Cloud Jacking: Wenn die «Internetwolke» zum Angriffsziel wird

03-12-2020

Autor: Jan Tissler

Ohne Cloud-Dienste sind viele Abläufe in der modernen Arbeitswelt gar nicht denkbar oder zumindest deutlich umständlicher. Zugleich ist «die Wolke» ein überaus lohnendes Ziel für Hacker oder auch Erpresser. Lesen Sie hier wie die Angriffswege aussehen und welche Gegenmassnahmen möglich sind.

Wer Daten in der Cloud ablegt und entsprechende Dienste nutzt, fühlt sich vielleicht besonders sicher: Die Anbieter werden doch wohl alles für die IT-Security tun? Der Haken daran: Die Dienstleister können lediglich sicherstellen, dass die grundlegenden Abwehrmassnahmen getroffen sind. Sie haben hingegen wenig Einfluss darauf, falls die Dienste unsicher eingerichtet oder genutzt werden. Und gibt der Mitarbeitende eines Unternehmens aus Versehen seine Zugangsdaten heraus, war alles umsonst: Dann ist der Cloud-Dienst so sicher wie ein Tresor, dessen Tür offen steht.

Angriffswege und -ziele

Angriffe auf diese Dienste sind unter anderem als «Cloud Jacking» bekannt. Es gibt verschiedene Szenarien, auf die man sich einstellen sollte:

Account-Übernahme durch (Spear) Phishing

Ein häufig anzutreffendes Angriffsmuster ist die Übernahme eines Cloud-Accounts über «(Spear) Phishing»: Nutzer werden dazu gebracht, ihre Zugangsdaten herzugeben. Das passiert beispielsweise über gefälschte E-Mails und Websites, die ihren offiziellen Vorbildern zum Verwechseln ähnlich sehen.
Angriffe dieser Art richten sich inzwischen auch ganz gezielt an bestimmte Organisationen oder sogar einzelne Personen. Mehr dazu in diesem Beitrag.

Sicherheitslücken und falsch vergebene Zugriffsrechte

Darüber hinaus kommen altbekannte Angriffstaktiken zum Einsatz. Die Hacker versuchen in diesen Fällen ihren Code einzuschleusen, in dem sie beispielsweise nicht korrekt geschützte Datenbankabfragen ausnutzen. Oder der Angriff richtet sich zunächst auf Dienste und Werkzeuge, die für den Betrieb oder die Weiterentwicklung des Cloud-Angebots selbst genutzt werden.
Nicht zuletzt machen es falsch vergebene Zugriffsrechte den Angreifern allzu leicht: Wenn zum Beispiel aus Bequemlichkeit jeder Mitarbeitende im Unternehmen alles in der Cloud kann und darf, bietet sich den Hackern viel Potenzial.

Datenverkehr abfangen

Ist ein Angriff erfolgreich, macht er sich nicht immer sofort bemerkbar. Eventuell wird zunächst der Datenverkehr abgehört, um weitere Informationen zu sammeln. Oder die nun abrufbaren Dokumente und Daten werden ausgewertet und für die nächsten Schritte genutzt.
Darüber hinaus könnten die ausgelieferten Informationen manipuliert werden, um Nutzer auf gefälschte Seiten umzuleiten, eine Schadsoftware unterzuschieben und einiges mehr.

Ransomware

Ransomware wiederum hat bislang vor allem Geräte in einem internen Netzwerk angegriffen, kann aber im Prinzip genauso Daten in der Cloud erwischen. Sie werden dann verschlüsselt und nur gegen ein Lösegeld wieder freigegeben.
Früher wurde Ransomware möglichst grossflächig verbreitet, um über die Masse Geld zu verdienen. Heute werden oftmals genau solche Unternehmen und Organisationen attackiert, die sehr wahrscheinlich hohe Erpressersumme bezahlen werden. Die simple Rechnung: Je weniger sich eine Branche Ausfallzeiten aufgrund blockierterer Rechner und Netzerke leisten kann und je höher der Umsatz, desto gefährdeter.

Island Hopping

Cloud-Dienste haben zugleich das Potenzial zum Ausgangspunkt fürs «Island Hopping» zu werden: Bei dieser Herangehensweise nehmen sich Angreifer zunächst ein kleineres Ziel vor, um davon ausgehend einen weiteren Zwischenschritt anzusteuern – bis sie das eigentliche Opfer erreicht haben.
Deshalb sollte sich keine Organisation sicher fühlen, nur weil die eigenen Daten als nicht so wertvoll angesehen werden. Ein prominentes Beispiel: Der folgenschwere Angriff auf die US-Handelskette «Target» kam über einen Dienstleister für Heizungs- und Lüftungsanlagen herein.

Gegenmassnahmen für Unternehmen

Gegenmassnahmen drehen sich vor allem darum, wesentliche Einfallstore zu schliessen oder zumindest stark abzusichern:

  • Dazu gehören in erster Linie die eigenen Mitarbeitenden: Sie müssen stets über die drohenden Gefahren und aktuelle Entwicklungen auf dem Laufenden gehalten werden. Idealerweise werden Szenarien wie eine Phishing-E-Mail oder ein Phishing-Anruf direkt durchgespielt.
  • Ausserdem gehört es dazu, interne Prozesse klar zu definieren: Wer darf welche Information herausgeben und an wen?
  • Es sollten die richtigen Werkzeuge zur Verfügung stehen wie ein aktueller Virusschutz.
  • Mit Blick auf die Cloud selbst ist entscheidend, die Konfiguration regelmässig zu überprüfen. Dazu gehören wie oben erwähnt auch die Zugriffsrechte.
  • Multi-Faktor-Login sollte selbstverständlich sein.
  • Ebenso lässt sich je nach Dienst auch der Zugriff auf bestimmte IP-Adressen beschränken, so dass man es nur über den firmeneigenen VPN-Tunnel nutzen kann.
  • Darüber hinaus sollten diese Regeln nicht nur im eigenen Unternehmen gelten, sondern auch bei Partnern – egal wie klein und harmlos sie scheinen.

Nicht zuletzt braucht jedes Unternehen einen Notfallplan, falls eben doch etwas schiefläuft. So sollten die Daten in der «Internetwolke» entsprechend verschlüsselt sein und Cloud-Daten nicht nur einmal vorhanden sein: Eine Backup-Strategie gehört auch hier dazu.

Ähnliche Artikel

Cookies - bitte treffen Sie Ihre Wahl
Diese Webseite verwendet Cookies, um Ihnen ein angenehmeres Surfen zu ermöglichen.
Cookies
Diese Webseite verwendet Cookies, um Ihnen ein angenehmeres Surfen zu ermöglichen.

Notwendige Cookies – für die Nutzung der Website zwingend erforderlich
Aus Ein
Präferenz-Cookies – ermöglicht es der Website, sich an die Nutzungs-Einstellungen des Benutzers zu erinnern, z.B. Sprache oder Region
Aus Ein
Statistik-Cookies – anonymisierte Sammlung von Informationen zur Auswertung der Website-Nutzung der Besucher
Aus Ein