Cloud Security & Cybercrime: lauernde Gefahren

Cloud Security_lizengo

Wer eine öffentliche Cloud verwendet, ist auf die IT-Sicherheitsmaßnahmen des betreffenden Anbieters angewiesen. Sind diese nämlich unzureichend, bringt auch der beste Virenschutz nichts. Daher entscheiden sich Behörden wie der BSI meistens für IaaS-Lösungen, in denen die Kontrolle über den Aufbau und die Abschirmung der eigenen IT-Infrastruktur in der Hand der Nutzer-Organisation liegt. Allerdings sind Sicherheitslücken im IT-Alltag gang und gäbe, und zwar weniger aufgrund von Nachlässigkeit, als vielmehr wegen des rasanten technischen Fortschritts und der hiermit verbundenen wachsenden Herausforderungen. Doch welche Gefahren lauern eigentlich für Cloud-Nutzer und woran erkennt man eine gute „Cloud Security“? Wir liefern ein paar Fakten.

Cloud Security: Einfallstor Cloud vor Cyberkriminellen schützen

Das Misstrauen gegenüber Cloud-Lösungen ist in den letzten Jahren stark gesunken. Und das ist auch gut so. Schließlich bieten Cloud-Lösungen in vielen Punkten ja einen größeren Schutz als andere mögliche Alternativen. Allerdings setzt das voraus, dass man in der Cloud-Auswahl wählerisch bleibt. Ansonsten geht der Schuss nämlich nach hinten los und die eigene IT-Infrastruktur wird diversen Gefahren ausgesetzt. Laut BSI (2019) sind ungeschützte, öffentliche Cloud-Speicher häufig der Grund für Identitätsdiebstahl in den verschiedensten Ausprägungen.[1] Ist nämlich eine Cloud-Architektur falsch konfiguriert, oder genügt sie nicht den heutzutage notwendigen Sicherheitsstandards (wie Verschlüsselung oder 2FA), werden Man-in-the-Middle-Attacks ein Leichtes. So können die über die Cloud übertragenen Daten mit wenig Aufwand abgefangen oder mitgeschnitten werden.

Cloud Security: Clouds als Schutz vor Hacker-Angriffen?

Eigentlich soll ja die Cloud mehr Sicherheit bieten. Sollte der PC nämlich abstürzen und eine komplette Neuinstallation notwendig sein, ist jeder auf ein zuverlässiges Backup angewiesen. Und statt regelmäßig seine Daten und die aktualisierten Systemeigenschaften (s. Patches etc.) manuell auf dem externen Speicher oder wo auch immer abzuspeichern, kann ein sog. Cloud-Backup Abhilfe schaffen. Solche Cloud-Backups werden beispielsweise von Backblaze oder Acronis angeboten.[2]

Im Unterschied zu einem Cloud-Speicher dient der Cloud-Backup weniger dem flexiblen Zugriff von überall auf die eigenen Daten, als vielmehr der Datenabsicherung – für alle Fälle. Dabei ist ein Cloud-Backup unidirektional, sprich: Es werden (meistens zeitgesteuert) Daten vom Rechner in die Cloud abgelegt. Der Rechner importiert aber keine Daten aus der Cloud – wie dies im Falle einer Cloud-Speicher-Lösung geschieht, die ja bidirektional ist. Und sollte der Nutzer auf die per Backup virtuell abgesicherten Daten zugreifen müssen, kann er beim Anbieter einen USB-Stick oder ein ähnliches Speichermedium anfordern, um seine Daten auf dem betreffenden Endgerät wiederherzustellen.

Aber auch hier muss der User auf die Sicherheit der IT-Infrastruktur des gewählten Anbieters vertrauen. Und da das Cloud-Netzwerk solcher Anbieter immer aus physischen Servern besteht, können auch solche Lösungen Hacker-Angriffe erleiden.

Die in der Cloud lauernden Gefahren

Was kann einem denn schon passieren? Jede Menge! Und je nachdem, ob die Cloud privat oder geschäftlich genutzt wird, werden die Gefahren sowie das Schadenspotenzial unterschiedlich hoch ausfallen. Dabei muss Cyberkriminalität nicht immer unbedingt mit einem Hacker-Angriff einhergehen. So sorgte im Jahre 2011 eine Fehlkonfiguration in der Dropbox-Cloud-Infrastruktur für einen unbeabsichtigten Tag der offenen Türen – nur, dass Dropbox hiermit nicht die eigene Haustür öffnete, sondern die Tür zahlreicher Dropbox-User-Accounts. So war es stundenlang möglich, sich mit einem beliebigen Passwort in jeden User-Account einzuloggen. Da wurde der Weg für den elektronischen Hausfriedensbruch geebnet.[3] Aber auch Hacker-Angriffe diverser Art auf die Infrastruktur des Cloud-Anbieters können jede Menge Schaden anrichten.

DDoS- & APT-Angriffe

Die Cloud lebt gerade davon, dass sie stets und von überall virtuell erreichbar sein soll. Doch was ist, wenn das komplette Netzwerk lahmgelegt wird? Dann ist der Dienst – und somit die dort abgespeicherten Daten – überhaupt nicht mehr erreichbar. Fällt ein Cloud-Dienst für mehrere Stunden (oder länger) aus, ist es womöglich einem DDoS-Angriff zum Opfer gefallen. Daher greifen Cloud-Anbieter (wie beispielsweise Dropbox) oftmals auch zu Cloudflare, um sich gegen DDoS-Angriffe bestmöglich zu schützen.

Identitätsdiebstahl & Betrugsdelikte aus der Cloud

Immer mehr Unternehmen und Privatleute speichern sensible Informationen in der Cloud. Das ist für Hacker natürlich besonders anziehend. Denn: Gelingt es einem Hacker, ein Nutzer-Konto – oder gleich mehrere – zu hacken, dann gelangt er zu kriminell besonders ergiebigen personenbezogenen Daten. Und von da an kann er sich in diversen Betrugsdelikten selbst austoben, oder die gestohlenen Daten für teures Geld im Darknet Gleichgesinnten anbieten. Das kann – je nach Art der gestohlenen Daten – schwere Folgen nach sich ziehen. Ganz abgesehen von den datenschutzrechtlichen Aspekten, die dem Betroffenen noch ins Haus fallen: Sind beispielsweise personenbezogene Daten von Kunden oder Studierenden betroffen, dürfte der Ärger doppelt so hoch werden.

Erpressungsdelikte aus der Cloud

Wer Zugang zu fremden Nutzer-Konten erhält, kann dort die entsprechenden Einstellungen beliebig ändern. Ist die betroffene Cloud nicht mit 2-Faktor-Authentifizierung geschützt, kann ein Hacker im Handumdrehen das Passwort ändern, das Konto sperren oder gänzlich löschen lassen. Und wenn er die Oberhand über das Konto gewonnen hat, sitzt der Hacker auch am längeren Hebel und kann den betroffenen Nutzer erpressen. So kann für die Entsperrung des Nutzer-Kontos die Zahlung eines hohen Geldbetrags verlangt werden – oder gar mit der kompletten Löschung bei Nicht-Zahlung gedroht werden.

Gelingt es einem Hacker Ransomware in die Cloud einzuschleusen, droht auch hier Datenverlust, da selbst die Zahlung des „Löse-Geldes“ keine Garantie für die Entschlüsselung bzw. die Wiederherstellung der zerstörten bzw. verschlüsselten Daten sein dürfte.

„Schatten-IT“: Gefahren aus der Cloud

Auch der Mensch stellt weiterhin einen nicht zu vernachlässigenden Risiko-Faktor dar. In dem Zusammenhang ist häufig von der sogenannten „Schatten-IT“ die Rede. Verwenden nämlich einzelne Mitarbeiter eines Unternehmens – „unbemerkt“ und entgegen der Compliance-Regeln – öffentliche Cloud-Angebote, können sich dadurch ungewollte Sicherheitslücken in die lokale IT-Infrastruktur einschleichen.

Cloud Security

Laut Cloud-Monitor 2019 gibt es bislang keine Sicherheitsstandards für Cloud Security-Konzepte, an denen sich diejenigen Unternehmen richten könnten, die eine Cloud-Lösung in Betracht ziehen. Teilweise fehlen solche Konzepte in Unternehmen, die Cloud Services in Anspruch nehmen, sogar gänzlich.[4] Das heißt, dass sich viele Unternehmen gar keine Gedanken über notwendige Sicherheitsstandards machen, wenn sie sich für einen Cloud-Anbieter entscheiden.

Wenn die Kapazitäten für die Erstellung solcher Security-Konzepte intern nicht vorliegen, stehen durchaus externe, spezialisierte Dienstleistungsunternehmen zur Verfügung. Aufgrund der immer komplexer aufgebauten Multi-Cloud-Lösungen und der hierin integrierten Micro-Services werden die potenziellen Angriffsflächen außerdem immer größer. So überrascht es wenig, dass das Tätigkeitsfeld der Security Service-Lösungen in den letzten Jahren stark angewachsen ist und zukünftig noch weiterwachsen dürfte.

Cloud Security meistens besser als lokale Lösungen

Ist der Cloud-Anbieter in Sachen IT-Sicherheit auf dem neuesten Stand, bietet die Cloud mehr Sicherheit als andere lokale Lösungen. Schließlich sind ja IT-Experten für die Aufrechterhaltung der Security-Maßstäbe der Cloud zuständig. So können die Unternehmen durchatmen und sich gänzlich ihren „eigentlichen“ Aufgaben widmen. Allerdings gibt es im digitalen Zeitalter keine 100-prozentige Sicherheit. Hierbei sind öffentliche Clouds deutlich anfälliger für etwaige Hacker-Angriffe als private Clouds, da letztere einen deutlich eingeschränkteren Nutzerkreis haben.

Cloud Security: Was jede Cloud haben sollte

Wirksame Verschlüsselungsmechanismen

Erfolgt die Übertragung der Daten zwischen Client und Cloud unverschlüsselt, bekommen Hacker-Angriffe ein sehr einfaches Einfallstor. Doch auch eine Verschlüsselung ist keine Garantie für einen „makellosen“ Cloud-Anbieter. Denn was nützt die beste Verschlüsselung, wenn der Administrator der Cloud den Schlüssel hat und selbst zum „Datendieb“ werden kann? Nur eine sogenannte Private-Key-Verschlüsselung (in der das Sicherheitszertifikat auf dem Rechner des Endnutzers installiert ist) hindert den Cloud-Administrator daran, auf die so verschlüsselten Nutzer-Daten zuzugreifen. Denn der Schlüssel befindet sich ausschließlich auf dem Rechner des Endnutzers.

Sollte der Cloud-Anbieter eine solche Private-Key-Verschlüsselung nicht anbieten, hat der User die Möglichkeit, die Verschlüsselung selbst in die Hand zu nehmen – beispielsweise mit BoxCryptor oder Ähnlichem. Wenn es sich hierbei um sensible Daten handelt, dürften die hierfür aufzubringenden Kosten in der Kosten-Nutzen-Abwägung sicherlich kaum ins Gewicht fallen.

2-Faktor-Authentifizierung

Um das eigene Cloud-Konto gegen unerwünschten Besuch zu schützen, empfiehlt sich eine sogenannte 2-Faktor-Authentifizierung (2FA). Je nach Anbieter ist diese standardmäßig vorhanden; häufig muss diese separat aktiviert werden. Hierbei geht es darum, dass die Anmeldung in zwei Schritten erfolgt. Gerade bei ungewohnten Zugriffen (beispielsweise wenn der Zugriff vom Ausland aus erfolgt) informieren einige Cloud-Anbieter den Besitzer des entsprechenden Nutzerkontos über E-Mail und bitten ihn, den Zugriff zu bestätigen bzw. zu verweigern. Letzteres führt dann automatisch zur Sperrung des Kontos.

Auch bei OneDrive von Microsoft ist der besonders geschützte Personal Vault-Bereich, der gerade für die Speicherung sensibler Daten gedacht ist, nur mit 2FA zu entsperren. Möchte der User auf die Vault zugreifen, muss er einen Code eingeben, der ihm zuvor per SMS oder E-Mail geschickt wurde – oder aber er stimmt der Entsperrung mittels einer entsprechenden Smartphone-App zu. Außerdem wird die Personal Vault bei Inaktivität nach 20 Minuten sicherheitshalber gesperrt. Somit gestaltet sich ein unbefugter Zugriff deutlich schwieriger.

Cloud-Sicherheitskonzept mit lizengo-Software optimieren

Bei lizengo finden Sie zahlreiche Software-Produkte, die Ihnen dabei helfen, ein stabiles Cloud-Sicherheitskonzept auf die Beine zu stellen. So bieten Ihnen die Norton 360-Produkte nicht nur einen optimalen Virenschutz – samt VPN-Verbindung und Passwort-Manager –, sondern auch einen zuverlässigen und sicheren Backup-Cloud-Speicher, auf dem Sie Ihre sensiblen Daten sicher aufbewahren können. Große Unternehmen finden mit dem Sharepoint Server 2019 von Microsoft eine ausgefeilte Software-Lösung, die in Punkto Datenschutz einiges zu bieten hat. Gerne unterstützt Sie der lizengo-Kundensupport bei der Auswahl des für Sie am besten geeigneten Produktes.

Fanden Sie den Artikel interessant? Dann dürften Ihnen die Beiträge „Hacker-Angriffe in Deutschland: Typen, Methoden & aktuelles Gefährdungspotenzial“, „Cloud-Computing: eine wolkige Angelegenheit“, „Es gibt Clouds… und Clouds“, „IT-Sicherheit, Clouds & Datenschutz“,„Cybercrime & Informationssicherheit im Digitalisierungszeitalter“ sowie „Social-Engineering: Menschen für Hacker-Angriffe manipulieren“ sicherlich auch gefallen!


[1] BSI 2019, S. 8 (BSI 2019 = BSI, Lagebericht IT-Sicherheit in Deutschland 2019, veröffentlicht am 17.10.2019 unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2019.pdf?__blob=publicationFile&v=6).
[2] Vgl. https://www.experte.de/cloud-backup/backblaze.
[3] Vgl. https://blog.qsc.de/2013/04/vorsicht-wolke-sicherheitsrisiken-beim-cloud-computing/.
[4] Vgl. Cloud-Monitor 2019, S. 25.

(Visited 40 times, 1 visits today)
Last modified: 26. März 2020