Die Cloud im Visier von Ransomware-Angreifern
Autor/Redakteur: Reiner Dresbach, Regional Vice President Central Europe bei Cybereason/gg
Ransomware-Attacken stellen heute die wohl größte Sicherheitsbedrohung für Unternehmen dar. Das zeigt auch der Fall des dänischen Cloud-Dienstleisters CloudNordic, der durch einen Ransomware-Angriff vor einigen Wochen sämtliche Kundendaten unwiederbringlich verlor. Doch CloudNordic ist kein Einzelfall. Mittlerweile sind bereits 80 Prozent aller Unternehmen Opfer von Erpressungssoftware und das mit gravierenden Folgen. Denn die Kosten gehen oftmals weit über die Höhe des geforderten Lösegelds hinaus und belasten Unternehmen schwer.
Doch warum ist auch Jahrzehnte nach dem Erscheinen der ersten Ransomware immer noch kein Sättigungsgrad erreicht? Das Problem liegt darin, dass Angreifer Ransomware ständig weiterentwickeln und sie so den rasant wandelnden Technologien anpassen. So hat sich Ransomware weit über das einfache Konzept, verschlüsselte Daten nur gegen Lösegeld wieder zu entschlüsseln, hinaus entwickelt. Heute analysieren Ransomware-Gruppen die Daten in den Netzwerken der Opfer umfassender. Das bedeutet, dass die Erpressungssoftware oft über einen längeren Zeitraum unbemerkt im System schlummert, um Daten zu sammeln und diese auszuwerten. Im Mittelpunkt stehen dabei nicht mehr nur einzelne Dateien, sondern alle.
Mit der zunehmenden Beliebtheit cloudbasierter Software-as-a-Service (SaaS)-Ressourcen und Kollaborationsplattformen wie Office 365, G-Suite oder Slack, geraten nun auch cloudbasierte Kollaborationspunkte zunehmend ins Visier von Angreifern. Denn der Umfang und die Komplexität der Cloud machen sie anfälliger für Sicherheitslücken und die dadurch resultierenden Risiken sind für viele Sicherheitsteams noch unbekannt. Was aber macht die Cloud so anfällig für Sicherheitslücken?
Was die Cloud zu einem attraktiven Ziel macht
Cloud-Sicherheit erfordert eine sorgfältige Planung, klare Verantwortlichkeiten und die laufende Überwachung und Anpassung der Sicherheitsmaßnahmen. Doch aufgrund der Komplexität und des Umfangs der Cloud-Technologien droht dieses Vorhaben zu scheitern. Hier liegen die größten Sicherheitslücken:
- Unklare Verantwortlichkeiten: Unklarheit darüber, wer für die Sicherheit in der Cloud verantwortlich ist – Anbieter oder Endkunde – kann zu Verwirrung führen und die Effektivität von Sicherheitsmaßnahmen beeinträchtigen. Während Cloud-Anbieter beispielsweise ihre eigene Infrastruktur absichern, ist der Endkunde oftmals für seine Daten und Anwendungen verantwortlich. Auch die Einführung unternehmenseigener Encryption Keys, mit denen nur Mitarbeitende eines Unternehmens und nicht der Cloud-Anbieter auf die Daten zugreifen können, erhöht die Komplexität und das Risiko von Sicherheitsfehlern.
- Schatten-IT: Auch die Nutzung von Schatten-IT in der Cloud stellt Sicherheitsteams in Unternehmen vor Herausforderungen. Wenn Mitarbeitende ohne Wissen der IT-Abteilung Anwendungen in der Cloud einsetzen, kann diese die Daten nicht umfassend schützen.
- Verwaltung von Anmeldefunktionen: In vielen Unternehmen hat sich die Verwaltung von Anmeldeinformationen mit Einführung der Cloud rückwärts entwickelt. Denn nicht jedes SaaS-Tool lässt sich reibungslos in die Single Sign-On-Prozesse integrieren.
- Fehlkonfigurationen: In vielen Fällen sind Cloud-Konfigurationen weniger ausgereift als On-Premises-Systeme, da die Erfahrung im Umgang mit dieser komplexeren Umgebung fehlt. Dadurch steigt das Risiko von Fehlkonfigurationen.
- Rasante Entwicklung in der Cloud: Cloudbasierte IT-Umgebungen können äußerst dynamisch sein, insbesondere wenn DevOps-Teams kontinuierlich neue Ressourcen erstellen. Wenn diese dann nicht ordnungsgemäß erfasst werden, wird die Anwendung angemessener Sicherheitskontrollen schnell zum Problem. Darüber hinaus wird das Löschen nicht mehr benötigter Cloud-Ressourcen von vielen Unternehmen häufig vernachlässigt, was zusätzliche, potenziell unnötige Sicherheitsrisiken mit sich führt.
- Lieferkette: Mit der Einführung von DevOps und agilen Entwicklungspipelines geht es nicht nur darum, wer auf welcher Ebene welche Verantwortung trägt, sondern auch, woher bestimmte Komponenten stammen. Ein Beispiel hierfür sind Libraries. Einige Open-Source-Code-Repositories wie GitHub, können minderwertigen oder sogar schadhaften Quellcode enthalten.
Angesichts der zahlreichen potenziellen Sicherheitslücken, die mit der Nutzung der Cloud einhergehen, ist es keine Überraschung, dass sich Ransomware zunehmend in die Cloud verlagert. Dennoch scheinen viele Unternehmen den Ernst der Lage noch nicht erkannt zu haben, da Sicherheitskonzepte oftmals zu kurz greifen. Um sich gegen die ständig verändernden Bedrohungen und Entwicklungen von Ransomware zu verteidigen, müssen Sicherheitsteams den Angreifern stets einen Schritt voraus sein.
Ransomware: Was kommt als Nächstes?
Es ist anzunehmen, dass Ransomware in Zukunft vermehrt auf erpresserische Aspekte und den Weiterverkauf von gestohlenen Daten setzen wird, anstatt die erbeuteten Informationen öffentlich zu machen. Die Herausforderung für Unternehmen wird darin bestehen, den Überblick über den Verbleib ihrer Daten zu behalten und die Zugriffsberechtigungen zu kontrollieren.
Der Höhepunkt von Ransomware-Angriffen ist jedoch noch lange nicht erreicht. Denn Angreifer passen ihre Taktiken kontinuierlich an, um Einnahmemöglichkeiten zu erhöhen und neue Sicherheitslücken auszunutzen. Daher ist es entscheidend, dass Sicherheitsteams und Mitarbeitende eines Unternehmens zusammenarbeiten, um eine umfassende Sicherheitsstrategie zu entwickeln, die sich den sich wandelnden Bedrohungen anpasst und gleichzeitig Sicherheit und Integrität der Daten gewährleistet.