ArtikelCloud

Cloud-Risiken werden immer noch unterschätzt

Autor/Redakteur: Michael Scheffler, Country Manager DACH von Varonis Systems/gg

Der kürzlich erfolgte Angriff auf ein großes Ridesharing-Unternehmen, bei dem sich die Angreifer Zugang zu den Daten der SaaS-Anwendungen und der Cloud-Infrastruktur des Unternehmens verschaffen konnten, war nicht der erste und wird auch sicherlich nicht der letzte Angriff dieser Art sein. Angreifer haben es immer wieder mit denselben Techniken auf immer das gleiche Ziel abgesehen: wertvolle Daten. Sie scannen die Umgebung nach Schwachstellen: Dateien, die nicht geschützt sind, Konten mit schwachen Passwörtern und Passwörter, die im Klartext gespeichert sind. Bei diesem jüngsten Vorfall fanden die Angreifer ein Kennwort, mit dem sie sich Zugang zu dem System verschaffen konnten. Dies ermöglichte ihnen Zugriff auf weitere Daten in einer noch größeren Infrastruktur.

(Quelle: Pixabay, geralt)

Mit Daten können Cyberkriminelle auf recht einfache Weise Geld verdienen, da sie wissen, dass Unternehmen auf ihre Verfügbarkeit und Vertraulichkeit angewiesen sind. Deshalb liegt in den Daten ein großes Risiko und Unternehmen müssen sich entsprechend auf ihren Schutz konzentrieren. Nach einer Sicherheitsverletzung können SaaS-Anwendungen intakt bleiben und Cloud-Infrastrukturen neu erstellt werden. Daten können jedoch niemals wieder „unkompromittiert“ werden. Es ist viel einfacher, die Zahnpasta in der Tube zu lassen, als sie wieder hineinzubekommen.

Insbesondere weniger IT-affine Führungskräfte gehen davon aus, dass die Cloud alles sicherer macht. Diese Fehlannahme ist überaus verbreitet. Sicherlich arbeiten Cloud-Anbieter hart auf ihrer Seite an der Security: Sie sorgen dafür, dass die Anwendungen sicher bleiben, sie sind für das Patchen der Anwendung und aller Abhängigkeiten, wie Datenbanken und Betriebssysteme, verantwortlich. Ebenso für die Infrastruktur inklusive Ausfallsicherheit und physischen Schutz der Rechenzentren. Insofern tragen sie durchaus zur „Cloud-Sicherheit“ bei. Gleichwohl sind im Rahmen des Konzepts der geteilten Verantwortung ihre Kunden, also die Unternehmen, für die Sicherheit der dort gespeicherten und verarbeiteten Daten verantwortlich. Diese müssen dafür sorgen, dass nur die richtigen Personen auf die richtigen Daten zugreifen können, und zwar nur auf jene, die sie für ihre Arbeit auch tatsächlich benötigen – und nur für den vorgesehenen Zweck. Dies mag insbesondere für Führungskräfte nach einer einfachen Aufgabe aussehen. Allerdings ist sie, wie insbesondere Sicherheitsverantwortliche wissen, komplex und herausfordernd.

Aktuelle Herausforderungen der SaaS-Sicherheit

Um den Stand der SaaS-Sicherheit zu beleuchten und die größten Schwachstellen zu identifizieren, haben Sicherheitsforscher von Varonis fast 10 Milliarden Cloud-Objekte mit einem Datenvolumen von mehr als 15 Petabytes im Rahmen von Datenrisikobewertungen bei mehr als 700 Unternehmen aus den verschiedensten Branchen weltweit untersucht. Dabei mussten sie feststellen, dass vier von fünf Unternehmen (81 Prozent) über exponierte Cloud-Daten verfügen, die entweder für jeden Mitarbeitenden oder sogar für jeden im Internet zugänglich sind.