michelangelus - Fotolia

Datenverlust vermeiden: Zugangskontrollen für die Cloud

Unternehmen, die keine Zugangskontrollen für die Cloud einsetzen, laufen Gefahr, das Opfer eines Datendiebstahls zu werden. Dabei helfen oft bereits einfache Maßnahmen.

Ein Security-Forscher hat eine Datenbank des Republican National Committee mit Informationen über rund 198 Millionen US-amerikanische Wähler entdeckt, die versehentlich öffentlich zugänglich war. Nach Angaben des Spezialisten für Cyber-Security UpGuard verfügte die Datenbank, die bei Amazon Simple Storage Service (S3) gehostet wurde, über keine Sicherheitsmaßnahmen, um Zugriffe zu verhindern. Weder eine Autorisierung noch andere Cloud-Zugriffskontrollen waren aktiviert, um die Daten zu schützen.

Diese Art von Vorfällen tauchte in den letzten Jahren unglücklicherweise immer wieder auf. Tatsächlich war es dieselbe Firma, die im Mai dieses Jahres zahlreiche als vertraulich eingestufte Geheimdienstunterlagen ebenfalls bei Amazon S3 entdeckte.

Im Juli 2017 wurden zudem die Daten von 14 Millionen Kunden des US-Providers Verizon in einem nicht ausreichend gesicherten S3-Bucket aufgespürt, das von der israelischen Softwarefirma Nice Systems verwaltet wurde. Bereits 2015 waren rund 1,5 Millionen medizinische Daten frei zugänglich bei Amazon Web Services (AWS), nachdem ein auf Versicherungsfragen spezialisiertes Unternehmen eine Datenbank nicht genügend absicherte.

Mangel an Richtlinien und geeigneten Kontrollen

Aus diesen Datenlecks lassen sich mehrere Schlüsse ziehen. So werden immer wieder selbst grundsätzliche Sicherheitsmaßnahmen vernachlässigt, wenn es um Cloud-Dienste und insbesondere die Speicherung von Daten in der Cloud geht.

Noch bedenklicher ist jedoch das mangelnde Verständnis für die Wichtigkeit von Richtlinien, Governance und Risk Assessment, wenn es darum geht, sensible Daten in der Cloud abzulegen. Warum wurden die erwähnten Daten überhaupt in der Cloud gespeichert und warum kümmerte sich niemand um ihre Sicherheit und Überwachung nachdem sie dorthin gelangten? Das sind Fragen und Probleme, um die sich IT-Abteilungen kümmern müssen und zwar schnell.

Alle Daten, die für eine Speicherung in der Cloud vorgesehen sind, sollten zunächst eindeutig klassifiziert werden. Außerdem sollten Kontrollen eingeführt und Risikoabschätzungen definiert werden, um überprüfen zu können, wann und ob überhaupt bestimmte Daten in der Cloud gespeichert werden müssen. Darüber hinaus gibt es viele erprobte Maßnahmen, die getroffen werden können, um eine sichere Nutzung der Cloud zu gewährleisten.

Zugriffskontrollen für die Cloud

Um künftig weitere Vorfälle, wie die eingangs erwähnten, zu verhindern, sollten Unternehmen mehr Aufwand in die Überwachung und Kontrolle ihrer Daten in der Cloud investieren. Insbesondere der Einsatz so genannter Cloud Access Security Broker (CASB) ist dafür in vielen Cloud- und SaaS-Umgebungen (Software as a Service) geeignet. Mit ihnen lassen sich die Nutzung und alle Zugriffe auf die in einem Unternehmen eingesetzten Cloud-Dienste überwachen und kontrollieren. Ein Cloud Access Security Broker kann zum Beispiel einen Alarm auslösen, wenn sensible Daten ohne explizite Freigabe in die Cloud transferiert werden sollen. So können gefährliche Datenlecks verhindert werden.

Darüber hinaus ist es die Aufgabe der IT-Security-Teams, in den Unternehmen Zugriffskontrollen zu setzen und alle bestehenden Zugriffsrechte in Cloud-Umgebungen zu überprüfen. Amazon S3 bietet eine Vielzahl von Möglichkeiten, die AWS-Kunden nutzen können, um ihre Daten vor fremdem Zugriff zu schützen.

So lassen sich etwa für jeden Amazon S3 Bucket detaillierte Zugriffskontrollen festlegen. Gerade wenn es um sensible Daten geht, sollten Unternehmen diese Kontrollen konsequent umsetzen und zudem Maßnahmen zum Identitäts-Management einführen. Dazu kommen ein ebenfalls erforderliches kontinuierliches Monitoring sowie Logging aller Aktivitäten.

Es gibt vor allem zwei Methoden, um Zugriffe auf einen Amazon S3 Bucket und die darin gespeicherten Daten zu sichern. Die erste Methode ist zugleich die einfachste: Sie findet sich in der grafischen AWS-Konsole in der Konfiguration der Access Control Lists (ACL). Mit ACLs können Unternehmen grundlegende Sicherheitsmaßnahmen definieren, um etwa Zugriffsrechte für AWS-Nutzer und anonyme Anwender zu konfigurieren. Standardmäßig hat der so genannte Owner eines Amazon S3 Buckets Lese- und Schreibrechte auf alle in ihm gespeicherten Daten. Dazu kommen die darin abgelegten Objekte und Dateien sowie die Zugriffsrechte auf den Bucket selbst.

Die zweite Methode, um einen S3 Bucket abzusichern, ist aufwändiger, bietet dafür aber auch tiefer gehende Konfigurationsmöglichkeiten. Dazu ist der Einsatz des AWS Identity and Access Managements nötig, mit dem sich detaillierte Richtlinien erstellen lassen, um die Zugriffe auf die Buckets und die darin abgelegten Daten genauestens zu konfigurieren.

Weitere Maßnahmen zur Kontrolle der Cloud

Nachdem die Zugriffskontrollen für die Cloud eingerichtet wurden, gibt es viele Möglichkeiten, um ihre Effizienz zu testen. So setzen Pentester und auf Schwachstellen spezialisierte Teams spezielle Tools ein, um die in den Buckets umgesetzten Richtlinien und allgemeine Sicherheitsmaßnahmen auf Herz und Nieren zu überprüfen. Auch kann die AWS-Kommandozeile aus der Ferne genutzt werden, um Buckets zu verwalten und um ihre Policies aufzulisten.

Der unabhängige Penetration-Tester Robin Wood hat zudem ein Tool namens Bucket Finder entwickelt, mit dem sich per Brute-Force-Suche Amazon S3 Buckets aufspüren lassen. Andere zum Aufspüren und Überprüfen geeignete Tools sind S3 Knock, Lazy S3 und AWS Scan.

Aber gleichgültig, welches Tool zur Kontrolle genutzt wird: Unternehmen müssen bereits im Vorfeld Richtlinien für die Speicherung von Daten in der Cloud festlegen. Nur dann können sie den Datenfluss in die Cloud mit On-Premises-Maßnahmen oder CASB-Plattformen und -Diensten kontrollieren. Außerdem sollten sie laufend nach S3 Buckets oder anderen Cloud-Speichern im Unternehmen suchen, die nicht nach den festgelegten Standards ausreichend abgesichert sind und die nicht den definierten Compliance-Regeln entsprechen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Per CASB die sichere Cloud-Nutzung gewährleisten

Ein SIEM durch Cloud Access Security Broker ergänzen

Sensible Daten in S3-Speichern mit Amazon Macie schützen

Artikel wurde zuletzt im September 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Vulnerability-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close