Cloud-Dienste sind praktisch, sie ermöglichen auch kleinen Firmen den Zugang zu ansonsten kostspieligem Equipment und Software-Lösungen. Aber sind sie auch sicher?
Noch vor zehn Jahren war die Errichtung einer On-Premise-Infrastruktur der Standard für professionelle Videokonferenzen. Dieses Lizenz- und Nutzungsmodell für serverbasierte Computerprogramme vor Ort bestand im Kauf oder der Miete von Programmen, die vom Lizenznehmer, dem Kunden, unter eigener Verantwortung mit eigenem Equipment genutzt wurde. Diese Verantwortung beinhaltet auch die Wartung und stete Aktualisierung der Software, was in der Regel einen beträchtlichen Kostenaufwand mit sich bringt.
Im Gegensatz dazu wird beim Cloud-Computing-Modell Software als eine Dienstleistung bezogen, die Wartungs- und Betriebsverantwortung liegt dabei beim Anbieter. Damit sind wesentlich kürzere Aktualisierungszyklen möglich, was nicht nur die Kosten reduziert, sondern auch unter Sicherheitsaspekten von großer Bedeutung ist.
Denn fast jedes fünfte Unternehmen erlebte im letzten Jahr einen Vorfall im Bereich Cloud-Sicherheit. Im aktuellen Security Report 2019 zeigt der Sicherheits-Dienstleister Check Point, wie Bedrohungsakteure zunehmend auf die schwächsten und am wenigsten geschützten Punkte in der IT-Infrastruktur der Unternehmen zielen – ihre Public Cloud und ihre mobilen Implementierungen. Die häufigsten Vorfälle waren Datenlecks, Datenverletzungen, Kontoentführungen und Malware-Infektionen.
Auch Crestron bietet mit XiO Cloud eine auf der Plattform Microsoft Azure basierende Cloudlösung (Bild: Crestron)
Die befragten IT-Experten bewerteten die Fehlkonfiguration von Cloud-Plattformen, die zu Datenverlust oder -verletzungen führt, mit 62 Prozent als größte Bedrohung, gefolgt von unberechtigtem Zugriff auf Cloud-Ressourcen (55 Prozent), unsicheren Schnittstellen sowie APIs (50 Prozent) und Entführung von Konten oder Datenverkehr (47 Prozent).
30 Prozent der IT-Experten waren zudem der Meinung, dass die Sicherheit in der Verantwortung des Cloud-Service-Providers liegt: Cloud-Sicherheit sollte das gegenseitige Vertrauen zwischen dem Cloud-Provider und Kunden fördern und die Verantwortung gerecht aufteilen.
Experten betrachten mobile Sicherheit nicht als Risiko
Besonders alarmierend: 59 Prozent der IT-Experten nutzen keine mobile Bedrohungsabwehr. Die Mehrheit der Unternehmen hat keine mobilen Sicherheitslösungen eingesetzt, die in der Lage sind, gefährliche Bedrohungen wie mobile Malware, gefälschte oder bösartige Anwendungen, Man-in-the-Middle-Angriffe oder Systemschwachstellen zu erkennen.
Nur 9 Prozent der IT-Experten halten Bedrohungen auf dem Handy für ein erhebliches Sicherheitsrisiko. Dabei kann sich Malware von ungeschützten mobilen Geräten leicht auf die Cloud oder lokalen Netzwerke von Unternehmen ausbreiten und diese Schwachstelle bei der Abwehr der Unternehmenssicherheit nutzen.
„Die dritte Ausgabe unseres Security Reports 2019 zeigt, wie anfällig Unternehmen für Angriffe auf ihre Cloud- und mobilen Standorte sind, da das Bewusstsein für die Bedrohungen, denen sie ausgesetzt sind, und wie sie abgefedert werden können, fehlt. Weil fast 20 Prozent der Unternehmen im vergangenen Jahr einen Cloud-Angriff erlebt haben, ist klar, dass Kriminelle diese Sicherheitslücken ausnutzen wollen“, sagt Zohar Alon, Leiter der Cloud Produktlinie bei Check Point Software Technologies. „Durch die Überprüfung und Hervorhebung dieser Entwicklungen im Bericht, können Unternehmen ein besseres Verständnis für die Bedrohungen erhalten, denen sie ausgesetzt sind, und erfahren, wie sie verhindern, dass diese ihrem Unternehmen Schaden zufügen.“
Noch stärker als die Nutzer von Cloud-basierten Diensten stehen deren Anbieter im Visier von Angreifern. Dabei attackieren mehrere Computer gleichzeitig und im Verbund (als sogenannte Botnetze) eine Webseite oder eine ganze Netzinfrastruktur koordiniert an. Die Last unzähliger Anfragen pro Sekunde verstopft regelrecht die Infrastruktur des Ziels und kann dessen Webserver oder ganze Netzwerke völlig lahmlegen. Die Folgen können von der einfachen Rufschädigung wegen des Ausfalls des Dienstleistungsangebotes über massiven Datendiebstahl bis hin zu Erpressungen reichen.
Von den Cloud-Dienstleistern wurde 2018 fast jeder Zweite zum Ziel einer DDoS (Distributed-Denial-of-Service)-Attacke. Das ist im Vergleich zu 2017 eine Zunahme von 14 Prozent, so das Sicherheitsunternehmen Netscout Arbor in seinem jährlichen Worldwide Infrastructure Security Report. Frühere Vorjahreszahlen zeigen einen klaren Trend zu gezielten Attacken auf Anbieter von Cloud-Diensten. Damit reagieren die Angreifer auf die steigende Abhängigkeit geschäftskritischer Unternehmensprozesse von der Verfügbarkeit Cloud-basierter Dienste. Erfolgreiche Cyberangriffe können sowohl den Anbietern als auch Nutzern erheblichen Schaden zuzufügen.
Ziel der Angreifer, die DDoS-Attacken einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens auszubremsen, völlig lahmzulegen oder zu schädigen. 2017 bildeten noch Finanzdienstleister, E-Commerce-Anbieter und Gaming-Plattformen des Geschehens. Nun werden besonders Regierungen und staatliche Organisationen ins Kreuzfeuer angegriffen. Die Motivation hinter DDoS-Attacken verändert sich ebenfalls. Ging es im Vorjahr vor allem um Erpressungsversuche, gehts inzwischen um politischen und ideologischen Hacktivismus. Darüber hinaus professionalisieren Akteure sich und ihre Angriffsmethoden und bieten ihre Künste sogar auf Vermietungsbasis an. So können auch zunehmend Computerlaien für kleines Geld DDoS-Angriffe in Auftrag geben oder selbst beginnen. Da die politische Instabilität und Wahlmanipulationen weltweit zunehmen, erwartet Netscout, dass DDoS-Angriffe sowohl als Form des Protestes als auch als Waffe in geopolitischen Streitigkeiten ebenfalls künftig vermehrt eingesetzt werden.
Mit der Lifesize Cloud lassen sich nicht nur die eigenen Produkte (hier die Icon-Serie) für Videokonferenzen einbinden (Bild: Lifesize)
Insgesamt mussten 95 Prozent aller Service Provider DDoS-Angriffe im Jahr 2018 verzeichnen. Das entspricht einem Anstieg von 10 Prozent gegenüber dem Vorjahr. Die Attacken erreichten dabei eine Rekordgröße von 1,7 Terabit pro Sekunde. So geben 88 Prozent der befragten Cloud-Anbieter an, dass DDoS-Angriffe derzeit ihre größten Sicherheitsbedenken sind. „Die Cloud ist zu einem festen Bestandteil unseres privaten und geschäftlichen Alltags geworden. Es werden immer mehr Daten in der Cloud gelagert und zunehmend mehr Dienste darüber abgewickelt. So ist es nicht verwunderlich, dass Angreifer sich auf die dahinterliegenden Infrastrukturen fokussieren“, so Darren Anstee, Netscout CTO für den Bereich Sicherheit. „Da hybride und Multi-Cloud-Umgebungen in naher Zukunft zudem zum Regelfall werden, setzen Cyberkriminelle zunehmend auf komplexere Multi-Vektor-Angriffe. Professionelle Sicherheitsfunktionen und umfassende Transparenz in die eigene IT-Infrastruktur werden damit zum wesentlichen Faktor für Unternehmen und Organisationen.“
Auch die AV-Branche hat längst mit dem Bereich Cloud Computing und den damit verbundenen sicherheitsrelevanten Aspekten zu tun bekommen. Sicherheits- und medientechnische Daten werden vermehrt ausgelagert. Als Beispiel sei hier Barcos AV-Management-, Überwachungs- und Steuerungslösung Overture erwähnt. Für Integratoren und IT-Manager ist die Anwendungsflexibilität noch weiter gestiegen, seit das Unternehmen Overture in der Cloud platziert hat. Integratoren können ihre Abonnements verwalten, ob für In-the-Cloud oder On-Premise-Einsatz über Barcos digitales Portal.
Auch Crestron bietet mit XiO Cloud eine auf der Plattform Microsoft Azure basierende Cloudlösung. Mittels XiO Cloud sollen Anwender eine beliebige Anzahl von Crestron-Produkten gleichzeitig konfigurieren und bereitstellen können. Dabei sollen sich die Geräte über XiO Cloud überwachen und verwalten lassen; eventuelle Probleme können per Fernzugriff behoben werden, um Ausfallzeiten zu verhindern und Nutzungsdaten zu erfassen.
Angesichts des beschriebenen Anstiegs von Sicherheitsbedrohungen steigen aber auch die Anforderungen zum Schutz vor unliebsamen Ereignissen. Wie das für den Bereich professioneller Videokonferenzen aussehen kann, zeigt Lifesize als Hersteller von Videokonferenzsystemen mit der Lifesize Cloud, ein Dienst für professionelle Videokonferenzen, mit dem sich unterschiedliche Geräte beliebiger Hersteller, z. B. Raummanagement-Systeme, Laptops, Tablets oder Smartphones, über eine cloudbasierte Infrastruktur miteinander verbinden, um damit hochwertige Videokonferenzen durchführen zu lassen. Für den europäischen und hier besonders den deutschen Markt wurde der ursprünglich für den amerikanischen Raum entwickelte Dienst überarbeitet und an die hierzulande geltenden rechtlichen und sicherheitstechnischen Gegebenheiten angepasst. Dabei wird der Datentransfer über öffentliches Internet auf ein Minimum reduziert: Der gesamte Lifesize-Cloud-Traffic läuft bis auf die letzte Meile vollständig und ausschließlich über das SoftLayer-Netzwerk von IBM, eines der drei größten privaten Glasfaser-Netzwerke weltweit. Damit sollen eine hohe Video- und Audioqualität, Verfügbarkeit und Sicherheit gewährleistet werden. Durch die deutschlandweite Verteilung der mit 2.000 Gbps angeschlossenen SoftLayer-Zugangspunkte ist laut Hersteller ein möglichst anwendernaher Einstieg in das IBM-Netzwerk garantiert – unabhängig davon, über welchen Provider die letzte Meile realisiert wird. Zusätzlich werden sämtliche Daten mit einer 128-Bit AES-Verschlüsselung und durch TLS (Signaling) geschützt. Für noch weitgehendere Sicherheitsanforderungen – etwa in systemrelevanten Bereichen – können Unternehmen über ein eigenes MPLS (Multiprotocol Label Switching) auch direkt an den nächsten IBM-SoftLayer-Knotenpunkt angebunden werden, und so einen Datentransfer über öffentliches Internet vollständig ausschließen.
Im Fall einer Störung werden Anrufe über einen anderen, verfügbaren Server abgewickelt. Da die Systeme jeweils unabhängig gesichert werden, bleibt der Schutz der Benutzerkonfigurationen bestehen und auf dem neuesten Stand. Alle Rechenzentren und Netzwerk-Standorte werden zudem regelmäßig auditiert, sie sind sowohl technisch als auch organisatorisch gegen physische und nichtautorisierte Eingriffe abgesichert.
Lifesize speichert übrigens ausschließlich die für den Betrieb des Cloud-Dienstes notwendigen Daten: Name, Vorname, Email, Passwort, Telefon, Postadresse und Firma. Passwörter werden ausschließlich verschlüsselt und niemals in Klartext gespeichert. Streams, Chats oder Medien werden nicht gespeichert oder aufgezeichnet. Auf Kunden-Inhalte haben Lifesize-Administratoren keinerlei Zugriff.
Unterm Strich gilt für die Cloud-Sicherheit dasselbe wie in der Computerei allgemein: Ein stets aktuell gehaltenes System ist das A und O jeder Sicherheitsarchitektur. Dabei spielen die Cloud-Komponenten eine besondere Rolle. Wie bei jedem anderem Fremdcode aus einer externen Quelle sollte diese Quelle bekannt sein, wer sie entwickelt hat und ob sie bösartigen Code enthält. Software sollte stets nur von vertrauenswürdigen Quellen bezogen werden. Dazu gehört auch die regelmäßige Installation von Updates.
Cloud-native Umgebungen machen es zudem leicht, neue Instanzen einzurichten, über welche die alten leicht vergessen werden. Diese nicht berücksichtigten Instanzen werden schnell zu „Cloud-Zombies“, die zwar noch immer aktiv sind, ohne jedoch noch überwacht zu werden. Außerdem veralten diese Alt-Instanzen schnell, die daher auch keine aktuellen Sicherheits-Patches mehr besitzen. Mit Lifecycle-Management und Governance-Richtlinien lässt sich diese Gefahrenquelle vermeiden.
Diese Überwachung der Ressourcen muss kontinuierlich erfolgen, um Sicherheitsverletzungen entweder ganz zu vermeiden oder zumindest ihre Auswirkungen zu verringern. Dabei kann eine einheitliche Cloud-Management-Plattform beim umfassenden Monitoring jeder Ressource in jeder Umgebung helfen.
Nicht zuletzt spielen qualifizierte Mitarbeiter eine wesentliche Rolle, die mit der Komplexität der Cloud-Sicherheit umgehen können. Oft ist die Infrastruktur eines Public-Cloud-Anbieters sicherer als das private Pendant eines bestimmten Unternehmens, weil ersterer ein besser informiertes und ausgestattetes Sicherheitsteam besitzt.
