Fehlkonfigurationen als Cyberrisiko Sicherheitslücken und Fehl­konfi­gura­tionen sind vermeidbar

Von Dr. Sebastian Schmerl

Cyberkriminelle haben nicht nur aufgrund von Sicherheitslücken wie Log4Shell oder sogar via die Sicherheitssoftware „Microsoft Defender“ leichtes Spiel, sondern auch, weil viele Cloud-Applikationen unzureichend konfiguriert sind. Ein weiteres unterschätztes Problem: Unternehmen verwechseln die Standardeinstellungen ihrer Sicherheitsanwendungen mit Best-Practices in Sachen Sicherheit.

Anbieter zum Thema

Was sollten Unternehmen bei der Konfiguration ihrer Security-Lösungen beachten, um bestmöglich geschützt zu sein?
Was sollten Unternehmen bei der Konfiguration ihrer Security-Lösungen beachten, um bestmöglich geschützt zu sein?
(Bild: WrightStudio - stock.adobe.com)

Cloud-Infrastrukturen sind heute entscheidende Komponenten für nahezu alle Organisationen. So verwundert es nicht, dass die Ausgaben für Cloud Computing laut Analystenhaus Canalys bereits Anfang 2021 41,8 Milliarden US-Dollar erreichten. Das ist ein Anstieg um 35 Prozent im Vergleich zum Vorjahr. Wie bei jedem unternehmensweit eingeführten Programm, erfordern auch Cloud-Infrastrukturinitiativen eine umfassende Planung sowie eine plangenaue Implementierung und Konfiguration, um erfolgreich zu sein. Eine unzureichende Konfiguration kann unnötige Komplexität und Risiken zur Folge haben und so Cyberkriminellen Angriffsflächen bieten, um Unternehmen zu infiltrieren. Es geht jedoch nicht nur um die Umsetzung einer sicheren Konfiguration und den richtigen Betrieb der Systeme, auch oftmals unpassende Standardeinstellungen müssen überdacht und geprüft werden, um Sicherheitslücken von Anfang an zu vermeiden.

Fehlkonfigurationen als Cyberrisiko

Von unklaren Verantwortungsverhältnissen bis hin zu inkorrekt verwalteten Standardeinstellungen − die Ursachen für Fehlkonfigurationen in der Cloud machen einen großen Teil des Cyberrisikos für Unternehmen aus. Vor allem, weil die Grenzen zwischen Personen, Geräten und Anwendungen in der digitalen Welt fließend sind. Daher ist es unerlässlich, dass Sicherheitsexperten jede Applikation sowie alle Services, Geräte und User, die sich Zugang zum Cloud-Netzwerk des Unternehmens verschaffen wollen, eindeutig identifizieren und verifizieren – selbst, wenn die jeweilige Identität vorgibt, von einer vertrauenswürdigen Quelle zu stammen. Ansonsten besteht die Gefahr, dass Angreifer sich fremde digitale Identitäten aneignen und sich ohne weitere Prüfung Zugriff auf sensible Bereiche der Infrastruktur verschaffen. Dort können sie gegebenenfalls über einen längeren Zeitraum völlig unbemerkt wertvolle Unternehmensdaten sammeln.

Alle User überprüfen – immer!

Aus diesem Grund ist das Identity and Access Management (IAM) eine der wichtigsten und komplexesten Architekturen der drei großen Cloud Service Provider (CSPs). Mit IAM wird gesteuert, wer auf bestimmte Ressourcen und Informationen zugreifen kann. So erhalten nur diejenigen Nutzer, Services, Geräte oder Anwendungen Zugriffsrechte, die diese auch wirklich benötigen. Organisatorische Richtlinien definieren, welche Zugriffe und Technologien für die jeweiligen Positionen notwendig sind. Diese Thematik ist sehr komplex, und hier können sich schnell Fehler einschleichen.

Vorsicht bei Sicherheitsgruppen!

Neben IAM ist die Erstellung von Sicherheitsgruppen ein weiterer Faktor, der Einfluss auf den Erfolg oder Misserfolg von Absicherungen hat. Sicherheitsgruppen werden genutzt, um User-Konten und weitere Gruppen in administrierbaren Einheiten zusammenzufassen und dienen als Kontroll- und Durchsetzungsinstanz für traditionelle IT-Umgebungen. Mittels Cloud-Sicherheitsgruppen lässt sich auch der eingehende und ausgehenden Datenverkehr auf der Grundlage von Regeln beschränken. Zudem können Sicherheitsgruppen Reaktionen anstoßen, indem sie Alerts an die Sicherheits- und IT-Teams senden und sie so auf ungewöhnliche oder verdächtige Aktivitäten hinweisen. Das kann bei schlechter Konfiguration zu einer wahren Flut an Warnungen und Benachrichtigungen führen, die die IT-Teams täglich überrollt. Um dem vorzubeugen, erstellen Verantwortliche teilweise leider nur wenige, zu unspezifische Sicherheitsgruppen, die dann schnell zu viel erlauben und das Least-Privilege-Prinzip (also das Prinzip, nach dem ein Benutzerkonto lediglich diejenigen Zugriffsrechte haben sollte, die für dessen Rolle erforderlich sind) verletzen.

Was auf den ersten Blick wie eine effiziente Lösung aussieht, ist im Grunde so, also würde man den Standard-Benutzerkonten auch Domain-Admin-Rechte geben – was tunlichst zu vermeiden ist. Falsche Sicherheitsrichtlinien-Einstellungen dienen Angreifern als Einfallstor und vergrößern schnell und unbemerkt die Angriffsfläche von Unternehmen. Organisationen, die mehrere CSPs nutzen, sind am stärksten gefordert, da es kaum einheitliche oder übergreifende Konfigurationsmöglichkeiten gibt. Unternehmen müssen jede Plattform entsprechend anpassen, um den Schutz der Anwendungen in der gesamten Cloud-Infrastruktur sicherzustellen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Was sind „authentifizierte Nutzer“ wirklich?

Der Begriff „authentifizierter Nutzer“ kann irreführend sein, wenn es um die Cloud geht. Die Annahme liegt nah, dass dieser Begriff ausschließlich für diejenigen User gilt, die bereits im Unternehmen authentifiziert sind. Dies ist jedoch nicht der Fall. Jeder, der das Prädikat „authentifizierter Nutzer“ hat, kann auf die Unternehmens-Cloud zugreifen – sowohl interne als auch externe Quellen. Um unbefugten – also unternehmensexternen – Zugriff zu verhindern, ist es von entscheidender Bedeutung, dass Unternehmen entsprechende Maßnahmen ergreifen und alle Nutzer verwalten und nachverfolgen, die Änderungen an der Cloud-Infrastruktur vornehmen. Die genaue Protokollierung ist der Schlüssel, um verdächtige Aktivitäten zu erkennen und im Ernstfall schnell und adäquat zu reagieren.

Was tun gegen Sicherheitslücken?

Um Sicherheitslücken zu vermeiden oder zu schließen – egal ob hervorgerufen durch Fehlkonfigurationen, falsche Handhabung oder ungenügende, veraltete Sicherheitsmaßnahmen und -Tools – ist die Erarbeitung und Ausführung eines umfassenden Sicherheitskonzepts unumgänglich. Hierfür muss eine Bestandsaufnahme der bestehenden Cloud-Infrastruktur sowie der aktuellen Sicherheitsmaßnahmen erfolgen. Ist der Status quo der Cybersecurity geklärt und sind bestehende Schwachstellen beseitigt, müssen die Anwendungen, Services und Systeme sowie Identitäten fortlaufend überprüft und auf den neuesten Stand gebracht werden. Ereignet sich doch einmal ein Vorfall, ist Schnelligkeit entscheidend, um das Problem einzugrenzen, zu beseitigen und den entstandenen Schaden möglichst gering zu halten. Unternehmen, denen dafür die nötigen Ressourcen fehlen, können mit Partnern wie Arctic Wolf zusammenzuarbeiten, die sich auf Security Operations Services spezialisiert haben und sie bei ihren Sicherheitsbemühungen unterstützen.

Fazit: Sicherheitslücken und Fehlkonfigurationen sind vermeidbar

In einer von externen Bedrohungen geprägten IT-Landschaft gibt es keinen Platz für Kompromisse bei der grundlegenden Cloud-Hygiene. Was als Fehler in den Standardeinstellungen beginnt, kann schnell zu einer kostenintensiven Krise für Unternehmen werden und nervenaufreibende Folgen für deren Führungskräfte, Mitarbeitende und Kunden haben. Durch einen klaren Fokus auf Cloud-Hygiene und regelmäßige Sicherheitsüberprüfungen können Unternehmen ein strategisches Sicherheitsprogramm durchsetzen, das Cyberrisiken minimiert und die Auswirkungen von Angriffen effektiv begrenzt.

Über den Autor: Dr. Sebastian Schmerl ist Director Security Services EMEA bei Arctic Wolf.

(ID:48195886)