Tipps von CybelAngel Löcher in Amazon S3 Buckets rechtzeitig stopfen

Autor / Redakteur: Martin Hensel / Dr. Jürgen Ehneß

Der Security-Spezialist CybelAngel sieht eine exponentiell zunehmende Nutzung von AWS-S3-Speicher-Buckets. Dadurch rückt der Dienst aber auch in den Fokus von Cyberkriminellen. Schutzmaßnahmen sollten daher obligatorisch sein.

Firmen zum Thema

CybelAngel rät zum rechtzeitigen Schutz von Amazon S3 Buckets.
CybelAngel rät zum rechtzeitigen Schutz von Amazon S3 Buckets.
(Bild: CybelAngel)

Als Treiber für den zunehmenden Einsatz der Speicher-Buckets nennt CybelAngel die gemeinsame Nutzung von Dateien und das Hosting internetbasierter Dienste. Die kollaborativen Funktionen und hohe Flexibilität würden S3 Buckets zur ersten Wahl für viele Unternehmen machen – allerdings auch zum lohnenden Ziel für Angreifer, die es auf sensible Daten abgesehen haben. Neben dem Diebstahl von Daten können Angreifer auch den Zugriff zu den Informationen im S3 Bucket versperren oder vorhandene Daten abändern und Unternehmen dadurch in kritische Situationen bringen. Mangelnde Schutzmaßnahmen wie etwa eine fehlerhafte Konfiguration der Zugriffslisten stellen Einfallstore dar.

Lecks sind weitverbreitet

Um das Problem zu verdeutlichen, hat CybelAngel Ende vergangenen Jahres eine Untersuchung durchgeführt. Über einen Zeitraum von knapp drei Monaten überprüften die Sicherheitsexperten 409.166 öffentlich exponierte AWS S3 Buckets. Sie entdeckten unter anderem rund 124 Millionen Office-Dokumente sowie knapp eine Milliarde PDFs. Die meisten Dokumente stammten aus den Branchen Finanzen, Logistik, Vermögensverwaltung, Tourismus, Gastgewerbe und IT.

Um zu testen, ob ein S3 Bucket öffentlich zugänglich ist, reicht ein Zugriffsversuch auf die jeweilige URL. Ist der Bucket-Speicher gesichert, werden der Zugriff verweigert und Inhalte nicht angezeigt. Andernfalls ist eine Liste der ersten tausend enthaltenen Dateien zu sehen. Grund dafür könnten laut CybelAngel fehlerhaft konfigurierte Zugriffsberechtigungen sein, die zu viele Schlupflöcher bieten. Eine weitere Möglichkeit sind zu viele Berechtigungen für einzelne Benutzer, wodurch unter Umständen auch Dateien gelistet werden, die nicht für einen breiten Anwenderkreis bestimmt sind.

Tipps für besseren Datenschutz

Die Experten von CybelAngel empfehlen Unternehmen, grundsätzlich die Option für den öffentlichen Zugriff aus ihren Buckets zu entfernen oder nur in unumgänglichen Fällen zu gewähren. Dieser Vorgang wird über die S3-Administrationsdienste abgewickelt. Zudem sollten sich sämtliche AWS-Konten, Benutzer, Funktionen, Zugriffsoptionen sowie anonyme Zugriffe ausschließlich innerhalb des Buckets verwalten lassen.

CybelAngel rät zudem dazu, die verwendeten S3-Berechtigungen so granular wie möglich zu definieren. Benötigt zum Beispiel ein bestimmter Nutzer keinen Zugriff auf einen Bucket mehr, so gibt es keinen Grund, ihm den Zugang weiterhin einzuräumen. Whitelisting statt Blacklisting sorgt für zusätzliche Sicherheit und gestattet eine effizientere Kontrolle der Zugriffsverwaltung.

(ID:47096032)