{"id":26114,"date":"2024-02-19T11:07:40","date_gmt":"2024-02-19T10:07:40","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=26114"},"modified":"2024-02-12T11:14:33","modified_gmt":"2024-02-12T10:14:33","slug":"schuetzen-was-gefaehrdet-ist-cloud-anwendungen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=26114","title":{"rendered":"Sch\u00fctzen, was gef\u00e4hrdet ist: Cloud-Anwendungen"},"content":{"rendered":"\n

Autor\/Redakteur: Miro Mitrovic, Area Vice President f\u00fcr die DACH-Region bei Proofpoint<\/a>\/gg<\/p>\n\n\n\n

Cyberkriminelle sind Opportunisten. Sie passen sich den jeweils aktuellen IT-Trends an und nutzen sie f\u00fcr ihre Zwecke. Je mehr Unternehmen ihre IT in die Cloud verlegen, desto mehr richten Kriminelle ihre Attacken auf dieses Ziel aus. Darum m\u00fcssen die IT-Sicherheitsma\u00dfnahmen eines Unternehmens mit der IT-Infrastruktur in die Cloud migrieren. Dort m\u00fcssen sie vor allem die laut Untersuchungen<\/a> wichtigsten drei Angriffsmethoden in Schach halten: Brute-Force-Angriffe, Insider-Phishing oder Einsatz von Drittanbieter-Apps, die auf Daten aus Microsoft 365 oder der G Suite zugreifen.<\/p>\n\n\n\n

\"\"
Quelle: Proofpoint<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Brute Force<\/strong><\/p>\n\n\n\n

Brute-Force-Angriffe werden von den T\u00e4tern gezielt und auf raffinierte Weise eingesetzt. Besonders h\u00e4ufig wird dabei das Internet Message Access Protocol (IMAP) missbraucht. IMAP dient eigentlich als Authentifizierungsprotokoll und wird bei E-Mails h\u00e4ufig dann eingesetzt, wenn eine Multi-Faktor-Authentifizierung (MFA) nicht m\u00f6glich ist \u2013 zum Beispiel bei gemeinsam genutzten E-Mail-Konten. Da IMAP jedoch ein veraltetes Protokoll mit einigen Schwachstellen ist, k\u00f6nnen \u00fcber IMAP erreichbare Konten vergleichsweise leicht von Cyberkriminellen kompromittiert werden.<\/p>\n\n\n\n

Zumeist beschr\u00e4nken sich die Cyberkriminellen nicht darauf, mit den erbeuteten Zugangsdaten auf die gehackten Accounts zuzugreifen. Wenn die urspr\u00fcngliche Zielperson nicht \u00fcber die notwendigen Berechtigungen verf\u00fcgt, um Geld zu \u00fcberweisen oder wichtige Informationen weiterzugeben, nutzen die T\u00e4ter die Anmeldedaten, um ihren Zugriff innerhalb einer Organisation auszuweiten und die Cloud-Anwendungen anderer Nutzer zu infiltrieren.<\/p>\n\n\n\n

Insider-Phishing<\/strong><\/p>\n\n\n\n

So nutzen Cyberkriminelle gehackte Cloud-Accounts auch dazu, innerhalb einer Organisation glaubw\u00fcrdige Phishing-E-Mails zu versenden. Dadurch erhalten sie meist relativ einfach Zugriff auf interne Ressourcen. Die Angreifer nutzen ihren Zugang ferner, um E-Mail-Weiterleitungsregeln zu \u00e4ndern oder sich weiterreichende Berechtigungen zu verschaffen. In einigen F\u00e4llen bem\u00fchen sie auch eine andere Methode: Man-in-the-Middle-Angriffe (Abfangen der Kommunikation zwischen zwei Parteien). Dar\u00fcber hinaus verwenden sie gehackte Konten, um Phishing-E-Mails an Partnerorganisationen zu versenden und so in die Cloud-Umgebung Dritter einzudringen, zum Beispiel in die IT-Umgebungen von Lieferanten.<\/p>\n\n\n\n

Apps von Dritten<\/strong><\/p>\n\n\n\n

Ein weiterer Angriffsvektor sind Anwendungen von Drittanbietern, die auf Daten in Microsoft 365 oder G Suite zugreifen k\u00f6nnen. Die Infiltration oder das Erlangen von OAuth-Tokens (Authentifizierungscode f\u00fcr den Zugriff auf IT-Ressourcen) erfolgt dabei \u00fcber Phishing, Social Engineering, Malware oder kompromittierte Konten. Diese Methode ist unauff\u00e4llig, aber gef\u00e4hrlich und stellt ein hohes Compliance-Risiko dar. Um solche Angriffe abzuwehren, m\u00fcssen IT-Verantwortliche die Nutzung von Drittanbieter-Apps, die vergebenen OAuth-Berechtigungen und die Vertrauensw\u00fcrdigkeit der Apps kontinuierlich \u00fcberwachen. Dazu sollten ein Warnsystem und die M\u00f6glichkeit zur automatischen Entfernung von Apps vorhanden sein.<\/p>\n\n\n\n

VAPs<\/strong><\/p>\n\n\n\n

Um das eigene Unternehmen vor derlei Angriffen zu sch\u00fctzen, sollten die Verantwortlichen zun\u00e4chst die Organisation aus der Sicht eines Cyberkriminellen betrachten. Dabei wird zwangsl\u00e4ufig der Faktor Mensch als gr\u00f6\u00dfte Gefahrenquelle hervorstechen. Es ist folglich wichtig, dass die IT-Teams einen Sicherheitsansatz verfolgen, der den Menschen in den Mittelpunkt stellt und die Awareness als zentrale S\u00e4ule der Cyber-Defense-Strategie etabliert. Ein besonderes Augenmerk sollte dabei den Very Attacked People (VAPs) gelten, also jenen Mitarbeiterinnen und Mitarbeiter im Unternehmen, die aufgrund ihrer Zugriffsrechte besonders h\u00e4ufig ins Visier von Cyberkriminellen geraten. Diese stimmen in den meisten F\u00e4llen nicht mit den VIPs einer Organisation \u00fcberein.<\/p>\n\n\n\n

Cloud Access Security Broker<\/strong><\/p>\n\n\n\n

Anschlie\u00dfend gilt es, das Unternehmen in technischer Hinsicht resilienter zu machen, um den Missbrauch von Cloud-Accounts zu verhindern. Hier kann ein Cloud Access Security Broker (CASB) seine Vorteile ausspielen. Diese zeigen sich besonders in vier Bereichen: Cloud Application Management, Threat Prevention, Schutz sensibler Daten und Cloud Compliance.<\/p>\n\n\n\n

Im Bereich Cloud Application Management \u00fcbernehmen CASBs die Verwaltung von Anwendungen und Diensten in der Cloud. Sie bieten einen zentralen \u00dcberblick \u00fcber alle Elemente einer Cloud-Umgebung. So ist jederzeit transparent, wer wann welche Anwendung nutzt, wo sich der Nutzer befindet und welches Ger\u00e4t verwendet wird. Mit Hilfe eines CASB k\u00f6nnen IT-Verantwortliche auch das Risikoniveau bestimmter Anwendungen und Dienste ermitteln und daraufhin den Zugriff auf diese Anwendungen f\u00fcr bestimmte Nutzer, Daten und Dienste automatisch freigeben oder einschr\u00e4nken.<\/p>\n\n\n\n

Das zweite Aufgabenfeld von CASBs ist die Abwehr von Angriffen auf die Cloud-Infrastruktur einer Organisation. CASB-L\u00f6sungen helfen bei der Identifizierung von Cloud-Angriffen, indem sie verd\u00e4chtige Anmeldeversuche identifizieren. Ein moderner CASB setzt auch Anti-Malware- und Sandboxing-Tools ein, um Angriffe abzuwehren und zu analysieren. Eine Anbindung an Datenbanken von Cybersicherheitsunternehmen erm\u00f6glicht zudem die Erkennung neuester Angriffsmethoden.<\/p>\n\n\n\n

Ein weiteres Anwendungsgebiet betrifft den Schutz sensibler Daten. CASBs bieten die M\u00f6glichkeit, extern oder \u00f6ffentlich geteilte Dateien zu erkennen und zu entfernen. Dar\u00fcber hinaus k\u00f6nnen sie Datenverluste verhindern.<\/p>\n\n\n\n

Schlie\u00dflich tragen CASBs zur Einhaltung aktueller Gesetze und Vorschriften bei, zum Beispiel der Datenschutzgrundverordnung (DSGVO) f\u00fcr in der Cloud gespeicherte Daten. Durch \u00dcberwachung, automatisierte Prozesse und Berichtsfunktionen kann ein CASB dabei helfen, die Einhaltung von Vorschriften zu gew\u00e4hrleisten und nachzuweisen.<\/p>\n\n\n\n

Es kann jeden treffen<\/strong><\/p>\n\n\n\n

Generell sind Cyberkriminelle nicht auf eine bestimmte Branche fixiert \u2013 es kann somit jeden treffen. Angemessene Sicherheitsma\u00dfnahmen tragen dazu bei, Account-Hijacking und andere Sicherheitsvorf\u00e4lle bei Unternehmen und ihren Partnern oder Kunden zu verhindern beziehungsweise schneller zu beheben. Organisationen m\u00fcssen mehrschichtige, intelligente Sicherheitsma\u00dfnahmen implementieren, einschlie\u00dflich Nutzerschulungen und Sensibilisierungsma\u00dfnahmen, um die zunehmend erfolgreichen Kompromittierungen von Cloud-Accounts zu bek\u00e4mpfen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Cyberkriminelle sind Opportunisten. Sie passen sich den jeweils aktuellen IT-Trends an und nutzen sie f\u00fcr ihre Zwecke. Je mehr Unternehmen ihre IT in die Cloud verlegen, desto mehr richten Kriminelle ihre Attacken auf dieses Ziel aus. Darum m\u00fcssen die IT-Sicherheitsma\u00dfnahmen eines Unternehmens mit der IT-Infrastruktur in die Cloud migrieren. Dort m\u00fcssen sie vor allem die laut Untersuchungen wichtigsten drei Angriffsmethoden in Schach halten: Brute-Force-Angriffe, Insider-Phishing oder Einsatz von Drittanbieter-Apps, die auf Daten aus Microsoft 365 oder der G Suite zugreifen.<\/p>\n","protected":false},"author":81,"featured_media":26116,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[14478,6730,6257,9408,3392,8708,17850],"class_list":["post-26114","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-brute-force-2","tag-casb","tag-cloud","tag-dsgvo","tag-phishing","tag-proofpoint","tag-vap"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26114","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=26114"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26114\/revisions"}],"predecessor-version":[{"id":26117,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/26114\/revisions\/26117"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/26116"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=26114"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=26114"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=26114"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}