Die Sicherheit von Daten und Anwendungen ist in Cloud-Computing-Umgebungen von entscheidender Bedeutung. Daher verwenden Unternehmen und Cloud-Service-Provider viel Mühe darauf, ihre Netzwerke vor Angriffen zu schützen. Dabei übersehen sie häufig, dass Hacker mittlerweile einen anderen Weg nutzen, um in Clouds einzudringen: unzureichend abgesicherte und schlecht gemanagte Endgeräte wie Notebooks, Tablets und Smartphones.Eine zentrale Rolle bei der Absicherung einer Cloud-Infrastruktur spielen die Endgeräte, über die Anwender auf Daten und Services in einer Cloud zugreifen. Diesen Faktor übersehen viele Unternehmen und Organisationen. Der Grund ist die traditionelle Sichtweise von IT-Sicherheit: Sie stellt die Absicherung des Firmennetzwerks mithilfe von Firewalls, Unified-Threat-Management (UTM), SIEM-Systemen (Security-Information- and Event-Management) und Schwachstellen-Scannern in den Mittelpunkt. Solche Tools sind dafür optimiert, Schwachstellen von IT-Systemen zu identifizieren und zu schließen, die innerhalb des Firmennetzwerks angesiedelt sind.
Mit Cloud Computing ändert sich das: Unternehmenskritische Informationen und Anwendungen werden nicht mehr ausschließlich innerhalb des Firmennetzes bereitgestellt, sondern über Systeme, die in Rechenzentren von Cloud-Service-Providern angesiedelt sind. Anwender greifen auf Daten und Anwendungen in einer Cloud von Endsystemen aus zu, die sowohl innerhalb als auch außerhalb des geschützten Unternehmensnetzes angesiedelt sind. Häufig nutzen Anwender Notebooks oder Smartphones parallel an ihrem Arbeitsplatz im Büro, also hinter Firewalls und Intrusion-Detection-Systemen, und in ungesicherten Umgebungen wie einem Hotel oder im Home Office. Laut einer Studie der IT-Sicherheitsfirma Symantec von 2012 lagern mittlerweile bereits 48 Prozent der Unternehmensinformationen in Deutschland außerhalb des Firmenrechenzentrums. An die 16 Prozent davon befinden sich auf Smartphones und Tablet-Rechnern. Für Systemverwalter bedeutet dies, dass solche Endgeräte in besonderem Maße zu schützen sind.
 
Risiken durch kompromittierte Endgeräte
Die Cybercrime-Branche hat auf diesen Trend längst reagiert. Um ein System zu kompromittieren, kommen unterschiedliche Verfahren zu Einsatz, so die Infektion eines Systems mithilfe einer Anwendung (App), die einen Trojaner auf dem Endgerät installiert. Das Ziel solcher Aktionen besteht beispielsweise darin, einen Keylogger auf dem System zu platzieren, der Benutzereingaben wie Passwörter und Account-Namen mitschneidet und an den Angreifer übermittelt. Hinzu kommt Malware-Verbreitung mittels infizierter Office-Dateien wie Excel- und Word-Dokumenten. Dieses Verfahren wird genutzt, um den Schutz von Endgeräten mittels Token zu unterlaufen. Die Schadsoftware sammelt Authentifizierungsinformationen und lädt sie auf einen Server des Kriminellen hoch. Eine besonders gefährliche Angriffsform sind manipulierte Browser-Plug-ins, weil ein Großteil der Cloud-basierten Anwendungen über Browser zur Verfügung gestellt wird. Das gilt auch für Desktop-Umgebungen in Virtual Desktop Infrastructures (VDI). Ein Plug-in kann beispielsweise Kundeninformationen „absaugen“ und weiterleiten, sobald der Benutzer über den Browser auf das CRM-System (Customer-Relationship-Management) im Unternehmen zugreift.
 
Schutzmaßnahmen
So trivial es auch klingen mag, besteht die erste Schutzmaßnahme darin, alle Clients, die Zugang zu Cloud-Ressourcen haben, mit einem wirkungsvollen Antiviren- und Anti-Spyware-Programm auszustatten. Dies erfordert ein zentrales System- und Mobile-Device-Management. Nur dann lässt sich sicherstellen, dass alle Systeme denselben Sicherheitsstatus aufweisen: der Arbeitsplatzrechner innerhalb des Firmennetzes ebenso wie das Tablet des Außendienstmitarbeiters.
Der zweite Baustein ist ein funktionierendes Patch-Management. Auch in diesem Fall gilt, dass mobile und stationäre Systeme, die Betriebssysteme sowie Standardapplikationen und branchenspezifische Anwendungen abgedeckt sein müssen. Das ist selbst in kleineren Unternehmen mit 50 IT-Arbeitsplätzen ohne IT-Management-Lösung nicht zu bewältigen, die Patches automatisch einspielt und den Status von Endsystemen kontinuierlich überwacht.
Wichtig ist dabei, Patches schnellstmöglich nach deren Erscheinen zu installieren. In der Praxis dauert es laut Erfahrungen von Kaseya häufig mehrere Tage, Patches auf Endgeräten einspielen. Vor allem kleinere Unternehmen mit bis zu 500 Mitarbeitern neigen dazu, Patches erst mit einer Verzögerung von etwa einer Woche zu implementieren. Nach Angaben von Art Manion, einem Mitarbeiter des Computer Emergency Readiness Teams (CERT) der Carnegie Mellon University in Pittsburgh (USA), bringen die Hersteller pro Jahr etwa 8.000 bis 10.000 Patches für ihre Softwareprodukte heraus. Das heißt, dass speziell in größeren Unternehmen das Patch-Management ein aufwändiger Prozess ist, der sich nur mithilfe entsprechender Tools automatisieren lässt.
 
Verzicht auf Downloads hilft nicht
Ein gängiges Vorurteil ist, dass ein Endgerät in jedem Fall sicher ist, solange der Benutzer keine Dateien herunterlädt. Nach Untersuchungen des IT-Sicherheitsanbieters Kaspersky Lab trifft dies nicht zu, wie folgende Beispiele belegen: Eine Lücke im DRM (Digital-Rights-Management) eines Multimedia-Players wie dem Windows Media Player kann es Angreifern ermöglichen, auf dem Zielsystem ohne des Wissen des Nutzers Trojaner zu installieren. Drive-by-Angriffe basieren darauf, dass ein Internetnutzer auf eine Website gelockt wird, die mit Schadsoftware hinterlegt ist. Diese Malware untersucht den Browser des Anwenders auf Sicherheitslücken und nutzt diese, um Schadsoftware auf dem Rechner des Opfers zu platzieren. In beiden Fällen lädt der Benutzer wissentlich keine Dateien auf sein System herunter.
 
Mehrschichtige Sicherheit
Die Beispiele machen deutlich, dass Endgeräte, die als Zugangssysteme zu Firmennetzen und Cloud-Umgebungen dienen, eine breite Angriffsfläche bieten. Um sie wirkungsvoll abzusichern, ist es daher erforderlich, mehrere Sicherheitstechniken zu kombinieren. Je mehr Sicherheitsebenen vorhanden sind, desto besser. Der Nachteil dieses Ansatzes besteht darin, dass er zu Lasten der Performance der Endsysteme geht. Es ist Aufgabe der IT-Abteilung, einen Kompromiss zwischen Sicherheit und Leistung der Endgeräte zu finden. Ein mehrschichtiges Sicherheitskonzept für Endgeräte besteht aus folgenden Komponenten:
Patching der Betriebssysteme der Endsysteme,
Patching aller Anwendungen,
Einsatz einer Antivirenlösung,
Verwendung von Anti-Malware-Software, etwa zur Abwehr von Spyware, Spam, Trojanern etc.,
Verschlüsselung von Massenspeichern mit wichtigen Daten,
Einsatz eines Data-Loss-Prevention-Systems,
Digital-Rights-Management sowie
Zwei-Faktor-Authentifizierung.
Ergänzend ist es erforderlich, den Status der Endgeräte kontinuierlich zu überwachen. Darauf zu bauen, dass Benutzer von sich aus sicherheitsrelevante Vorfälle oder ein ungewöhnliches Verhalten eines Systems der IT-Abteilung melden, ist fahrlässig. Vielmehr muss die IT-Abteilung die Endsysteme kontrollieren. Das erfordert den Einsatz einer Monitoring-Software, mit der sich diese Aufgabe weitgehend automatisieren lässt.
 
Remote-Management
Ist ein Endgerät kompromittiert, wird der Benutzer in den meisten Fällen aufgefordert, das System zur weiteren Analyse der IT-Abteilung zu überlassen. Diese Vorgehensweise hat zwei gravierende Nachteile: Zeitverlust und Gefahr für andere IT-Systeme. Bis das System bei den Experten eingetroffen ist und untersucht wurde, kann ein Angreifer die Informationen, die auf dem Endgerät vorhanden sind, für seine Zwecke nutzen. Ein unsicheres System gelangt auf diese Weise in das Unternehmensnetz. Selbst wenn die IT-Abteilung Vorsicht bei der Analyse des Geräts walten lässt, besteht die Gefahr, dass es Zugriff auf das Firmennetz erhält und dort andere IT-Systeme infiziert.
Dies bedeutet: IT-Fachleute benötigen Werkzeuge, mit denen sie Endgeräte aus der Ferne verwalten können und die es ihnen gleichzeitig erlauben, ohne Mithilfe des Benutzers Sicherheitsprobleme auf diesen Systemen zu beseitigen. Ein solches Tool sollte folgende Optionen bieten: das Einspielen von Sicherheits-Updates und Software-Upgrades, das Fernlöschen von Informationen, das Fernsperren des Systems sowie die Option, den Standort des Endgeräts zu ermitteln, etwas mittels GPS und anhand der IP-Adresse.

Laut einer KPMG-Studie nutzten 2012 bereits 28 Prozent der deutschen Unternehmen Private- oder Public-Cloud-Services. Bild: KPMG

LANline.