Mit zunehmender Nutzung der Cloud als Datenspeicher und zur Datenverarbeitung erhöht sich auch das Risiko eines Angriffs auf die Cloud-Services. Unternehmen müssen dieses Risiko ernst nehmen und sich vor potenziellen Cloud-Schwachstellen schützen. Laut einer Untersuchung von IBM aus dem Jahr 2021 kosten Datenkompromittierungen, die durch Sicherheitsschwachstellen verursacht werden, Unternehmen durchschnittlich 4,8 Millionen US-Dollar. Diese immensen Ausgaben werden unter anderem durch die Kosten für Untersuchung und Behebung der Kompromittierung sowie durch von Behörden verhängte Geldstrafen verursacht.

Doch mangelnde Sicherheit hat für Unternehmen nicht nur finanzielle Konsequenzen, sondern kann durch die Kompromittierung von Kundendaten auch zu Rufschäden führen, die wiederum Geschäftseinbußen nach sich ziehen. Das bedeutet, dass durch mangelnde Cloud-Sicherheit mitunter enorme Kosten entstehen können und Unternehmen ihre Daten angemessen vor Cloud-Schwachstellen schützen müssen.

In diesem Artikel werden die sechs wichtigsten potenziellen Cloud-Schwachstellen erläutert, denen Ihr Unternehmen ausgesetzt sein kann. Zudem erhalten Sie Tipps, wie Sie sich davor schützen können. Denn im Bereich Cybersicherheit ist Prävention immer besser als eine nachträgliche Behebung.

Nr. 1: Cloud-Konfigurationsfehler

Cloud-Konfigurationsfehler sind laut einer aktuellen Untersuchung der NSA wahrscheinlich die häufigste Schwachstelle bei Unternehmen. Es gibt viele Arten und Formen von Konfigurationsfehlern, von denen wir im Folgenden einige kurz erläutern werden. Häufig entstehen sie durch mangelnde Kenntnis bewährter Methoden oder durch fehlende Begutachtung von Kollegen im DevOps- oder Infrastruktur-Team.

Identitäts- und Zugriffsverwaltung

Eine häufige Schwachstelle in Cloud-Systemen ist eine unsichere Identitäts- und Zugriffsverwaltung (IAM). Das Problem tritt auf, wenn Benutzer oder Services Berechtigungen für Ressourcen haben, für die sie eigentlich keinen Zugriff benötigen bzw. haben sollten.

So minimieren Sie das Risiko:

• Setzen Sie für alle Cloud-Ressourcen und Benutzer das Least-Privilege-Prinzip durch. Vergeben Sie niemals volle Zugriffsrechte für eine Ressource, wenn nur Lesezugriff nötig ist oder nur auf einen Teil einer Ressource zugegriffen werden muss.
• Nutzen Sie Drittanbieter-Tools, um nach Konfigurationsfehlern in IAM-Richtlinien zu suchen. Eine cloudnative Plattform für Anwendungsschutz (CNAPP) kann Ihnen helfen, Konfigurationsfehler zu erkennen.
• Überprüfen Sie regelmäßig Zugriffsrechte und Berechtigungen, da sich die Zugriffsanforderungen mit der Zeit verändern.

Öffentlicher Datenspeicher

Diese Schwachstelle entsteht, wenn ein großes Datenobjekt (z. B. ein S3-Bucket oder seltener eine SQL-Datenbank) teilweise oder ganz für die Öffentlichkeit zugänglich ist, die Daten also von öffentlicher Seite gelesen bzw. verändert werden können. Häufig wird dieses Problem durch eine falsch konfigurierte Ressource verursacht.

Um das Risiko von Konfigurationsfehlern zu minimieren, die öffentlichen Zugriff auf Datenspeicher ermöglichen, sollten Ihre DevOps-Mitarbeiter, Systemadministratoren und Manager einige Grundsätze befolgen.

So minimieren Sie das Risiko:

• Nutzen Sie Drittanbieter-Tools, um Ihre Infrastruktur zu scannen und diesen Schwachstellentyp schnell zu erkennen.
• Der Datenspeicher Ihrer Cloud-Ressourcen sollte standardmäßig als vertraulich definiert werden.
• Wenn Sie Terraform oder ein anderes IaC-Framework (Infrastructure-as-Code) nutzen, sollten die IaC-Dateien immer noch einmal von einem anderem Mitarbeiter überprüft werden.

Andere Konfigurationsfehler

Diese Kategorie enthält viele weitere Schwachstellen. Hier ist eine kurze Zusammenfassung der Best Practices, mit denen Sie Konfigurationsfehler vermeiden können:

• Nutzen Sie immer HTTPS statt HTTP (dasselbe gilt für andere Protokolle, z. B. FTP anstelle von SFTP). Zudem sollten Sie immer die neueste SSL/TLS-Version verwenden.
• Sperren Sie alle nicht benötigten ein- und ausgehenden Ports von Rechnern, die mit dem Internet verbundenen sind.
• Bewahren Sie Secrets (geheime Informationen) wie API-Schlüssel, Kennwörter usw. an einem zentralen Ort auf. Nutzen Sie dazu eine sichere Secret-Verwaltungslösung (z. B. AWS Secrets Manager).

Nr. 2: Unsichere APIs

APIs gewinnen in der modernen Software-Entwicklung immer mehr an Beliebtheit und werden in Mikroservices, Anwendungen und Website-Backends eingesetzt. Sie müssen Anfragen von Mobilgeräten, Anwendungen, Webseiten, Drittanbietern sowie Bots, Spammern und Hackern bewältigen. Deshalb tragen sichere APIs entscheidend dazu bei, Cyberbedrohungen abzuwehren und unerwünschten Datenverkehr zu blockieren.

Böswillige Anfragen können in vielfältiger Form auftreten. Diese kommen am häufigsten vor:

• Code- und Anfrage-Injektion (SQL-Injektion, Befehlsinjektion)
• Missbrauch unzureichender Zugriffskontrollen
• Ausnutzung einer Schwachstelle in einer veralteten Komponente (z. B. Software-Bibliotheken, Datenbankmodule, Laufzeitumgebungen)

Viele Cloud-Anbieter bieten dafür interne Lösungen an. Mit einigen einfachen Maßnahmen können Sie Ihre APIs jedoch selbst schützen.

So minimieren Sie das Risiko:

• Implementieren Sie eine Web-Anwendungsfirewall (WAF), die Anfragen mithilfe von IP-Adressen oder HTTP-Headern filtert und Code-Injektionsangriffe erkennt. Mit einer WAF können Sie zudem die Zahl von Anfragen pro Benutzer oder anhand anderer Metriken beschränken.
• Implementieren Sie DDoS-Schutz (Informationen dazu finden Sie weiter unten).

Nr. 3: Fehlende Transparenz

Mit der zunehmenden Nutzung von Cloud-Services wächst auch der Umfang der Infrastruktur. Wenn tausende Cloud-Service-Instanzen genutzt werden, kann der Überblick darüber leicht verloren gehen und laufende Instanzen in Vergessenheit geraten. Der Zustand der gesamten Infrastruktur muss problemlos und benutzerfreundlich eingesehen werden können.

Ein fehlender Überblick über die Cloud-Infrastruktur ist ein großes Problem, das zu verzögerten Reaktionen auf Bedrohungen und letztendlich zu Datenkompromittierungen führen kann. Deshalb müssen Manager, Systemadministratoren und DevOps-Teams einen proaktiven Sicherheitsansatz verfolgen.

So minimieren Sie das Risiko:

• Ergreifen Sie Maßnahmen zur Überwachung und Erkennung von Bedrohungen.
• Verbessern Sie den Überblick über Ihre Cloud-Infrastruktur.
• Implementieren Sie Tools wie CNAPP, die Risiken minimieren und im Falle einer Kompromittierung die Reaktionszeit verkürzen.

Nr. 4: Fehlende Mehrfaktor-Authentifizierung

Multifaktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, bei der sich Benutzer mit mindestens zwei Formen der Identifikation verifizieren müssen, um Zugriff auf ein Konto oder Daten zu erhalten. Ein typisches Beispiel für MFA ist, wenn ein Benutzer Benutzernamen und Kennwort eingeben muss und anschließend aufgefordert wird, sich mit einer weiteren Methode zu authentifizieren, zum Beispiel mit einem einmaligen Kennwort/Code, das er per SMS, E-Mail oder Push-Nachricht auf dem Smartphone erhält.

Kennwörter und Benutzernamen sind anfällig für Diebstahl, sodass das Fehlen von MFA eine potenziell kritische Schwachstelle darstellt.

So minimieren Sie das Risiko: 

• Implementieren Sie MFA im gesamten Unternehmen, sodass der Zugriff auf das System durch eine zusätzliche Authentifizierungsebene (z. B. ein physisches Telefon oder eine E-Mail-Adresse) abgesichert ist.
• Erzwingen Sie MFA-Abfragen für alle Mitarbeiter, die per Cloud auf die eigenen Konten und Daten zugreifen.

Nr. 5: Böswilliger Insider

Nicht autorisierter Zugriff entsteht, wenn ein Benutzer Zugriffsrechte auf einen Teil oder die Gesamtheit der Cloud-Ressourcen Ihres Unternehmens erlangt.

Böswillige Insider können sich auf verschiedenen Wegen Zugang zu Ihren Cloud-Konten verschaffen. Wie bereits im Abschnitt über Cloud-Konfigurationsfehler erwähnt, kann dies durch zu lockere Regeln geschehen oder durch ehemalige Mitarbeiter, die noch gültige Anmeldedaten für die Konten besitzen.

Nicht autorisierter Zugriff auf Ihre Cloud-Ressourcen kann auch durch Kontoübernahmen infolge von erfolgreichen Phishing-Angriffen bzw. mangelnder Anmeldedatensicherheit (z. B. zu einfache Kennwörter oder Kennwörter, die für mehrere Konten verwendet werden) entstehen. Diese Art von Schwachstelle ist besonders gefährlich, da hier nicht nur Daten, sondern auch geistiges Eigentum gestohlen oder geändert werden können.

So minimieren Sie das Risiko:

• Stellen Sie sicher, dass MFA aktiviert ist.
• Filtern Sie Phishing-E-Mails mit einem Automatisierungstool heraus.
• Schulen Sie Ihre Mitarbeiter über Phishing-Angriffe.
• Achten Sie auf die Einhaltung sicherer Kennwortpraktiken.

Nr. 6: DDoS-Angriffe (Distributed Denial-of-Service)

Distributed-Denial-of-Service-Angriffe (DDoS) werden von böswilligen Akteuren genutzt, um Web-Services (z. B. eine Website) abzuschalten. Die Server werden dabei mit Anfragen von verschiedenen Quellen überflutet und schließlich überlastet. Dies soll letztlich dazu führen, dass Anfragen von legitimen Benutzern nicht mehr beantwortet werden können.

So minimieren Sie das Risiko:

• Wählen Sie einen Cloud-Anbieter, der Sie vor DDoS-Angriffen schützt. Das ist bei den meisten Anbietern der Fall. Bei Amazon lässt sich zum Beispiel AWS Shield einfach und ohne Zusatzkosten integrieren.
• Achten Sie darauf, dass der DDoS-Schutz für Ihren Cloud-Service stets eingeschaltet ist.

Cloud-Computing-Schwachstellen treten immer häufiger auf und Ihr Unternehmen muss sich proaktiv davor schützen. Wir haben nun die häufigsten Bedrohungen für die Cloud-Sicherheit erläutert, doch es gibt noch viele weitere Schwachstellen, die angegangen werden müssen. CrowdStrike bietet hochentwickelte, einheitliche und automatisierte Sicherheitsmaßnahmen, die Sie umfassend vor Schwachstellen schützen. Weitere Informationen zu CrowdStrike-Lösungen für Cloud-Sicherheit.