Bedrohungen in der Cloud

Seit Jahren treibt das Thema Cloud nicht nur hierzulande viele IT-Verantwortliche in Unternehmen um. Allerdings war die Nutzung dieser Technologie noch bis vor kurzem in Deutschland nicht so weit verbreitet wie in anderen Industrienationen. Dies hat sich angesichts der rapiden Ausbreitung der Corona-Pandemie vor zwei Jahren schlagartig verändert. Plötzlich waren Cloud-Speicher und SaaS-Lösungen (Software as a Service) fast überall zu finden – aller vorheriger Bedenken zum Trotz.

Doch mit dem Paradigmenwechsel ging auch eine enorme Ausweitung der Angriffsflächen der Organisationen einher. Da diese jedoch in der Mehrzahl der Fälle ihre Cybersicherheitsmaßnahmen Perimeter-basiert aufgebaut haben, unterwandert der verstärkte Einsatz der Cloud zweifelsohne diesen Security-Ansatz. Die Verantwortlichen müssen sich folglich nicht nur über eine Neuausrichtung ihrer Security-Strategie Gedanken machen, sondern sich im gleichen Atemzug um die Absicherung der Cloud-Nutzung kümmern. Dabei gilt es, den wichtigsten fünf Sicherheitsrisiken zu begegnen, die mit der Cloud einhergehen:

1. Angriffe auf Software-Lieferketten verhindern

Da die Verwendung von Open-Source-Komponenten bei der Entwicklung von Cloud-nativen Anwendungen weit verbreitet ist, stellen Angriffe auf die Software-Lieferkette ein erhebliches Cloud-Risiko dar. Der State of the Software Supply Chain Report von Sonatype aus dem Jahr 2020 belegt einen deutlichen Anstieg der Angriffe auf Software von Drittanbietern um 430 Prozent – und die Anzahl dieser Angriffe dürfte voraussichtlich noch weiter zunehmen. Cyberkriminelle sind sehr geschickt darin, sich an verändernde Angriffsflächen anzupassen und neue Schwachstellen in der Software-Lieferkette aufzudecken. Daher müssen die Verantwortlichen dafür Sorge tragen, dass etwaige Sicherheitslücken so schnell wie möglich behoben werden.

2. Compliance-Prüfung

Bei der Einhaltung von Vorschriften geht es nicht nur um das Bestehen von Audits und das Abhaken von Punkten auf einer Liste. Zwar halten Cloud-Anbieter grundlegende Compliance-Standards ein und bieten ihren Kunden entsprechende Sicherheitsfunktionen und -tools, dennoch sind die Kunden für die Sicherheit Ihrer Cloud-Netzwerke selbst verantwortlich. Laut einer SANS-Umfrage zur Cloud-Sicherheit aus dem Jahr 2021 wollen viele Organisationen daher Penetrationstests in ihre Cloud-Sicherheitsstrategien miteinbeziehen. Dadurch sollen die derzeit angewendeten Sicherheitsmaßnahmen in Bezug auf die Compliance ergänzt werden.

3. Ungesicherte APIs

APIs dienen der Rationalisierung von Cloud-Computing-Prozessen, indem interne Anwendungen und Daten Dritten zugänglich gemacht werden. Sie sind folglich von grundlegender Bedeutung in Sachen digitaler Transformation und ermöglichen eine neue Generation von Cloud-Anwendungen. Allerdings können ungesicherte APIs für Unternehmen auch eine große Gefahr darstellen. Dies zeigt auch eine Studie von Radware. Laut dessen State of Web Application Security Report 2020-2021 erlebten 84 Prozent der befragten Unternehmen API-Manipulationsattacken auf Webserver oder -anwendungen.

4. Risiko: beschleunigte Digitalisierung

Mehr als 9 von 10 befragten Unternehmen (92 %), gab in einer Studie des Bitkom an, dass sich die digitale Transformation in ihrem Unternehmen angesichts der grassierenden Pandemie beschleunigt hat. Die Digitalisierung selbst hat sich dabei zu einer fundamentalen Geschäftsstrategie entwickelt, die erhebliche Vorteile wie Produktivitätssteigerungen, erhöhte Effizienz, Kosteneinsparungen und vieles mehr verheißt. Allerdings birgt sie auch ein erhebliches Risiko und sorgt für neue Angriffsflächen. Dem Verizon DBIR 2020 zufolge betrafen 43 Prozent aller Sicherheitsvorfälle im Untersuchungszeitraum Webanwendungen. Angesichts dessen, dass IDC davon ausgeht, dass bis 2023 mehr als 500 Millionen digitale Anwendungen und Dienste mit Cloud-nativen Ansätzen entwickelt und bereitgestellt werden, ergibt sich daraus ein erhebliches Potenzial für Sicherheitsvorfälle.

5. Cloud-Fehlkonfigurationen

Im Cloud Security Report 2020 von Check Point gaben 68 Prozent der Unternehmen an, dass Fehlkonfigurationen in der Cloud aus ihrer Sicht die größte Gefahr für die Cloud-Sicherheit darstellen. Durch Fehlkonfigurationen entstehen kritische Lücken in der Cloud-Sicherheit und machen Unternehmen anfällig für gravierende, kostspielige Angriffe. Die Bedeutung dieses Risikos wird auch anhand einer weiteren Zahl deutlich: Im Jahr 2021 meldete die weltweite Community ethischer Hacker via Hackerone einen Anstieg der auf Fehlkonfiguration beruhenden Schwachstellen um beängstigende 97 Prozent. Gartner prognostiziert in diesem Zusammenhang, dass bis 2025 99 Prozent dieser Sicherheitsmängel auf Fehler zurückzuführen sein werden, die die Kunden der Cloud-Anbieter durch eben genau jene Fehlkonfigurationen selbst verursacht haben.

Risikominimierung mit Hilfe von Hackern

Die Cloud bietet Unternehmen zahllose Vorteile, insbesondere seitdem immer mehr Beschäftigte ihrer Tätigkeit aus dem Homeoffice nachgehen. Allerdings gilt es die mit der verstärkten Cloud-Nutzung einhergehenden Risiken zu minimieren und für sichere Webanwendungen und Konfigurationen zu sorgen. Angesichts der Vielzahl von potenziellen Schwachstellen übersteigt die Suche danach jedoch die Kapazitäten jedes Security-Teams. Höchste Zeit also, einen neuen Weg einzuschlagen.

Einen Ausweg aus diesem Dilemma bietet der Einsatz ethischer Hacker. Als Externe sorgen diese im Rahmen von Penetrationstests und Bug-Bounty-Programmen dafür, dass Sicherheitslücken zeitnah gemeldet und von einer Organisation ebenso schnell behoben werden können. Im Rahmen solcher Programme erhalten die Hacker Prämien für gefundene Sicherheitslücken, die ordnungsgemäß gemeldet werden.

Früher mussten Cloud-Anbieter zunächst benachrichtigt werden, bevor entsprechende Security-Tests durchgeführt werden konnten. Zudem mussten den Anbietern Informationen zum Pentester, das Datum des Tests und der Zeitrahmen mitgeteilt werden. Für ein kontinuierliches und öffentlich angelegtes Bug-Bounty-Programm nicht sonderlich ideal. Die gute Nachricht ist jedoch, dass dies nicht länger erforderlich ist und die meisten Unternehmen, die über ein Bug-Bounty-Programm verfügen, in der Cloud-gehostete Umgebungen entsprechend überwachen. Denn die folgenreichsten Sicherheitslücken betreffen zumeist Cloud-Plattformen, wobei falsche Konfigurationen zur Offenlegung von Informationen führen können. Das wiederum führt dazu, dass auch die höchsten Bug Bounties für Sicherheitslücken in der Cloud gezahlt werden.

Durch kontinuierliche, umfassende Tests sowie die Identifikation von Schwachstellen und deren Dokumentation steigert die Unterstützung ethischer Hacker die Sicherheit im gesamten Cloud-Computing-Ökosystem. Bug-Bounty-Programme lassen sich zudem einfach skalieren, wodurch sie nicht nur für mittelständische Unternehmen interessant sind, sondern auch im Falle von Großunternehmen und Konzernen einen wichtigen Beitrag zur Cloud-Sicherheit und anderen Aspekten der Cybersecurity leisten können.