prozent unentdeckt bleiben. Noch gefährlicher: Selbst wenn Entwickler Fehlkonfigurationen identifizieren, bleibt mehr als ein Viertel der Probleme ungelöst, so die Ergebnisse der Studie – wobei die Fehlkonfigurationen von Infrastruktur ein höheres Risiko mit sich bringt als SaaS. Da der Anteil von Public-Cloud-Services beim IT-Sourcing der Unternehmen zunimmt, fehlt es ihnen häufig an ausreichendem Know-how, die Entwickler stehen unter hohem Zeitdruck, was die Fehlerquote in die Höhe treibt, oder es fehlt ihnen schlichtweg an Kapazitäten.
Cloud-Fehler erhöhen die Risiken
Diese fehlerhaften Konfigurationen können zu sogenannten Cloud-Native Breaches (CNB) führen und stellen ein massives Risiko für die unternehmensinterne Datensicherheit dar. Die Täter nutzen native Funktionen der Cloud-Infrastruktur, um sich Zugriff zu verschaffen, den Angriff auf benachbarte Cloud-Instanzen auszuweiten und letztendlich auch wertvolle Daten abzugreifen. So ist laut McAfee-Studie die Anzahl der Datendiebstähle in IaaS-Umgebungen im vergangenen Jahr um 248 Prozent gestiegen.
Die Cloud-nativen Angriffe basieren also nicht auf Malware, sondern es handelt sich um gezielte Aktionen von Hackern, die Fehler oder Schwachstellen in einer Cloud-Umgebung ausnutzen. Sie nutzen schlecht konfigurierte Infrastruktur, dringen weiter in die Infrastruktur ein, lokalisieren wertvolle Daten, und ziehen diese Daten ab. Unter anderem sind laut einer Studie von Accurics schlecht konfigurierte Cloud-Storage-Dienste in 93 Prozent der Fälle an der Tagesordnung. Die meisten haben auch mindestens eine fehlerhafte Netzwerkkonfiguration, bei der eine Sicherheitsgruppe weit offengelassen wird.
Qualifiziertes Personal ist Mangelware
Unternehmen scheinen oft in die Wolke zu „stolpern“, ohne einen konkreten Sicherheitsansatz zu definieren. Ein weiterer Grund, neben zu wenig technischem Verständnis, ist der hohe Zeitdruck. Wer „Lift-and-Shift“-Migrationen durchführt und bestehende Sicherheitspraxis willkürlich anwendet, stößt meist auf Schwierigkeiten. In der Tat sind Cloud-Plattformen für viele Organisationen so neu, dass ihnen das Wissen und die Fähigkeiten fehlen, Konfigurationen zu implementieren, die denen in ihrer bestehenden Umgebung nahekommen. Oder ihre Praktiken sind möglicherweise einfach nicht für die Cloud geeignet. Ein dritter Grund ist, dass die Cloud sehr dynamisch ist, sich daher Konfigurationsoptionen sowie Implementierung kontinuierlich ändern und mehr Sorgfalt erfordern.
„Viele Organisationen wollen bei der Integration von IaaS möglichst wenig Zeit verlieren. Dabei vergessen sie oft, dass Cloud-Sicherheit auf einem Shared-Responsibility-Model basiert. Das bedeutet, dass nicht der Cloud-Provider allein für das Thema Sicherheit verantwortlich ist, sondern auch der Nutzer“, sagt Rolf Haas, Senior Enterprise Technology Specialist bei McAfee. „Wer sensible Daten in die Cloud bringt, muss sich selbst um deren Schutz kümmern. Im Hinblick auf die immer häufiger vorkommenden Cloud-Native Breaches müssen Organisationen daher Security-Tools in Stellung bringen, die selbst cloud-nativ sind und speziell für den Einsatz in Cloud-Umgebungen konzipiert wurden.“
Sicherheit durch automatisierte Konfigurationsskripte
Um diese offensichtliche Sicherheitsmisere zu beenden, bieten sich mehrere Strategien an. Ein leistungsstarkes Werkzeug ist die Automatisierung durch Standard-Konfigurationen und die Verwendung von Bereitstellungs- sowie Konfigurationsskripte, die die Möglichkeit von Fehlkonfigurationen verringern und die Implementierungs- sowie Qualitätsprüfungsrate verbessern. Die Automatisierung ermöglicht auch zusätzliche Überprüfungen und Audits, um Fehler zu reduzieren und die Sicherheit zu verbessern.
Entwickler sollten sich mit Sicherheitswerkzeugen befassen, die mit Jenkins, Kubernetes usw. integriert werden können, um die Audit- und Korrekturprozesse zu automatisieren. Durch die Überprüfung der Sicherheitspraktiken mit einem Rahmenwerk wie Land-Expand-Exfiltrate in Bezug auf die gesamte Angriffskette haben Unternehmen eine Chance, einen Cloud-native-Breach zu verhindern, bevor er außer Kontrolle gerät.
Spezielle Sicherheits-Tools für die Cloud
Ein weiterer Ansatz ist der Einsatz von Sicherheitstools. Allerdings funktionieren traditionelle Sicherheitswerkzeuge in Cloud-Umgebungen entweder überhaupt nicht oder nur mit eingeschränkten Funktionen. Hier bietet sich die Kombination von Cloud Access Security Brokers (CASBs), Cloud Security Posture Management (CSPM) und Cloud Workload Protection Platforms (CWPP) an. Alle genannten Tools sind so konzipiert, dass sie innerhalb von DevOps und CI/CD-Prozessen funktionieren, ohne die Sicherheit im Rechenzentrum vor Ort zu duplizieren. Eine weitere wichtige Sicherheitstechnologie ist die Verschlüsselung, die zusammen mit sicheren Schlüsselverwaltungsprozessen eine zusätzliche Schutzebene bieten kann.
Damit ließen sich dann Datenverluste wie die mehr als 275 Millionen Datensätze von Einwohnern Indiens im Mai 2019 verhindern. Sie waren ungeschützt auf einer MongoDB-Datenbank in der AWS-Cloud gespeichert. Oder die 380 Millionen Datensätze mit den Namen, E-Mail-Adressen, Telefonnummern, LinkedIn- und Facebook-Profilen von mehr als 1,3 Milliarden Personen, die auf ungeschützten Elasticsearch-Servern lagen.
Über den Autor: Paul Schöber ist Portfoliomanager Cloud Security bei T-Systems.
(ID:46922226)
:quality(80)/p7i.vogel.de/wcms/46/5b/465bdd6675166b67e3d9ba344b65f54c/0108860273.jpeg "Wer bei der Konfiguration von Microsoft Azure falsche Entscheidungen trifft, öffnet gravierende Sicherheitslücken, gegen die Sicherheitstools in den meisten Fällen nicht helfen. (Bild: .shock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e7/38/e7387f0ec804df4a1f728f2ec4ce71a2/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")