Daten, Zahlen, Fakten So steht es aktuell um die Storage-Security
Anbieter zum Thema
In einer Zeit, in der Cloud Storage nicht nur aus digitalevolutionären Gründen ständig an Bedeutung gewinnt, sondern ganz speziell durch die Corona-Krise gepusht wird, muss auch die Risikobewertung beständig aktualisiert werden. Doch was sind die derzeitigen Storage- und anderen Digitalrisiken? Und vor allem: Was hilft dagegen?

Manchmal könnte man den Eindruck gewinnen, dass eine bestehende Technik nur auf eine außergewöhnliche Lage gewartet hätte, um einen fulminanten Auftritt auf der Weltbühne vorzulegen. Als eines von zahlreichen Beispielen sei das TOR-Netzwerk genannt. Bis zum Jahr 2013 waren dieses und sein Arbeitsprinzip nur einem kleinen Kreis von digitalen Profis bekannt – eine absolute Nischenanwendung.
Dann jedoch machte der NSA-Mitarbeiter Edward Snowden durch seine Leaks der ganzen Welt bekannt, in welchem Maß Daten von staatlichen Akteuren abgefangen, gespeichert und analysiert werden. In dem Zug wurde TOR spontan vom Nischenprodukt zu einem breit bekannten, schlagkräftigen Mittel für jeden, um seine Internetaktivitäten sicherer zu machen – und plötzlich fanden sich selbst in renommierten Massenmedien wie dem Spiegel Anleitungen, wie ein persönliches TOR-Netzwerk via Raspberry PI aufgesetzt werden kann.
Bei der Datenspeicherung in der Cloud verlief es ähnlich, wenngleich nicht 1:1 vergleichbar. Diese Form von Storage konnte bekanntlich schon die ganzen 2010er über Erfolge feiern, war sozusagen „in aller Munde“ und definitiv kein Nischenprodukt. Was ihr jedoch trotzdem einen selbst von Experten völlig unerwarteten, aber enorm großen Schub verlieh, war die Corona-Pandemie. Urplötzlich mussten weltweit ungezählte tausende Unternehmen ihre zuvor zentralisierte Arbeit verstreuen, mussten nicht nur funktionieren, obwohl ihre Mitarbeiter über tausende Quadratkilometer im Home-Office verstreut waren, sondern mussten auch noch global gespannte Ketten aufrechterhalten.
In dieser urplötzlichen Not zur Dezentralisierung konnte das einzige wirklich dezentralisierte Storage-Modell zum Retter werden – auf der ganzen Welt. Nach aktuellen Zahlen einer Umfrage von YouGov und HP Enterprise haben allein 44 Prozent aller deutschen Unternehmen die Cloud-Nutzung im Vergleich zur präpandemischen Zeit ausgebaut; 68 Prozent davon steigerten sich sogar um deutlich mehr als ein Viertel.
Fraglos lässt sich sagen, dass die Pandemie dem Cloud Computing und anderen dezentralisierten Tools einen zuvor unerwarteten, vollkommen jenseits des evolutionären Aufstiegs liegenden Antrieb gab. Damit einher geht allerdings auch, dass alle bisherigen Cyber-Risiken neu bewertet werden müssen.
Die durch Corona ausgelösten Probleme
Prinzipiell muss bei einer solchen Risikobewertung unterschieden werden zwischen
- einerseits digitalen Risiken, die speziell durch die Pandemie und den Umgang damit auftraten oder verstärkt wurden,
- andererseits Risiken, die sich im Zuge der großen Cloud-Verbreitung ergaben oder durch diese zumindest verstärkt wurden.
Was Ersteres anbelangt, so lässt sich nüchtern feststellen, dass Corona für einen allgemeinen Digitalisierungsschub sorgte, vor allem auf unternehmerischer Seite. Auch jenseits der Cloud wurden enorm viele digitale Lösungen appliziert, um den Betrieb – irgendwie – aufrechtzuerhalten.
Daraus lassen sich konkrete Problemstellungen ableiten:
Vergrößerte Angriffsfläche
Es ist eine ganz simple mathematische Gleichung: Je verbreiteter und weitverzweigter etwas ist, desto erfolgreicher ist es zwar, aber desto größer wird auch die Angriffsfläche. Wenn beispielsweise nur zehn Unternehmen auf zahlreiche digitale Lösungen setzen, gibt es für Angreifer auch nur zehn Unternehmen, die als Ziel interessant sind. Wenn jedoch plötzlich zehntausende Firmen so verfahren, wird daraus ein „target-rich environment“ für Hacker und Cracker jeglicher Couleur.
Verstärkt wird dies noch dadurch, dass sich nicht nur die reinen Nutzerzahlen durch Corona vergrößerten, sondern sich auch die Zahlen von Anwendungen pro User vervielfachten. Egal, ob Kommunikation, Datenübertragung oder Backups: Corona sorgte dafür, dass deutlich mehr Einzellösungen genutzt wurden, wo zuvor in der Präsenzarbeit vieles analog erfolgen konnte.
Funktionalität vor allem anderen
Als im Frühjahr 2020 die erste Corona- und somit Home-Office-Welle über die Welt kam, mussten viele Menschen erschreckt feststellen, dass sie eigentlich keine Ahnung hatten, wie sich ein effektives Arbeiten aus der Distanz und ohne persönlichen Kontakt bewerkstelligen lässt – hier sei darauf verwiesen, dass vor der Pandemie ganze 61 Prozent aller deutschen Unternehmen keinerlei Erfahrung mit Heimarbeit hatten. Selbst von jenen 39 Prozent, die sie hatten, war nur ein verschwindend geringer Bruchteil befähigt oder sogar geübt darin, den Betrieb in einem Full-Lockdown-Modus zu gestalten – meistens lief es in diesen Häusern darauf hinaus, dass nur einige Mitarbeiter zu Hause arbeiteten und auch das typischerweise nur zeitweilig.
Als die ersten Lockdowns begannen, hatten deshalb sehr viele Betriebe ein veritables Problem: Sie mussten „von heute auf morgen“ Nachholarbeit im ganz großen Stil leisten. Verständlich, dass es vielen deshalb zunächst darum ging, „überhaupt irgendwie“ den Distanzbetrieb zu gestalten – ohne große Rücksicht auf Sicherheit.
Es zeigte sich deshalb schnell, dass dies seinen Preis hatte. Das Problem rings um die Zoom-Videokonferenz-Software ist die vielleicht bekannteste Ausprägung davon. Umgekehrt konnten Firmen, die schon zuvor stark datengetrieben waren, einen entscheidenden Vorteil in die Waagschale werfen.
Zu den stark angewachsenen Zahlen aus dem vorherigen Punkt kam also noch hinzu, dass viele der neuen Nutzer keinen großen Fokus auf Sicherheit setzten, sondern notgedrungen auf reine Funktionalität, Verfügbarkeit und Zugänglichkeit – immerhin mussten die Lösungen auch mit denjenigen Mitarbeitern funktionieren, deren zuvor einziger beruflicher Digitalkontakt der PC gewesen war.
Dementsprechend sprachen Sicherheitsexperten ziemlich schnell von einem „Schlaraffenland“ oder einem „reich gedeckten Tisch“ für Cyber-Kriminelle. Hier rächte es sich ausnehmend bitter, dass viele Häuser zuvor nicht umfassender digitalisiert hatten.
Zu kurzfristiges Hoffnungsdenken
Wie sähe der ideale Weg für einen sicheren digitalen Umgang mit einer Pandemie aus unternehmerischer Sicht aus?
- 1. Es gäbe grundsätzliche, umfassende Pläne für den Fall der Fälle. Dazu auch die nötigen digitalen Lösungen.
- 2. Das gesamte Team hätte Erfahrungen damit, einen sicheren Distanzbetrieb zu gewährleisten, wäre mit allen Tools und Arbeitsweisen vertraut.
- 3. Alle Tools würden sowohl nach Funktionalität wie nach Sicherheit ausgewählt und entsprechend vorkonfiguriert, wären einsatzbereit, sodass an einem „Tag X“ praktisch nur noch Schalter umgelegt und die Mitarbeiter nach Hause geschickt werden müssen.
Wohl kaum ein Unternehmen dürfte diesen Goldstandard eingehalten haben. Das tatsächliche Problem ist jedoch: Viele taten auch über die gesamte weitere Corona-Zeit nicht viel oder zumindest nicht genug. Als im Sommer 2020 die Infektionszahlen zurückgingen, sahen viele keinen Grund, ihre Prozesse deutlich sicherer zu gestalten. Und als im Herbst die Zahlen wieder nach oben schossen, machten schnell die Meldungen vom Impfbeginn die Runde.
In der Folge herrschte bei vielen Firmen und anderen Beteiligten eine mehr von Hoffnung als von Vernunft getriebene Denkweise vor, die davon ausging, dass Corona und umfassende Distanzarbeit in Bälde ein Ding der Vergangenheit sein würden. Ergo wurde vielerorts nicht sonderlich viel getan, um alles auf ein festeres Grundgerüst zu stellen – selbst heute ist das digitale Vorgehen in vielen Häusern von Improvisation gekennzeichnet.
Zu allen offenen Toren für Kriminelle kam also noch hinzu, dass diese sich lange Zeit, teilweise bis heute, in aller Seelenruhe ihrem Tun widmen konnten – und das folgte bekannten Mustern.
Angriffsvektoren auf Grund von Corona
Wie gingen und gehen Cyber-Kriminelle angesichts der pandemischen Lage vor? Hier lassen sich unter anderem aus den Zahlen des BSI folgende Strategien nachvollziehen:
- Das Ausspähen von Datenbanken im ganz großen Stil, die schlicht völlig unzureichend abgesichert sind. Hier sind nicht einmal „echte“ Angriffe vonnöten.
- Das Ausnutzen von neuen Schwachstellen, die sich durch Remote-Verbindungen ergeben; beispielsweise DejaBlue und BlueKeep im Remote Desktop Protocol von Windows.
- Die großmaßstäbliche Verwendung von Phishing. Schon vor der Pandemie war dies eine gefährlich erfolgreiche Vorgehensweise. Währenddessen jedoch wurden allein durch Business-E-Mail-Compromise-Angriffe (BEC) Unternehmensschäden über 26 Milliarden US-Dollar verursacht.
- Das enorme Ausnutzen von Verunsicherung und Improvisation durch gezielte Social-Engineering-Kampagnen jenseits des Phishings. Vor allem CEO-Fraud-Maschen nahmen aufgrund der Distanzarbeit stark zu. Ferner wurde die Datenfreigiebigkeit vieler notleidender Betriebe ausgenutzt, um Seiten aufzubauen, die echten Antragsseiten für Nothilfen täuschend ähnelten.
- Die Nutzung von Schadprogrammen und darauf basierten Attacken ging im Herbst und Winter durch die Decke. Zeitweise wurden tagtäglich fast eine halbe Million neue Varianten beobachtet. Hier stach vor allem Emotet deutlich hervor. Zudem wurden und werden auch deutlich erhöhte, gezielte Ransomware-Attacken gefahren.
- Das verstärkte Vorgaukeln von Seriosität: Immer mehr Kriminelle bedienen sich seit Pandemiebeginn HTTPS-Seiten, um in Phishing-Mails Seriosität von Links vorzuspielen.
Allein über die sich daraus ergebenden Zahlen ließen sich problemlos ganze Bücher füllen. Deshalb an diesem Punkt nur ein eindrucksvolles Beispiel von vielen: Laut BSI waren in den vergangenen Monaten weltweit ungefähr 24,3 Millionen ungesicherte medizinische Datensätze von Patienten frei im Internet auffindbar.
Cloud-Storage anno 2020/21: Bedrohungen und Vektoren
Bereits im Eingangstext wurde aufgezeigt, wie immens die Bedeutung der Cloud in den vergangenen Monaten angestiegen ist. Um dies jedoch nochmals zu verdeutlichen und zu vertiefen, sei eine weitere Zahl genannt: 100 Prozent. So viele Befragte gaben für die 2020er Ausgabe des bekannten State of the Cloud Reports an, die Cloud entweder zu nutzen oder zumindest eine konkrete Strategie zu verfolgen, dies möglichst bald zu tun.
Ein absolutes Novum. Seit der Report Anfang der 2010er erstmals veröffentlicht wurde, gab es niemals auch nur annähernd ein derartig eindeutiges Ergebnis. Doch wo so viel Licht ist, da dürfen selbst Nichteingeweihte natürlich auch viel Schatten vermuten.
Prinzipiell folgen die aktuellen Problemzonen der Cloud denselben Linien, die generell in den vorherigen Punkten aufgezeigt wurden. Das heißt:
- plötzlicher, sehr starker Anstieg,
- zu geringer Fokus auf Sicherheit und
- fälschliche Annahme einer baldigen Rückkehr zum „Status quo ante bellum“.
Die Risiken und Bedrohungen lassen sich dementsprechend klar nachvollziehen:
Cloud-Sicherheit wird von vielen noch nicht richtig verstanden
Am 10. März 2021 brach im Rechenzentrum von OVHCloud in Straßburg ein Feuer aus, bei dem rund 12.000 Server ein Raub der Flammen wurden – eine Katastrophe nicht nur für das Unternehmen, sondern auch für die Betreiber mehrerer hunderttausend Websites.
Dieser Einzelfall zeigt jedoch, dass hinter dem Cloud Computing nach wie vor ein noch viel größeres Problem steht: Sehr viele Nutzer haben immer noch nicht verstanden, wie Cloud-Sicherheit funktioniert. Denn es brannten nicht nur Server ab, sondern auch unzählige Datensätze, die sich nur darauf befanden. Wie tief das Unverständnis geht, zeigen die Reaktionen auf den Brand: Viele machten nämlich „die Cloud“ verantwortlich, wohingegen es tatsächlich ihre ureigenste Schuld war, dass sie nicht vertraglich vereinbarten, dass Sicherungen angefertigt wurden – oder dass sie nicht zusätzlich auf andere Cloud-Anbieter oder inhäusige Backups setzten.
Hier ist es ein großes Problem, das sich längst noch nicht durchgesetzt hat, dass Cloud-Sicherheit ein „geteiltes Sorgerecht“ zwischen Anbieter und Auftraggeber ist. Die stark gestiegenen Nutzerzahlen der vergangenen Monate dürften die Lage kaum zum Besseren verändern.
Es werden vielfach zu unsichere APIs verwendet
Google – ausgerechnet – speicherte für fast anderthalb Jahrzehnte Passwörter in unverschlüsseltem Text. Diese Meldung machte rund ein Jahr vor Pandemiebeginn die Runde. Für viele war jedoch nicht klar, dass sie vor allem ein Beweis für ein tieferliegendes Problem war und ist: Programmierschnittstellen sind nach wie vor eine oft eklatante Sicherheitslücke. Schon 2018 zeigte Imperva in einer Studie auf, dass nicht weniger als zwei Drittel aller Organisationen ihre APIs Dritten zugänglich machen, etwa Geschäftspartnern oder Entwicklern.
Kommen dann noch eine schlechte „API-Hygiene“, das Nutzen von selteneren Frameworks und eine intransparente Übersicht hinzu, wird die API häufig zum Zugangspunkt für Angreifer.
Access-Management ist vielerorts unsagbar schwach ausgeprägt
Der mit Abstand größte Grund für den generellen Erfolg des Cloud Computings ist bekanntermaßen, dass es möglich wird, dass zahlreiche Personen von zahlreichen Orten aus auf Datensätze und andere Nutzungen zugreifen können – womit auch der wichtigste Grund für die rasante Verbreitung während der zurückliegenden Monate im Detail erklärt wäre.
Doch abermals zeigt sich der Nachholbedarf. Diesmal im Bereich der beständig hohen Zahl von Innentätern in Unternehmen. Sie stellen, aus personeller Sicht betrachtet, die mit Abstand größte Zahl von Akteuren hinter betrieblichen Datenlecks dar. Innerhalb dieser Gruppe sind es vor allem ehemalige Mitarbeiter, die absichtlich oder (seltener) unabsichtlich auf Datensätze ihrer alten Arbeitgeber zugreifen.
Hinzu kommen noch all jene Fälle, in denen externe Akteure (beispielsweise Konkurrenten) das Standing von einzelnen Personen innerhalb der Firma ausnutzen, um sich Zugang zu verschaffen – der bereits erwähnte CEO-Fraud ist eine der bekanntesten, aber nicht die einzige Masche.
Hier wird die Cloud zu einem Problem der besonderen Sorte. Denn viele Häuser betreiben kein sorgfältiges Access-Management:
- Einerseits gibt es keine (ausreichende) Unterteilung, wer auf welche Daten/Dienste der Cloud zugreifen darf,
- andererseits wird häufig nicht genau genug protokolliert, wer worauf zugreift.
Abermals spielte die Improvisation auf Grund von Corona hier vielen Angreifern in die Hände – ein Großteil der gestohlenen Daten in den vergangenen Monaten lässt sich zumindest anteilig durch mangelhaftes Access-Management erklären. Wenn allein schon mehr Firmen Multi-Faktor-Authentifikation betreiben würden, wäre sehr vielen Fällen ein massiver Riegel vorgeschoben.
Der Cloud-Storage wird ohne Fokus auf Sicherheit konfiguriert
Abermals müssen wir ein Kapitel mit „ausgerechnet“ beginnen. Diesmal „ausgerechnet die US-Army und die NSA“, von denen man eigentlich annehmen dürfte, dass sie die fähigsten Sicherheitsexperten des Planeten beschäftigen – zumindest aber diejenigen, die sich am besten in das Denken und Handeln von Angreifern hineinversetzen können.
Just diesen beiden Diensten passierte Ende 2017 ein Missgeschick, das sicherlich niemals vorkommen darf – und erst recht nicht auf diesem Level. Das Intelligence and Security Command, ein gemeinsames Netzwerk von Army und NSA, betrieb eine Cloud via Amazon Web Services – das mag ungewöhnlich erscheinen, ist aber nicht so problematisch, wie mancher vielleicht annimmt.
Was jedoch wirklich problematisch war, war die Art und Weise, wie die Spezialisten den Storage konfigurierten, nämlich für „Public Access“, wodurch jeder, der die URL hatte, darauf zugreifen konnte. Dadurch tat sich eine Lücke auf – und was für eine. Denn auf dem Server waren plötzlich 47 Ordner und Dokumente eines Projekts namens Red Disk frei abrufbar – glücklicherweise ein eingestelltes Projekt, das aber dennoch als Top Secret eingestuft war (darin ging es um ein militärisches Cloud-Netzwerk, über das Soldaten auf Reports, abgefangene Feindmeldungen, Drohnen-Fotos und dergleichen hätten zugreifen können).
Wenn so etwas schon solchen Profis passiert, lässt sich vermuten, wie viele andere Cloud-Speicher derartig falsch konfiguriert werden. Verschärft wird dies ebenfalls noch dadurch, dass viele Unternehmen sämtliche Aktivitäten in die Cloud verlagern und so oftmals jeglichen Überblick über die Datenströme verlieren.
Die Cloud wird missbräuchlich verwendet
Ein Mitarbeiter im Home-Office mitten im Lockdown. Er langweilt sich, hat nach der Arbeit kaum Gelegenheit, etwas zu tun. Er weiß jedoch, dass das Internet voller Unterhaltung steckt. Hier eine zum Download verfügbare Serie, dort Spiele, auf der nächsten Seite Musik.
Bloß hat dieser Mitarbeiter einen Rechner, der schon jetzt proppenvoll mit Daten ist und dessen Festplatte kaum noch Freiraum hat. Aber er hat durch seine Tätigkeit eben auch Zugang zum von seiner Firma angemieteten Cloud-Dienst. Und der bietet gleich mehrere Terabyte Volumen. Jetzt braucht es nur noch eine Remote-Verbindung und eine komfortabel schnelle Standleitung. Kurze Zeit später kann der Mitarbeiter sich Unterhaltung für Monate auf die Firmen-Cloud ziehen; höchstwahrscheinlich, ohne dass es jemand bemerken wird.
Derartige Fälle kamen in den vergangenen Monaten ungezählte Male vor. Und wie erwähnt bleiben sie meistens unentdeckt, weil viele Firmen längst den Überblick über ihre Datenströme verloren haben. Wenn jedoch etwas passiert, dann richtig. Etwa dann, wenn die missbräuchliche Nutzung etwa dazu führt, dass Schadsoftware mitten ins Herz unternehmerischer Datensätze eingepflanzt wird – von wo sie sich auf jeden ausbreiten kann, der Zugriff darauf hat.
Sicher hilft hierbei ein sehr gutes Access Management. Noch mehr müssen jedoch Unternehmen erkennen, wie wichtig es ist, all ihre Mitarbeiter „von der Pike auf“ über die besondere Natur der Cloud-Sicherheit zu schulen – und diese Notwendigkeit beginnt ganz oben bei demjenigen, der die Entscheidung fällt, Mittel für das inhäusige Cloud Computing bereitzustellen.
(ID:47498631)