Fehler bei der Public-Cloud-Nutzung vermeiden
Sophos: Datenrisiko durch fehlkonfigurierte S3-Buckets
Public Clouds erfreuen sich auch in Deutschland zunehmender Beliebtheit. Für den optimalen Schutz der in der Cloud abgelegten Daten müssen Anbieter und Nutzer aber gleichermaßen ihren Sicherheitsrollen gerecht werden, mahnt Sophos. So gelte es zum Beispiel für AWS-Anwender, die korrekte Konfiguration der S3-Buckets (S3: Simple Storage Service) im Auge zu behalten.
Sophos betont, bei der Zusammenarbeit mit Cloudprovidern wie Amazon (Amazon Web Services, AWS), Microsoft (Azure) oder Google (Google Cloud Platform) sei Sicherheit eine Frage gemeinsamer Verantwortung. Ein Cloud-Provider gebe Anwenderunternehmen große Flexibilität, ihre Cloudumgebungen zu gestalten. Deshalb könne der Provider allein keinen umfassenden Schutz für virtuelle Netzwerke, virtuelle Maschinen oder Daten in der Cloud bieten.
Das in der Public Cloud übliche Modell der Mitverantwortung ("Shared Responsibility") bedeutet: Der Cloudanbieter sorgt für die die Sicherheit der Cloudumgebung, während das Anwenderunternehmen für alles verantwortlich sind, was in dieser Cloudumgebung passiert. Jedoch, so Sophos, wisse der Administrator auf Kundenseite nicht immer, was der Cloudprovider verantwortet und welche Sicherheitskontrollen er selbst einrichten muss. Diese Unsicherheit führe zu ungeschützten Daten, Dateien und Datenbanken.
Sicherheitsprobleme gibt es zum Beispiel immer wieder durch ungeschützte - also aus Versehen öffentlich zugängliche - Amazon-S3-Datenbestände. Ursache ist hier, wie Sophos ausführt, eine fehlerhafte Konfiguration (S3-Sicherheitseinstellungen auf "Public" gesetzt). AWS hat sogar ein Update veröffentlicht, um Kunden zu helfen, eine der größten Ursachen für Cloud-Datenverluste zu vermeiden. Ein Denkfehler sei es, hier anzunehmen, dass Cyberkriminelle nur auf empfindliche Daten von Organisationen aus sind, warnt Sophos.
Content aus statischen Web-Seiten wie HTML-Dateien, JavaScript und Style Sheets (CSS) sei eine weitere beliebte Zielscheibe der Angreiferseite. Angriffe, die diese Quellen betreffen, zielen laut Sophos vorrangig darauf ab, die Dateien zu manipulieren, um finanzielle Informationen der Nutzer zu entwenden.
Beide Angriffsketten, so Sophos, sehen zu Beginn gleich aus: Der Cyberkriminelle scanne das Internet mit automatisierten S3-Scannern nach fehlkonfigurierten S3 Buckets. Ab da gabeln sich die Angriffswege: Beim typischen S3-Datenverstoß synchronisiere der Angreifer wertvollen Inhalt mit der lokalen Festplatte und erreiche dabei sämtliche Dateien, die im Public-Modus fehlkonfiguriert sind.
Im Fall einer Datenmanipulation hingegen suche der Kriminelle nach JavaScript Content und modifiziere diesen so, dass er Schadcode enthält. Besucht ein Nutzer nun die infizierte Web-Seite, lade der schädliche JavaScript-Code und protokolliere die in den Zahlungsformularen erfassten Kredit- und Debitkarten-Details. Diese Informationen übermittle die Malware dann an den Server des Angreifers.
Versehentliche oder böswillige Änderungen an S3-Konfigurationen sind sehr verbreitet, mahnt Sophos. Mittlerweile gebe es aber Cloud-Management-Lösungen, die sich dieses Problems annehmen. "Sophos Cloud Optix beispielsweise erkennt schnell sämtliche öffentlich zugänglichen Dateien oder Web-Seiten-Files und deklariert sie als privat", erläutert Michael Veit, Sicherheitsexperte bei Sophos. "Mithilfe dieser Funktion wird eine zusätzliche Sicherheitsebene gegenüber kritischen Services wie zum Beispiel Guardrails eingefügt, sodass keine Konfiguration ohne Erlaubnis möglich ist."
Dadurch könne die Software das Anwenderunternehmen innerhalb von Minuten über ein S3-Bucket-Datenproblem informieren. Zudem nutze die Software KI-Methoden, um verdächtige Nutzer-Log-ins aufzuspüren, und benachrichtige das Unternehmen, wenn S3-Buckets von einem ungewöhnlichen Standort aus modifiziert werden.
Weitere Informationen finden sich unter www.sophos.com.
Lesen Sie mehr zum Thema
