adrian_ilie825 - Fotolia
Insider-Bedrohungen für Cloud-Dienste abwehren
Insider-Bedrohungen stellen für Cloud-Dienste ein besonderes Risiko dar, schließlich sind diese mit den richtigen Zugangsdaten meist von überall aus zu jeder Zeit zugänglich.
Entgegen der landläufigen Meinung sind die größten Sicherheitsrisiken für Unternehmen die so genannten Insider-Bedrohungen. Nach Schätzungen von Sicherheitsforschern sind diese Bedrohungen für mindestens 45 Prozent der Datenverstöße verantwortlich, wahrscheinlich jedoch eher für mehr als 75 Prozent.
Die Berichterstattung über Insider-Bedrohungen ist allerdings überschaubar, da diese weniger spektakulär sind als Angriffe durch staatliche Einrichtungen oder kriminelle Vereinigungen. Sicherheitsverantwortliche sollten die internen Bedrohungen jedoch sehr ernst nehmen. Denn diese sind einerseits sehr schwer zu erkennen, können andererseits dafür aber sehr schwerwiegende Folgen haben.
Mittel, Motive und Gelegenheiten
Um als Insider eingestuft zu werden, muss ein Angreifer bereits über einen legitimen Zugang zu einem Zielsystem sowie entsprechendes Wissen darüber verfügen.
Die Motive der so genannten Insider können dabei unterschiedlichster Natur sein. Dabei muss ein Datenverstoß oder der Abfluss von Daten keineswegs beabsichtigt sein. Manchmal ist eine schlecht durchdachte Änderung am System für das Leck verantwortlich. Oder Nutzer legt Daten an einem Ort ab, der für andere zugänglich ist, ohne dass dies in seiner Absicht gelegen hätte.
Natürlich gibt es auch Insider-Bedrohungen, denen weniger redliche Motive zugrunde liegen. Beispielsweise könnte ein verärgerter Angestellter seinem Arbeitgeber durch einen Datenverstoß gezielt Schaden zufügen wollen. Oder aber ein Vertriebsmitarbeiter, der das Unternehmen eigentlich ganz regulär verlässt, möchte seine Kundendatenbank zu seinem neuen Arbeitgeber mitnehmen.
Geht es um Spionage mit staatlichem oder Interesse der Mitbewerber stehen natürlich mehr Ressourcen zur Verfügung, um Insider für sich zu gewinnen. Anstatt zu versuchen externen Zugang zu Systemen zu erlangen, kann ein Insider beispielweise durch Erpressung oder finanziellen Anreiz dazu gebracht, eine Hintertür zu den Systemen zu öffnen.
Was bedeuten Insider-Bedrohungen für die Cloud?
Zu den Vorzügen bei der Nutzung von Cloud-Diensten gehört ja zweifelsohne die nahezu unbegrenzte Erreichbarkeit. Sofern nicht mit beschränkenden Techniken wie Whitelisting gearbeitet wird, sind die Dienste ja prinzipiell mit den entsprechenden Zugangsdaten und Berechtigungen von überall aus und für jeden zugänglich. Das vergrößert die Angriffsfläche bezüglich Insider-Verstößen, will heißen dem missbräuchlichen Einsatz korrekter Zugangsdaten, ganz erheblich.
So könnte beispielsweise ein ehemaliger Mitarbeiter weiterhin über das Internet auf die Dienste zugreifen, wenn seine Konten nicht ordnungsgemäß deaktiviert wurden. Gleiches gilt exemplarisch für einen Handelsvertreter, der nunmehr vielleicht ausschließlich für einen Mitbewerber arbeitet oder einen System-Administrator, der ein längst vergessenes Zugangskonto angelegt hat. In der Cloud können gestohlene Zugangsdaten von jedermann genutzt werden, ohne dass ein physischer Netzwerkzugang erforderlich wäre.
Daher ist das Management entsprechender Zugänge für Online-Dienste von entscheidender Bedeutung. Dies ist umso wichtiger, da die Cloud-Dienste zunehmend geschäftskritische Anwendungen und Prozesse abbilden. Die erhöhte Verfügbarkeit ist ja vielerorts einer der Gründe Anwendungen in die Cloud zu verlagern.
Cloud-Dienste kommunizieren untereinander oder mit lokalen Dienste unter Verwendung eines API-Schlüssels. Dieser Schlüssel dient nicht nur zu Identifizierung des Nutzers, sondern häufig auch zur Sicherung der Kommunikation. Ganz ähnlich wie bei der Verwendung eines komplexen Passworts. Dies bedeutet, dass API-Schlüssel sicher gespeichert und weitergegeben werden müssen.
Einen API-Schlüssel zu ändern, ist oftmals kein leichtes Unterfangen. Um Ausfälle zu vermeiden, muss dies häufig auf allen Systemen, die den Schlüssel verwenden, gleichzeitig geschehen. Das führt dazu, dass API-Schlüssel in der Praxis häufig unverändert über längere Zeiträume, manchmal Jahre, genutzt werden. So könnte ein Administrator, wenn er das Unternehmen verlässt, eine Kopie des Schlüssels mitnehmen und weiterhin vollen Zugriff auf den entsprechenden Dienst erhalten. Ähnlich wie bei der Passwortverwaltung, ist die Verwaltung von API-Schlüsseln von Bedeutung, um die Sicherheit zu gewährleisten.
Missbrauch von Cloud-Zugängen erkennen
Das Erkennen von Insider-Bedrohungen beziehungsweise der missbräuchlichen Nutzung von Zugangsdaten erfolgt meistens über verhaltensbasierter Technologien, die abnormales Nutzerverhalten erkennen. Viele Lösungen sind in der Lage, das normale Nutzerverhalten zu überwachen und zu analysieren. Lädt dann ein Nutzer beispielsweise ungewöhnlich viele Kundendaten herunter oder greift in einem kurzen Zeitraum auf sehr viele Systeme und Datenbanken zu, erfolgt eine entsprechende Warnmeldung.
Der Einsatz von maschinellem Lernen hat besonders bei den Systemen zur Erkennung von Anomalien für ganz erhebliche Fortschritte gesorgt. In der Tat lassen sich nahezu eine unbegrenzte Anzahl von Faktoren für das Nutzerverhalten festlegen. Etwa, ob er sich von ungewöhnlichen Ort einloggt, sich eigentlich im Urlaub befindet oder seit mehr als zwölf Stunden online ist und viele weitere Aspekte. Es existieren zahlreich spezialisierte Produkte zur Analyse des Nutzerverhaltens (UBA, User Behaviour Analytics) auf dem Markt.
Und eine weitere Produktkategorie eignet sich ganz trefflich, um den Missbrauch von Zugangsdaten zu erkennen beziehungsweise die Folgen abzumildern – die DLP-Lösungen (Data Loss Prevention und Data Loss Protection). Dateien, die zu Cloud-Diensten, Synchronisationsverzeichnisse oder einfach auch auf externe Datenträger übertragen werden, können nach Stichworten, Klassifizierung oder auch Inhalten durchsucht werden. Sind entsprechende Richtlinien konfiguriert, kann eine solche Lösung entsprechend gefilterte Daten erkennen und je nach Implementierung auch blockieren.
Datenverstöße durch Insider verhindern
Vorbeugen ist besser als heilen – das gilt auch für Insider-Bedrohungen. Allerdings ist Prävention an dieser Stelle nicht immer ganz einfach, denn menschliches Verhalten ist nur begrenzt vorhersehbar.
Konten und Berechtigungen sollten regelmäßig überprüft werden, ebenso wie API-Schlüssel. Das Prinzip der minimalen Rechtevergabe sollte allgemein zu den Best Practices in Sachen Sicherheit gehören. Diese Vorgehensweise ist insbesondere für Insider-Bedrohungen von großer Bedeutung. Um unbeabsichtigtes Fehlverhalten zu vermeiden, empfehlen sich zudem Schulungen der Mitarbeiter.
Fazit
In Anbetracht des Anteils der Sicherheitsvorfälle, denen offensichtlich der missbräuchliche Einsatz regulärer Zugangsdaten zugrunde liegt, sollten Insider-Bedrohungen weit oben auf der Agenda von Sicherheitsverantwortlichen stehen. Die damit verbundenen Risiken sind einfach zu groß, um das Problem zu unterschätzen.
Technische Lösungen können da in einem begrenzten Umfang eine gute Unterstützung bieten. Es existieren Lösungen, um entsprechende Vorfälle zu erkennen und auch Datenabzug zu verhindern. Hier ist das Problem, dass Technologie nicht immer mit dem Einfallsreichtum von Menschen Schritt halten kann.
Da haben Lösungen zur Analyse des Nutzerverhaltens große Fortschritte gemacht. Es wird sich künftig zeigen, wie gut die Algorithmen und das maschinelle Lernen der Kreativität und Beharrlichkeit von Menschen begegnen.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!