ArtikelSecurity

Schützen, was gefährdet ist: Cloud-Anwendungen

Autor/Redakteur: Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint/gg

Cyberkriminelle sind Opportunisten. Sie passen sich den jeweils aktuellen IT-Trends an und nutzen sie für ihre Zwecke. Je mehr Unternehmen ihre IT in die Cloud verlegen, desto mehr richten Kriminelle ihre Attacken auf dieses Ziel aus. Darum müssen die IT-Sicherheitsmaßnahmen eines Unternehmens mit der IT-Infrastruktur in die Cloud migrieren. Dort müssen sie vor allem die laut Untersuchungen wichtigsten drei Angriffsmethoden in Schach halten: Brute-Force-Angriffe, Insider-Phishing oder Einsatz von Drittanbieter-Apps, die auf Daten aus Microsoft 365 oder der G Suite zugreifen.

Quelle: Proofpoint

Brute Force

Brute-Force-Angriffe werden von den Tätern gezielt und auf raffinierte Weise eingesetzt. Besonders häufig wird dabei das Internet Message Access Protocol (IMAP) missbraucht. IMAP dient eigentlich als Authentifizierungsprotokoll und wird bei E-Mails häufig dann eingesetzt, wenn eine Multi-Faktor-Authentifizierung (MFA) nicht möglich ist – zum Beispiel bei gemeinsam genutzten E-Mail-Konten. Da IMAP jedoch ein veraltetes Protokoll mit einigen Schwachstellen ist, können über IMAP erreichbare Konten vergleichsweise leicht von Cyberkriminellen kompromittiert werden.

Zumeist beschränken sich die Cyberkriminellen nicht darauf, mit den erbeuteten Zugangsdaten auf die gehackten Accounts zuzugreifen. Wenn die ursprüngliche Zielperson nicht über die notwendigen Berechtigungen verfügt, um Geld zu überweisen oder wichtige Informationen weiterzugeben, nutzen die Täter die Anmeldedaten, um ihren Zugriff innerhalb einer Organisation auszuweiten und die Cloud-Anwendungen anderer Nutzer zu infiltrieren.

Insider-Phishing

So nutzen Cyberkriminelle gehackte Cloud-Accounts auch dazu, innerhalb einer Organisation glaubwürdige Phishing-E-Mails zu versenden. Dadurch erhalten sie meist relativ einfach Zugriff auf interne Ressourcen. Die Angreifer nutzen ihren Zugang ferner, um E-Mail-Weiterleitungsregeln zu ändern oder sich weiterreichende Berechtigungen zu verschaffen. In einigen Fällen bemühen sie auch eine andere Methode: Man-in-the-Middle-Angriffe (Abfangen der Kommunikation zwischen zwei Parteien). Darüber hinaus verwenden sie gehackte Konten, um Phishing-E-Mails an Partnerorganisationen zu versenden und so in die Cloud-Umgebung Dritter einzudringen, zum Beispiel in die IT-Umgebungen von Lieferanten.

Apps von Dritten

Ein weiterer Angriffsvektor sind Anwendungen von Drittanbietern, die auf Daten in Microsoft 365 oder G Suite zugreifen können. Die Infiltration oder das Erlangen von OAuth-Tokens (Authentifizierungscode für den Zugriff auf IT-Ressourcen) erfolgt dabei über Phishing, Social Engineering, Malware oder kompromittierte Konten. Diese Methode ist unauffällig, aber gefährlich und stellt ein hohes Compliance-Risiko dar. Um solche Angriffe abzuwehren, müssen IT-Verantwortliche die Nutzung von Drittanbieter-Apps, die vergebenen OAuth-Berechtigungen und die Vertrauenswürdigkeit der Apps kontinuierlich überwachen. Dazu sollten ein Warnsystem und die Möglichkeit zur automatischen Entfernung von Apps vorhanden sein.

VAPs

Um das eigene Unternehmen vor derlei Angriffen zu schützen, sollten die Verantwortlichen zunächst die Organisation aus der Sicht eines Cyberkriminellen betrachten. Dabei wird zwangsläufig der Faktor Mensch als größte Gefahrenquelle hervorstechen. Es ist folglich wichtig, dass die IT-Teams einen Sicherheitsansatz verfolgen, der den Menschen in den Mittelpunkt stellt und die Awareness als zentrale Säule der Cyber-Defense-Strategie etabliert. Ein besonderes Augenmerk sollte dabei den Very Attacked People (VAPs) gelten, also jenen Mitarbeiterinnen und Mitarbeiter im Unternehmen, die aufgrund ihrer Zugriffsrechte besonders häufig ins Visier von Cyberkriminellen geraten. Diese stimmen in den meisten Fällen nicht mit den VIPs einer Organisation überein.

Cloud Access Security Broker

Anschließend gilt es, das Unternehmen in technischer Hinsicht resilienter zu machen, um den Missbrauch von Cloud-Accounts zu verhindern. Hier kann ein Cloud Access Security Broker (CASB) seine Vorteile ausspielen. Diese zeigen sich besonders in vier Bereichen: Cloud Application Management, Threat Prevention, Schutz sensibler Daten und Cloud Compliance.

Im Bereich Cloud Application Management übernehmen CASBs die Verwaltung von Anwendungen und Diensten in der Cloud. Sie bieten einen zentralen Überblick über alle Elemente einer Cloud-Umgebung. So ist jederzeit transparent, wer wann welche Anwendung nutzt, wo sich der Nutzer befindet und welches Gerät verwendet wird. Mit Hilfe eines CASB können IT-Verantwortliche auch das Risikoniveau bestimmter Anwendungen und Dienste ermitteln und daraufhin den Zugriff auf diese Anwendungen für bestimmte Nutzer, Daten und Dienste automatisch freigeben oder einschränken.

Das zweite Aufgabenfeld von CASBs ist die Abwehr von Angriffen auf die Cloud-Infrastruktur einer Organisation. CASB-Lösungen helfen bei der Identifizierung von Cloud-Angriffen, indem sie verdächtige Anmeldeversuche identifizieren. Ein moderner CASB setzt auch Anti-Malware- und Sandboxing-Tools ein, um Angriffe abzuwehren und zu analysieren. Eine Anbindung an Datenbanken von Cybersicherheitsunternehmen ermöglicht zudem die Erkennung neuester Angriffsmethoden.

Ein weiteres Anwendungsgebiet betrifft den Schutz sensibler Daten. CASBs bieten die Möglichkeit, extern oder öffentlich geteilte Dateien zu erkennen und zu entfernen. Darüber hinaus können sie Datenverluste verhindern.

Schließlich tragen CASBs zur Einhaltung aktueller Gesetze und Vorschriften bei, zum Beispiel der Datenschutzgrundverordnung (DSGVO) für in der Cloud gespeicherte Daten. Durch Überwachung, automatisierte Prozesse und Berichtsfunktionen kann ein CASB dabei helfen, die Einhaltung von Vorschriften zu gewährleisten und nachzuweisen.

Es kann jeden treffen

Generell sind Cyberkriminelle nicht auf eine bestimmte Branche fixiert – es kann somit jeden treffen. Angemessene Sicherheitsmaßnahmen tragen dazu bei, Account-Hijacking und andere Sicherheitsvorfälle bei Unternehmen und ihren Partnern oder Kunden zu verhindern beziehungsweise schneller zu beheben. Organisationen müssen mehrschichtige, intelligente Sicherheitsmaßnahmen implementieren, einschließlich Nutzerschulungen und Sensibilisierungsmaßnahmen, um die zunehmend erfolgreichen Kompromittierungen von Cloud-Accounts zu bekämpfen.