Thomas Heumann (SySS GmbH)
Durch die zunehmende Verlagerung von Daten und Anwendungen in die Cloud ergeben sich neue Herausforderungen für die Sicherheit. Unternehmen müssen gewährleisten, dass ihre Cloud-Umgebungen bestmöglich vor Angriffen geschützt sind.
Bei der Nutzung von Cloud-Umgebungen reicht der Sicherheitsumfang über das traditionelle On-Premise-Netzwerk weit hinaus, da die Benutzer die Dienste bzw. Ressourcen prinzipiell überall dort nutzen können, wo sie Zugang zum Internet haben. Daher sind die Unternehmen nicht mehr in der Lage, ihre Dienste und Ressourcen mit traditionellen Methoden wie Firewalls zu schützen.
- Perimeter in der Cloud und die primäre Sicherheitsgrenze
In einer traditionellen On-Premises-IT-Infrastruktur bilden physische Firewalls und Netzwerksegmente die primären Sicherheitsgrenzen als vorderste Linie der Verteidigung, die das interne vom externen, öffentlichen Netzwerk abschirmt. Dieses „Perimeter“ genannte Konzept lässt sich in der Cloud-Welt nur bedingt anwenden. Die primäre Sicherheitsgrenze moderner Cloud-Umgebungen definiert den Übergang zwischen vertrauenswürdigen internen Ressourcen und externen, potenziell unsicheren Netzwerken.
In der Cloud verschwimmen die Grenzen zwischen internen und externen Netzwerken. Da Daten und Anwendungen über verschiedene geografische Standorte und Infrastrukturen verteilt sind, gibt es nicht mehr einen einzigen, klaren Abgrenzungsbereich. Der Fokus verschiebt sich hinsichtlich der primären Sicherheitsgrenze. Diese Grenze ist dynamisch, wird durch Identitäts- und Zugriffsmanagement definiert, und mithilfe von Daten- und Transportverschlüsselung sowie durch kontinuierliche Überwachung abgesichert. Sie soll die kritischen Ressourcen schützen, unabhängig davon, wo sie sich physisch befinden.
Die primäre Sicherheitsgrenze verlagert sich also in die Cloud-Umgebung selbst, das Perimeter erstreckt sich über die gesamte Cloud-Umgebung. Daher muss die Sicherheit in mehreren Ebenen aufgebaut werden – von der Infrastruktur über Plattform- und Anwendungsebene bis hin zur Identitäts- und Zugriffskontrolle.
Dieser Schutzmechanismus basiert daher in der Cloud auf virtuellen Perimeterkonzepten. Ein Perimeter umschließt beispielsweise logisch gruppierte Ressourcen – etwa Speicherdienste, Datenbanken oder Recheninstanzen – und regelt den Datenfluss zwischen ihnen. Die unterschiedlichen abzusichernden Ebenen bringen auch eine Vielzahl an möglichen Schwachstellen und Fehlerquellen mit sich.
2. Häufige Schwachstellen in Cloud-Umgebungen
Die am häufigsten in Cloud-Umgebungen anzutreffenden Schwachstellen und Fehlerquellen und ihre konkreten Erscheinungsformen sind diese:
Fehlkonfigurationen
Unsachgemäße Einstellungen – etwa öffentlich zugängliche Datenspeicher oder übermäßige Netzwerkfreigaben – sind eine der größten Bedrohungen. Ein einziger falsch konfigurierter Dienst kann die gesamte Umgebung kompromittieren.
Schwaches Identity and Access Management (IAM)
Überprivilegierte Konten, fehlende oder nicht flächendeckende Multi-Faktor-Authentifizierung (MFA) und schlechte Passwörter sowie veraltete Zugriffsrechte erleichtern es Angreifern, in Cloud-Umgebungen einzudringen und sich dort lateral zu bewegen. Bei hybriden Architekturen sind dadurch schnell beide Welten (Cloud und On-Premises) vollständig kompromittiert.
Unsichere APIs
Cloud-APIs, die beispielsweise unverschlüsselt kommunizieren oder keine Rate-Limits implementieren, werden oft für Denial-of-Service-Angriffe (DoS) oder bei Datenlecks missbraucht.
Fehlerhaft implementierte Abläufe bei der Authentifizierung können für die Extraktion oder Manipulation von Daten missbraucht werden.
Veraltete Software und unzureichendes Patchmanagement
Ein oft unterschätztes Risiko in Cloud-Umgebungen sind nicht gepatchte Systeme mit bekannten Sicherheitslücken. Auch in Cloud-Umgebungen werden Systeme mit den üblichen Betriebssystemen und Softwarepaketen betrieben. Daher ist ein akkurates Update- und Patchmanagement auch hier essenziell.
Monitoring und Incident Response
Ein fehlendes oder mangelhaftes Monitoring erleichtert Angreifern die Ausnutzung von Schwachstellen und die anschließende Ausbreitung innerhalb der Cloud-Umgebung. Dies ist häufig auf fehlende Ressourcen für die Überwachung und Auswertung von Logs zurückzuführen.
Erschwerend kommt hinzu, dass es oftmals keine erprobten Konzepte bzw. Handlungsanweisungen gibt, die bei Sicherheitsvorfällen den weiteren Betrieb des Unternehmens sichern.
Die Schwachstellen in Cloud-Umgebungen sind nicht nur zahlreich, ihre Absicherung ist zudem nicht simpel zu bewerkstelligen.
3. Herausforderungen bei der Absicherung von Cloud-Umgebungen
Die größten Schwierigkeiten bei der Absicherung von Cloud-Umgebungen liegen in der dynamischen Natur und der verteilten Architektur der Cloud. Zudem fehlt häufig spezifisches Wissen, nicht selten auch die eigentlich notwendige Personalstärke.
Zu nennen sind primär folgende Aspekte:
Komplexität der Infrastruktur
– Cloud-Umgebungen sind oft komplex und ändern sich schnell, was die Überwachung und Kontrolle erschwert.
– Alte Testinstanzen oder aufgrund unklarer Verantwortlichkeiten verwaiste Ressourcen bieten ein nicht zu unterschätzendes Angriffspotenzial.
– Die Definition logischer Perimeter in Multi-Cloud-Szenarien erfordert tiefgreifendes Know-how.
– Fehlerhafte Regeln – etwa inkonsistente IP-Filter zwischen verschiedenen Cloud-Diensten – schwächen die primäre Sicherheitsgrenze.
Geteilte Verantwortung Das Modell der geteilten Verantwortung (Shared Responsibility Model) zwischen Cloud-Anbieter und -Nutzer führt häufig zu Unklarheiten bei Zuständigkeiten – insbesondere bei sicherheitsrelevanten Themen – und damit sehr oft zu Sicherheitslücken, wenn Anwender die Absicherung von Anbieterverwalteten Schichten vernachlässigen.
Identitäts- und Zugriffsmanagement Die Verwaltung von Benutzerberechtigungen und Zugriffskontrollen innerhalb einer Cloud-Umgebung und ganz besonders über verschiedene Cloud-Dienste hinweg ist eine große Herausforderung. Klare Verantwortlichkeiten sind hier essenziell.
4. Wie Penetrationstests die Sicherheit von Cloud-Umgebungen verbessern
Penetrationstests und Sicherheitsaudits haben sich als zentrale Instrumente etabliert, um Schwachstellen in diesen Umgebungen zu identifizieren und zu beheben.
Durch die gezielte Simulation von Angriffsszenarien und die systematische Überprüfung von Konfigurationen lassen sich kritische Lücken wie unsichere Zugriffsrechte, fehlerhafte Perimeter-Definitionen oder ungeschützte Schnittstellen aufdecken.
Die Tester analysieren idealerweise nicht nur die technischen Gegebenheiten, sondern auch Prozesse und das Berechtigungsmanagement der Nutzer. So können Lücken in der Konfiguration, fehlende Sicherheitseinstellungen oder Schwachstellen in der Authentifizierung identifiziert werden. Das Einhalten grundlegender Sicherheitsstandards und -richtlinien sowie das Umsetzen von Best Practice-Maßnahmen sind weitere zu prüfende Aspekte.
Sicherheitsaudits gehen über rein technische Schwachstellenanalysen hinaus und beleuchten je nach Fokus auch organisatorische Aspekte wie Prozesse und Verantwortlichkeiten. So können Unternehmen ein ganzheitliches Bild über den aktuellen Sicherheitsstatus ihrer Cloud-Umgebung erhalten und Verbesserungspotenziale identifizieren.
Konkret können Penetrationstests und Audits zur Absicherung beitragen durch:
Identifizierung von Schwachstellen: Penetrationstests und Audits decken Sicherheitslücken in Cloud-Konfigurationen, Anwendungen, APIs und Infrastruktur auf.
Validierung von Sicherheitskontrollen: Implementierte Sicherheitsmaßnahmen (z. B. Firewalls und Netzwerksegmentierung innerhalb der Cloud-Umgebung, Zugriffskontrollen, Verschlüsselung) werden auf ihre Wirksamkeit und Effektivität geprüft.
Bewertung des Risikos: Durch die Simulation realer Angriffe kann das potenzielle Ausmaß eines erfolgreichen Angriffs relativ gut eingeschätzt und die Priorisierung für die Behebung der Schwachstellen unterstützt werden.
Verbesserung der Reaktion auf Vorfälle: Penetrationstests und Audits können das vorhandene Monitoring auf den Prüfstand stellen und damit die Fähigkeit der entsprechenden Mitarbeiter verbessern, auf etwaige Sicherheitsvorfälle angemessen zu reagieren. Auch lässt sich dadurch die Effektivität von Reaktionsplänen testen.
Erhöhung des Sicherheitsbewusstseins: Die Ergebnisse von Penetrationstests und Audits können dazu beitragen, das allgemeine Sicherheitsbewusstsein innerhalb eines Unternehmens zu schärfen und die Notwendigkeit für kontinuierliche Verbesserungen zu unterstreichen.
Basierend auf den Ergebnissen von Penetrationstests und Audits lassen sich dann geeignete Maßnahmen ableiten, um die Sicherheit der Cloud-Umgebung und damit des Unternehmens als Ganzen zu verbessern.
