Brian Jackson - Fotolia

Die Angriffsflächen Cloud-basierter Systeme

Immer mehr Dienste, Systeme und Endgeräte kommunizieren über die Cloud. Und bieten so je nach Implementierung eine prima Angriffsfläche für Attacken.

In der Vergangenheit war der Datendiebstahl von Kreditkartendaten und Ähnlichem für Cyberkriminelle recht lukrativ. Aber aufgrund der schieren Menge der gestohlenen Daten, ist der Wert des einzelnen Datensatzes gesunken. Manche der Daten werden gar niemals missbräuchlich genutzt. Die Geschäftsmodelle der Cyberkriminellen haben sich der Entwicklung angepasst. Das Thema Erpressungssoftware beziehungsweise Ransomware steht da im Fokus. Dabei ist dann nicht nur die Identität der Anwender in Gefahr, sondern auch geschäftskritische Dokumente oder gar medizinische Daten.

Bei zukünftigen Attacken werden durchaus Angriffsarten kombinieren, die bereits bekannt sind. Zudem werden die Cyberkriminellen ihre Angriffe weiter automatisieren. Längst nutzen die Angreifer Cloud-basierte Dienste und jegliche mit dem Internet verbundenen Geräte. In vielen Branchen besteht bereits eine große Abhängigkeit von derlei Devices, das reicht von der Produktion bis hin zur Logistik. Oftmals erfolgen Angriffe gegen diese Systeme noch mehr oder minder versehentlich. Die wenigen, bisher dokumentierten, gezielten Angriffe werden staatlichen Akteuren zugeschrieben.

IoT-Geräte als Geiseln

Während in der Vergangenheit anspruchsvolle Ansätze und finanziell gut ausgestattete Angreifer hinter diesen Attacken steckten, werden auch Angriffe auf industrielle Steuerungen immer mehr standardisiert. Wie bereits in anderen Bereichen, sind so auch wenig qualifizierte Hacker in der Lage, Ransomware-Attacken gegen solche Systeme zu starten. Per Malware werden diese Systeme als Geisel genommen, und beispielsweise die Produktion gestoppt oder mit der Zerstörung von Anlagen gedroht, bis die Opfer das Lösegeld bezahlen.

Technische ähnliche Ansätze werden in vielen Bereichen zu sehen sein, und sich dabei auch die Cloud zunutze machen. So lässt sich etwa ein Auto erst starten, wenn ein Lösegeld bezahlt wird. Oder Türen bleiben bis zur Zahlung einer bestimmten Bitcoin-Summe einfach geschlossen. Die Angreifer werden immer bessere Methoden entwickeln, um angreifbare Geräte aufzuspüren. Entsprechende Geräte sind dann die Eintrittskarte in anfällige Netze. Es obliegt der Kreativität der Angreifer, inwieweit sich das Internet der Dinge gegen die Anwender richten lässt.

Im Bereich Heimautomatisierung beziehungsweise Smart Home nimmt die Verbreitung von mit dem Internet verbundenen Geräten dramatisch zu. So entstehen zunehmend im Hinblick auf die Steuerung dieser Geräte Standards. Das macht die Lösungen bezüglich der Interoperabilität attraktiver für Verbraucher, aber auch für Angreifer können entsprechende APIs ein Einstiegspunkt sein. Im Smart Home arbeiten die Geräte häufig per drahtloser Kommunikation. Diese anzugreifen erfordert physische Nähe, der Großteil der Cloud-basierten Strukturen dahinter ist jedoch bequem remote zugänglich und oft ebenso anfällig für Bedrohungen.

Endgeräte in Sachen Heimautomatisierung oder auch Alarmanlagen kommunizieren häufig über Cloud-basierte Systeme. Beispielsweise sendet ein Smart-Home-Gerät Statusinformationen an die Cloud und empfängt von dort auszuführende Befehle. Wenn es hier bei der implementieren Authentifizierung hapert, ist dies ein Angriffspunkt, um das Gerät selbst oder gar die Cloud-Infrastruktur zu attackieren. Ein einfacher, verteilter Denial-of-Service-Angriff gegen Thermostate kann in der falschen Gegend schon einmal für erheblichen Unbill sorgen. Es wurden auch bereits Angriffe auf Fahrzeuge demonstriert, die sich auf Cloud-basierte Dienste verlassen, um mit mobilen Anwendungen zu kommunizieren. Die Apps wurden verwendet, um das Fahrzeug zu starten oder Türen zu öffnen.

Nun bergen IoT-Angriffe aber auch das Risiko, weitaus destruktiver auszufallen. Bislang sind derlei verheerende Attacken nicht gängig, meist beschränken sie sich auf DDoS-Angriffe. Diese verursachen keine dauerhaften Schäden. Künftige Angriffe, insbesondere in Verbindung mit Lösegeldforderungen, könnten durchaus darauf ausgerichtet sein, Geräte – absichtlich oder unabsichtlich – zu zerstören oder unbrauchbar zu machen. Bei vielen IoT-Geräten kann die Firmware per Fernwartungsfunktion ausgetauscht werden. Damit ließe sich ein Device dann dauerhaft aktivieren.

Die Abhängigkeit von Webdiensten ausnutzen

Softwareentwickler sind sich seit geraumer Zeit der Risiken bewusst, die die Verwendung unsicherer Komponenten mit sich bringt. Bei aktueller Software verlässt man sich häufig auf große, komplexe Bibliotheken. Oftmals sind neue Lösungen nur eine innovative Kombination bestehender Bibliotheken. So kann aber eine Schwachstelle in einer einzigen Bibliothek für eine Sicherheitslücke in zahlreichen Softwarelösungen sorgen. Wenn Entwickler die Sicherheitsanfälligkeiten der verwendeten Komponenten nicht sorgsam verfolgen, kann die eigene Software verwundbar bleiben. Selbst wenn der Fehler in der Bibliothek entdeckt und über ein Update geschlossen wurde.

Die zunehmende Nutzung von Cloud-basierten Diensten macht die Situation keineswegs besser. Im Gegenteil. Anstatt einer Bibliothek, die in dem Stück Software steckt, das an Clients ausgeliefert wird, nutzt die Software nun webbasierte Funktionen. Obwohl Entwickler wie Anwender auf diese Dienste angewiesen sind, können sie diese nicht kontrollieren, geschweige denn überprüfen. Wurde ein solcher Webdienst kompromittiert, kann dies über einen längeren Zeitraum unentdeckt bleiben. Ein Szenario wäre, dass der Dienst falsche Daten liefert, um Geschäftsentscheidungen zu beeinflussen. Diese Datenänderung wird ein wachsendes Problem innerhalb der Cloud-Bedrohungen, und nur sehr schwer zu erkennen sein.

Auch im Hinblick auf Authentifizierung und Zugriffsrechte ist die Abhängigkeit von Cloud-Diensten eher besorgniserregend. Ist ein Angreifer in der Lage, einen Fehler in einem gängigen Authentifzierungsdienst auszumachen und auszunutzen, kann er unter Umständen auf eine Vielzahl von Diensten Zugriff erlangen. OAuth, ein durchaus gängiger Standard zur Authentifizierung bei Cloud-Diensten, wird häufig falsch implementiert und damit Phishing-Angriffen ausgesetzt.

Zwei-Faktor-Authentifizierung erfreut sich zwar immer größerer Beliebtheit, wird aber noch nicht durchgängig genutzt. Und hie und da bieten Webdienste für Systeme, die eine Verbindung zum Dienst ohne Benutzerinteraktion herstellen müssen, eine Umgehung der Zwei-Faktor-Authentifizierung. Insbesondere webbasierte E-Mail-Dienste kämpften eine Zeit lang mit Problemen, eine Zwei-Faktor-Authentifizierung ordentlich zu implementieren und gleichzeitig, dass permanente Abrufen neuer Nachrichten von unterschiedlichen Clients zu gewährleisten. Ein Angreifer, der an die Anmeldedaten des Nutzers gelangt, kann häufig eine API-Konfiguration oder ein anwendungsspezifisches Passwort ändern, dass für den Zugriff auf den Dienst verwendet werden kann. Selbst nachdem das Eindringen erkannt und das primäre Kennwort für das Konto geändert wurde.

Manipulierte Cloud-Daten

Aber die Angriffe auf Cloud-Dienste können weitreichendere Folgen haben. So sind ERP-Systeme zu einem attraktiven Ziel für anspruchsvolle Angreifer geworden. Dabei wird versucht, beispielsweise urheberrechtlich geschützte Daten abzuziehen oder Daten so zu manipulieren, dass Geschäftsentscheidungen beeinflusst werden. Die Komplexität der Lösungen und die Tatsache, dass diese meist nur einmal eingerichtet werden, macht weder die Absicherung noch die Überwachung wirklich einfach. Zudem ist meist jede Implementierung sehr auf das jeweilige Unternehmen abgestimmt, was allgemeine Vorgehensweisen im Hinblick auf das Härten der Systeme nur sehr schwer umsetzbar macht. Dies verhält sich anders als bei Standardsoftware, Datenbanken oder Webservern.

Diese ERP-Lösungen nutzen zunehmend Cloud-basierte Webdienste – etwa, um mit Kunden oder Lieferanten zu interagieren. Oder das System selbst wurde sogar bereits in die Cloud migriert. Meist werden diese Lösungen nach dem SaaS-Modell angeboten. Damit liegt die Wartungs- und Sicherheitsverantwortung dann häufig beim Anbieter. Dabei ist es umso wichtiger, dass die eigene Authentifizierung und die Zugriffsrechte möglichst sauber mit der Lösung des SaaS-Anbieters integriert werden. Die Art und Weise, wie der Anbieter Sicherheit implementiert, wirkt sich schließlich direkt auf die Sicherheit der dort gespeicherten Daten aus.

Gleichzeitig werden diese SaaS-Provider selbst zu einem attraktiven Ziel. Gelingt ein Angriff auf einen solchen Provider, könnte dies unter Umständen bedeuten, dass die Angreifer Zugriff auf Daten mehrerer Kunden erlangen. So ein Angriff könnte mithilfe von Insidern erfolgen. Und die Mitarbeiter, die physischen Zugriff aufs Rechenzentrum haben, werden üblicherweise vom SaaS-Anbieter überprüft, nicht jedoch von den Kunden, deren Daten dort gespeichert sind.

Unternehmen müssen in der Lage sein, Cloud-Bedrohungen zu erkennen und gegebenenfalls schnell zu reagieren. Große Unternehmen sollten das Thema Threat Intelligence auf dem Radar haben und sich eingehend mit Bedrohungsanalysen beschäftigen. Für IT- wie Sicherheitsteams ist die zeitnahe Verteilung relevanter Sicherheitsinformationen wichtiger denn je.

Gleichzeitig verändern sich die Infrastruktur und die Netzwerkumgebung. Da werden Server in die Cloud migriert und das eigene Sicherheitspersonal hat keine Kontrolle mehr über die Netzwerkverbindung zum Server. Es kommen darüber hinaus immer mehr Netzwerkgeräte zum Einsatz, die zwingend eine Verbindung zur Cloud-basierten Infrastruktur erfordern. Das Umsetzen eines Air-Gap-Ansatzes, bei dem die unterschiedlich vertrauenswürdigen Lösungen voneinander isoliert sind, scheint da kaum mehr möglich.

Die Interaktionen zwischen verschiedenen Netzwerksegmenten werden immer komplexer. Häufig verwendet man Netzwerksegmentierung, um die Bedrohung durch unterschiedlich sichere Geräte zu verringern. In komplexen Umgebungen, wo beispielsweise ein einfacher ID-Scanner im Lager in die Cloud-basierte Bestandsverwaltung oder in die E-Commerce-Lösung schreibt und letztere wiederum ein Content Delivery Network (CDN) bedient, wird auch die Absicherung zunehmend zur Herausforderung. Die Konzeption entsprechender Netzwerke mit strengen Sicherheitszonen sowie das Whitelisting von IP-Adressen werden immer anspruchsvoller.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Der richtige Umgang mit Logfiles aus Cloud-Umgebungen

Privilegierte Benutzerkonten in der Cloud richtig sichern

IAM-Strategie an Cloud und Software-defined-Ansätze anpassen

Threat Intelligence: Bedrohungsanalysen verstehen und richtig einsetzen

Artikel wurde zuletzt im Februar 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close