Setzt ein Unternehmen auf Cloud-Architekturen, gilt es die Sicherheitsrisiken im Blick zu haben. Mit den geeigneten Vorkehrungen lassen sich, je nach Datencharakteristik, die notwendigen Module einbauen.Damit sollte zumindest für hybride Clouds das Sicherheitsrisiko beherrschbar werden.

»Die größten Schäden werden oft gar nicht von Hackern oder Cyberkriminellen verursacht, sondern passieren auf dem Transportweg, der über eine Cloud-basierte Infrastruktur führt. Der Tatort ist sozusagen das Büro und die Täter stammen aus den eigenen Reihen«, so lautet die Erfahrung von Christian Vogt. Der Regional Director Germany & Netherlands beim Sicherheitsspezialisten Fortinet sieht daher eine logische Konsequenz: »Tatsache ist und bleibt, dass Schaden entstehen kann und somit vorgebaut werden muss, um die Auswirkungen einzugrenzen.«

Dazu gehört in erster Linie ein Sicherheitsmodell, das sich aus definierten Zugangsrichtlinien, klarer Aufgabentrennung und unumstößlichen Protokollierungsverfahren zusammensetzt. In Kombination mit einer Cloud-Infrastruktur reichen diese Maßnahmen allein jedoch nicht aus. Zusätzliche Technik ist gefordert.

Datencharakteristik entscheidet

Die Public-Cloud-Infrastrukturen gelten als eine technische Herausforderung für Netzwerkmanager. Öffentliche Organisationen müssen ihre Schutzmechanismen überprüfen, bevor sie Daten in der Cloud ablegen oder wieder in das eigene Netzwerk integrieren. Hier treten vor allem die Schlagworte Applikationskontrolle, Verschlüsselung, SSL-Inspektion, Data Leakage Protection und Anti-Virus in den Vordergrund. Verschlüsselungsverfahren schützen die Daten, die in der Cloud lediglich abgelegt sind (»Data-at-Rest«), vor nicht autorisierten Angriffen, so Vogt.

Er sieht dagegen bei den »Daten im Umlauf« (Data-in-Motion) ein Problem: »Sie werden in der Cloud nicht unbedingt geprüft oder gereinigt. Es besteht also das Risiko, dass bereits in der Cloud infizierte Daten wieder zurück ins eigene Netzwerk gelangen können.«

Datentransfer und Zusammenarbeit in der Cloud setzt ein gut durchdachtes Konzept voraus. Zuerst gilt es die Sicherheit der in der Cloud gespeicherten Daten zu bedenken. Diese hängt eng mit der Leistung der Cloud Hosting Service Provider zusammen, die schon im Vorfeld über entsprechende Vereinbarung (Servicelevel Agreements, SLAs) festgelegt werden muss. Es sind dabei Fragen zu klären wie: Hat der Provider Sicherheitsrichtlinien für die Zugangskontrolle und hat er Maßnahmen getroffen damit undichte Stellen im Netzwerk vermieden werden? Auch die Einhaltung rechtlicher Vorschriften seitens des Cloud-Anbieters muss vor der Auftragserteilung gründlich überprüft werden.

Sichere Transportwege sind nötig

Im nächsten Schritt sollten Entscheidungsträger für die Sicherheit der Daten auf dem Transportweg sorgen. Das Scannen von Applikationsinhalten, um Malware zu entdecken, ist hier ebenso zu nennen wie ihre Verschlüsselung und die gezielte Suche nach Bedrohungen bei der Überschreitung der Netzwerkgrenze.

Auch wenn alle diese Kriterien der Cloud-Sicherheit erfüllt sind, bleibt die Möglichkeit, dass Hacker ihre Angriffe auf eine bestimmte Organisation abzielen und Datenspionage oder Datendiebstahl erfolgreich durchführen.

Vergiftete Dokumente führen zur Infektion

 Dateien, die häufig zwischen einer Cloud und der internen IT einer Organisation verschickt werden, sind für Cyberkriminelle besonders attraktiv. Es sind dabei viele Dateiformate vertreten, und ein jedes braucht entsprechende Software, mit der sich die Inhalte anzeigen und bearbeiten lassen. Sogenannte vergiftete Dateien entstehen dann, wenn eine saubere Datei nach einer Modifizierung mit einer bösartigen Byte-Folge geladen wird. Ein erfolgreicher Angriff ist für das Leseprogramm konzipiert. Ein Angriff, der beispielsweise auf den Adobe Reader (PDF) zielt, muss nicht auch bei einem FoxIT-Reader funktionieren. Auch unterschiedliche Versionen eines Readers können den Angriffserfolg beeinflussen.

Derartige Angriffe werden in zwei Kategorien geteilt: gezielte und Massenangriffe. Bei den Massenangriffen geht es einfach nur darum, möglichst viele Benutzer zu treffen. Eine Massenspamkampagne mit angehängten vergifteten Dateien ist daher sehr geeignet.

»Gezielte Attacken haben bestimmte Empfänger im Visier, sind effektiver und werden häufiger. Dabei werden E-Mails verschickt, die auf den ersten Blick überzeugen, weil sie auf Ereignisse verweisen, mit denen der Empfänger vertraut ist«, erklärt Vogt. »Wird die Datei geöffnet, führt der Reader den bösartigen Code aus und schleust auf dem Rechner Daten ein, die nach Systemstart die Kontrolle übernehmen, wie etwa Botnets oder Spy-Trojaner. In der Regel wird zuerst ein Botnet-Agent installiert, der dem Angreifer berichtet und Malware, meistens ein Remote Administration Tool (RAT), herunterlädt. Einmal auf dem Rechner kann das Tool Files herunterladen, Screenshots machen und sogar die Webcam aktivieren.«
Rainer Huttenloher