Sicherheitsbedrohungen durch Fehlkonfigurationen in der Cloud
Mehr und mehr Sicherheitsbedrohungen lauern vor allem in Cloudanwendungen, die einer steigenden Anzahl von Unternehmen als Speicher- und Rechenkapazitäten dienen. Trotz der flexiblen IT-Strukturen und der zahlreichen Vorteilen im produktiven Betrieb benötigen Firmen spezifische Sicherheitsvorkehrungen bei der Datensicherung. Drohende Datenverluste oder das Risiko des illegalen Crypto-Mining sind nur zwei der Gefahren, die Nutzer kennen sollten. Lesen Sie, warum IT-Verantwortliche Schwachstellen vorher lokalisieren und Cloudangebote genau prüfen sollten.
Die Cloud ist als Speichermedium aus modernen Unternehmen nicht mehr wegzudenken. Anders als hardwarebasierte Rechenzentren bieten Cloudanwendungen variable Speicher- und Rechenkapazitäten, die abhängig von der Geschwindigkeit des Unternehmenswachstums skalierbar sind. In Bezug auf Kundenbedürfnisse steht so einfach die passende Cloudlösung zur Verfügung. Cloudsysteme benötigen trotz vieler Anwendungsvorteile auch spezifische Sicherheitsvorkehrungen. Genau darauf sind viele Unternehmen trotz eigener IT-Abteilung oft nicht vorbereitet – mit Folgen für die eigene Datensicherheit.
Cloudimplementierungen sind je nach Unternehmensgröße unterschiedlich umfangreich und jede Nutzungsart ist mit eigenen Sicherheitsvorkehrungen verbunden. Das schiere Vorhandensein von unterschiedlichen Sicherheitsvorkehrungen macht die Einhaltung von Security- und Compliance-Fragen komplex und schwer zu überblicken. Jeder Service ist anders aufgebaut, was zu technischen Unterschieden innerhalb der Angebote führt. Daher ist bei der Wahl eines geeigneten Anbieters eine komplexe Auseinandersetzung mit dem Angebot unerlässlich.
Gefahren der Cybersicherheit am Beispiel Amazon S3
Der Amazon Simple Storage Service (kurz Amazon S3) ist der Branchenführer bei Objektspeicher-Dienstleistungen. Seit dem Start im Jahr 2016 können Kunden aller Größen und Branchen mit diesem Service eine beliebige Menge an Daten speichern. Seither ist die Verwaltungsfunktion einer der Grundpfeiler von AWS.
Doch das Angebot hat so einige Tücken. Immer wieder treten durch fehlerhafte Einrichtung und falsche Konfigurationen auf Nutzerseite gravierende Sicherheitsprobleme auf. In den Jahren seit dem offiziellen Markteintritt sind zahllose Fälle dokumentiert worden, in denen Hacker aufgrund dieser unbeabsichtigten Fehlkonfigurationen gezielt Amazon S3 für Angriffe im Blick hatten. Eine Studie des SANS-Instituts zu Cloudsicherheit aus dem Jahr 2019 hat dies zusätzlich bestätigt. Doch wo genau liegen die Gefahren?
Datenverlust: Offen beschreibbare Buckets von Unternehmen werden aufgrund der fehlenden Zugangsbeschränkungen immer häufiger Opfer von Hackerangriffen. Ziel der Angriffe mithilfe von Schadsoftware oder Änderungen im Quellcode der Website sind oftmals sensible Kundendaten. Die Attacken werden möglich, wenn Angreifer den Namen des Buckets kennen und dieser nicht schreibgeschützt ist.
Crypto-Mining: Gerade Webseiten großer Unternehmen geraten immer häufiger ins Visier von Hackern und werden dann für das illegale Mining von Kryptowährungen missbraucht. 2018 kam der Fall einer großen amerikanischen Tageszeitung ans Licht. Durch einen Konfigurationsfehler waren Hacker in der Lage ein kleines "Add-on" zu platzieren, das mit dem Aufruf der Seite auf den Rechnern des Online-Lesers Crypto-Mining betrieb. Möglich wurde dies, da die Verantwortlichen sämtliche Daten und benötigte Templates für die Website in nur einem Access Point (dem sogenannten Bucket) hinterlegt hatten. Dieser war fehlerhaft konfiguriert, wodurch sich die Hacker Zutritt verschaffen und die Zugriffsbeschränkungen anpassen konnten. Das Mining-Programm ließ sich so ganz leicht in den bestehenden JavaScript-Code implementieren und bei jedem Seitenaufruf aktivieren.
Illegales Mining als Fass ohne Boden
Interessanterweise ist sogar unter Administratoren die Auffassung anzutreffen, dass das Mining auf Servern ja keinen Schaden anrichte, da der Betreiber den Service ja zahlt, egal ob die Auslastung 10 oder 100 Prozent beträgt. Diese Ansicht ist allerdings völlig falsch. Die Gefahr kommt auf zweierlei Wegen daher. Die schadhaften Mining-Programme verlangsamen laufende Backend-Prozesse, die Auswirkungen auf zeitkritische Entscheidungen oder Transaktionsprozesse haben. Zusätzlich können so auch schnell die verwendeten Kapazitäten um ein Vielfaches erhöht werden. Ein Alptraum für viele Unternehmen, wie das Beispiel Amazon EC2 veranschaulicht:
Die monatlichen Kosten für die kleinste Amazon EC2-Rechenkapazität (t2.micro) betragen 9,50 US-Dollar pro Monat. Überschreitet die CPU-Auslastung jedoch einen kritischen Schwellenwert, werden neue Kapazitäten mit den gleichen Einstellungen hinzugefügt. Dabei fallen mit jeder neuen Einheit neue Kosten an. Aus den anfänglichen Minimumkosten von 9,50 US-Dollar werden so schnell hunderte, vielleicht sogar tausende US-Dollar.
Wenn Cybersicherheit auf Cloud-Container trifft
Die zweite Kategorie, die hinsichtlich der Cybersicherheit für Clouddienste eine wichtige Rolle spielt, ist die Bereitstellung von Server-Workloads. Ursprünglich als virtualisierte Server angeboten, haben sich die Möglichkeiten in den letzten Jahren stark gewandelt und umfassen nun meist die Containerisierung von Daten. Der Verwaltungsdienst Docker gehört zu den populären Anbietern diese Services.
Das Linux-CGROUPS- und namespace-basierte Managementsystem ist eine Virtualisierung, bei der Ressourcen wie der Arbeitsspeicher, Festplattenspeicher und die CPU-Auslastung von einem Linux-Kernel gesteuert werden. Dadurch kommt es zu keiner unkontrollierten Kommunikation zwischen den einzelnen Docker-Containern und den darin laufenden Prozessen. Die Verwendung von mehreren Containern ermöglicht die effektivere Nutzung vorhandener Server-Ressourcen durch mehrere User.
Entwickler, die mit den Docker-Containern arbeiten, installieren den Server gern auf dem verwendeten Cloudserver. Das bietet zwar den Vorteil der Vor-Ort-Bereitstellung in der Cloud, allerdings sollte der genutzte Docker-Server niemals ohne geeignete Schutzmaßnahmen dem Internet ausgesetzt werden. Unternehmen sollten Firewalls und VPN-Konfigurationen regelmäßig überprüfen, um eine versehentliche Offenlegung von Daten zu verhindern.
Im Rahmen der Untersuchung "Container Security: Examining Potential Threats to the Container Environment" von Trend Micro [http://www.trendmicro.com/vinfo/us/security/news/security-technology/container-security-examining-potential-threats-to-the-container-environment] wurden exponierte, eindeutig identifizierbare Server gefunden. Die Dunkelziffer ist sicher noch um ein Vielfaches höher. Was dabei besonders auffiel: Modifizierte Docker-Server werden ebenfalls von Hackern für illegales Crypto Mining genutzt. Angreifer können mit dem Upload eines Bildes, das den passenden Mining-Code enthält, exponierte Docker-Server ganz leicht infizieren. Aber auch beim Booten kann es bei einem ungeschützten Zugang zur Installation der Mining-Software kommen.
Geleakte Zertifikate und fehlerhafte Tutorials
Berechtigungsnachweise und die korrekte Kodierung von Zugangsdaten sind unablässig für die sichere Nutzung und Speicherung von Cloudinhalten. Doch die Nutzung von Berechtigungsnachweisen ist in Cloudumgebungen schwierig und erfordert ein fundiertes Fachwissen und Kenntnisse zum jeweils genutzten System. Entwickler stehen dabei vor dem Problem, dass fortlaufende Prozesse auf die gespeicherten Daten zugreifen und jeder Zugriff korrekt authentifiziert sein muss.
Zertifikate sollten daher niemals als Klartext an einem dauerhaften Speicherort liegen. Bei der Erstellung jedes Zertifikats sollte auch der Code entsprechend angepasst werden, sodass die Datei von einem geschützten Speicherort kommt. Die negativen Auswirkungen von unsicheren Verwaltungen und geleakten Berechtigungsnachweisen lassen sich zahlreich belegen und stehen meist in direkter Verbindung mit illegalem Mining und den daraus entstehenden Kosten. Zahlreiche Untergrundforen betreiben mittlerweile sogar einen illegalen Handel mit Berechtigungsnachweise für Clouddienste.
Überraschend gefährlich sind angebotene Tutorials für Cloudplattformen. Zwar sind die Absichten der Anbieter gut gemeint, aber der Wunsch nach einfachen Erläuterungen von komplizierten Sachverhalten birgt viele Tücken. Teilweise ermutigen die Kursleiter die Teilnehmer sogar, Zugangsdaten oder Zertifikate in den Quellcode zu schreiben, ohne darauf zu verweisen, welche zusätzlichen Sicherheitsvorkehrungen je nach Anzahl der Anwendungen nötig sind. Die Folge ist die mehrfache Nutzung der gleichen Berechtigungsnachweise für mehrere Codes, was ein großes Sicherheitsrisiko darstellt.
Schutzmaßnahmen für die Cloud
Da mittlerweile sehr viele Unternehmen mit der Cloud arbeiten, geraten sie potenziell alle in den Fokus cyberkrimineller Aktivitäten. Fehlkonfigurationen können Sicherheitsrisiken wie das illegale Mining und die Entnahme von sensiblen Daten zur Folge haben. Auch Container-Technologien sind von diesen Gefahren betroffen und brauchen angemessene Sicherheitskontrollen und einen auf das System angepassten Schutz.
Zum Glück bieten Cloud-Provider nicht nur Speicherkapazitäten, sondern auch den dazu passenden Schutz mit Sicherheitskontrollen und benutzerfreundlichen Programmierschnittstellen. Auf die Cloud ausgerichtete Sicherheitssysteme von Drittanbietern bestehen aus umfangreichen und mehrschichtigen Maßnahmen, die oft weit über das Angebot des Cloudanbieters hinausgehen. Zudem ermöglichen es diese Lösungen, einen multi- oder hybriden Cloudansatz zentral zu verwalten und unterschiedliche Security-Optionen zu vereinheitlichen.
Fazit
Um die Gefahren durch die Cloudnutzung zu minimieren, sollte die passende Sicherheitstechnologie in enger Abstimmung mit dem zu nutzenden System zum Einsatz kommen. Auch die IT ist gefordert, Skripte für den produktiven Betrieb genau zu analysieren, um potenzielle Schwachstellen schon vor der Anwendung zu lokalisieren. Unternehmen sollten sich über die aus der Cloud drohenden Gefahren informieren, um angemessene und frühzeitige Schutzmaßnahmen zu gewährleisten. Ein Grundverständnis von primären Bedrohungen ist die Grundlage für eine erfolgreiche Cloud-Security.
Autor: Richard Werner, Business Consultant bei Trend Micro