Orca-Security-Studie
Datenschutz in der Cloud wird vernachlässigt
Foto: wk1003mike - shutterstock.com
Obwohl die meisten Unternehmen Cloud-Sicherheit als eine ihrer wichtigsten IT-Prioritäten auflisten, ignorieren sie weiterhin grundlegende Maßnahmen der Sicherheitshygiene, wenn es um die Daten geht, die in der Cloud liegen, so der "2022 State of Public Cloud Security Report" von Orca. Die Studie offenbart, dass 36 Prozent der befragten Unternehmen sensible Daten (etwa Firmengeheimnisse oder persönliche Informationen) unverschlüsselt in ihren Cloud-Assets vorhalten.
Gartner prognostiziert, dass die weltweiten Ausgaben für Public Cloud Services im Jahr 2022 - auch durch die Pandemie getrieben - um 20,4 Prozent auf insgesamt 494,7 Milliarden Dollar steigen werden. 2023 soll das Marktvolumen bereits bei knapp 600 Milliarden liegen, wenn es nach den Auguren geht.
Doch in der Eile, ihre IT-Ressourcen in die Cloud zu verlagern, bekommen viele Unternehmen Schwierigkeiten, wenn es darum geht, mit den immer größer werdenden Angriffsflächen in der Cloud und der zunehmenden Multi-Cloud-Komplexität Schritt zu halten. Der anhaltende Mangel an qualifiziertem Security-Personal verschlimmere die Situation zusätzlich, so die Autoren der Studie.
Dabei sei das Risiko in der Cloud nicht größer als in einer On-Premises-Umgebung - vielmehr ist es ein anderes Risiko, weiß Avi Shua, CEO und Mitbegründer von Orca Security: "In einer On-Premises-Umgebung haben Unternehmen mehr Kontrolle über ihre Infrastruktur. Das ist aber nicht unbedingt ein Vorteil. Cloud-Service-Anbieter verfügen oft über weitaus mehr Ressourcen, um die Sicherheit der Infrastruktur zu gewährleisten."
Im Rahmen des Shared-Responsibility-Modells seien Unternehmen nach wie vor für die Anwendungen und Services verantwortlich, die sie in der Cloud ausführen. Dabei bestünden ähnliche Risiken wie in konventionellen Infrastrukturen. Was die Sicherheit in der Cloud davon abhebe, sei der kulturelle Wandel, so Shua: "Alles geht viel schneller als vor Ort und es gibt viel mehr Managed Services, die völlig andere Bedrohungen aufwerfen als die der On-Premises-Welt."
Sicherheitslücken und kein Ende
Wie die Studie zeigt, haben viele Unternehmen immer noch mit Schwachstellen zu kämpfen, die vor mehr als einer Dekade entdeckt wurden. Dabei müssten schwerwiegende Schwachstellen so schnell wie möglich behoben werden, da sie in 78 Prozent der Fälle zu den ersten Angriffsvektoren zählen, so die Studienautoren.
"Der Grund, warum einige Unternehmen immer noch diese alten Schwachstellen aufweisen, liegt darin, dass sie oft veraltete Anwendungen betreiben, die nicht so einfach gepatcht werden können", konstatiert der Orca-CEO. Er empfiehlt Unternehmen in solchen Fällen, die betreffenden Systeme von anderen Anlagen zu trennen, um eine Gefährdung der gesamten Umgebung zu verhindern.
"Schwachstellen bleiben auch deshalb für lange Zeit ungepatcht, weil die Zuständigkeiten der Teams manchmal unklar sind und Probleme nicht richtig zugewiesen werden", meint Shua. Es sei jedoch wichtig zu verstehen, dass es nahezu unmöglich sei, alle Schwachstellen zu beheben. Teams sollten seiner Meinung nach deshalb strategisch vorgehen und wissen, welche Schwachstellen die größte Gefahr für die sensible und wertvolle Unternehmens-Assets darstellen - die Kronjuwelen des Unternehmens.
Log4Shell bleibt problematisch
Im Dezember 2021 wurde eine schwerwiegende Zero-Day-Schwachstelle in Apache Log4j entdeckt. Die Sicherheitslücke war leicht auszunutzen, ermöglichte die unautorisierte Ausführung von Remote Code und wurde "Log4Shell" getauft. Als sie publik wurde, veröffentlichten mehrere Open-Source-Entwickler in aller Eile mehrere Patches - die wiederum neue Schwachstellen einführten. Erst im vierten Anlauf konnte das Problem behoben werden. Laut der Studie leiden Unternehmen immer noch unter den Folgen dieser Sicherheitslücke:
Fast fünf Prozent der Workload-Assets weisen immer noch mindestens eine Log4j-Schwachstelle auf, davon sind 10,5 Prozent über das Internet angreifbar.
30 Prozent der zwischen Dezember 2021 und Januar 2022 entdeckten Log4j-Schwachstellen sind noch nicht behoben, davon geben 6,2 Prozent potenziell personenbezogene Daten preis.
Auch in Containern und Container-Images wurden noch etliche Log4j-Schwachstellen gefunden. Images sind dabei laut den Studienautoren besonders problematisch, da die Schwachstellen jedes Mal reproduziert werden, wenn das Image verwendet wird.
Verwaiste Assets als Einfallstor
Eine weitere Erkenntnis der Security-Studie: Vernachlässigte Assets dienen Angreifern oft als Einfallstor. Darunter zählt Orca Cloud-Assets, die nicht mehr unterstützte Betriebssysteme wie CentOS 6, Linux 32-Bit oder Windows Server 2012 verwenden - oder seit mindestens 180 Tagen nicht mehr gepatcht wurden. Ursächlich für diese Zustände sind laut der Studie in erster Linie Legacy-Anwendungen, die aktuelle Betriebssysteme nicht unterstützen. Laut Orca Security betrifft die Vernachlässigung von Assets aus Security-Perspektive:
im Durchschnitt 11 Prozent aller Assets;
mehr als 30 Prozent der Workloads von zehn Prozent aller befragten Organisationen;
Dazu kommt die Erkenntnis, dass 19 Prozent der identifizierten Angriffspfade vernachlässigte Assets als anfänglichen Angriffsvektor nutzen. Zudem kommt die Untersuchung zu dem Schluss, dass es sich bei den meisten dieser Assets um Container handelt, von denen rund die Hälfte auf nicht-unterstützten Versionen des Aplpine-Betriebssystems laufe.
Fehlkonfiguration schafft Schwachstellen
Wie Gartner prognostiziert, werden bis 2025 mehr als 99 Prozent aller Cloud-Sicherheitsverletzungen auf vermeidbare Fehlkonfigurationen oder Fehler von Endbenutzern zurückzuführen sein.
Auch die Studie befasst sich mit diesem Thema - insbesondere mit dem AWS Key Management Service (KMS). Mit dessen Hilfe können Administratoren Schlüssel erstellen, löschen und kontrollieren, die die Daten in AWS-Datenbanken und -Produkten verschlüsseln. Acht Prozent der befragten Unternehmen haben einen KMS-Schlüssel mit einer öffentlichen Zugriffsrichtlinie konfiguriert. Das sei besonders gefährlich, da es einen einfachen Angriffsvektor für eine böswillige Partei schaffe, so die Studienautoren. Außerdem verwendeten 99 Prozent der Unternehmen mindestens einen Standard-KMS-Schlüssel. 79 Prozent der Unternehmen haben zudem mindestens einen Zugangsschlüssel, der älter als 90 Tage ist im Einsatz. Das widerspreche der gängigen Praxis, Zugriffsschlüssel, die älter als 90 Tage sind, zu rotieren, um das Zeitfenster zu begrenzen, in dem kompromittierte Schlüssel missbraucht werden können.
Auch was das Access Management angeht, stellen die Studienautoren Raum für Verbesserung fest: Etwa 51 Prozent der Unternehmen haben einen Google-Storage-Bucket ohne einheitlichen Zugriff. Seien die Zugriffsebenen nicht einheitlich festgelegt, könnten sich Angreifer lateral durch das Netzwerk bewegen und ein höheres Access Level erreichen, heißt es im Bericht.
Kronjuwelen brauchen Schutz
Die Kronjuwelen eines Unternehmens sind seine wertvollsten Vermögenswerte. Dazu gehören:
personenbezogene Daten,
Kunden- und Partnerdatenbanken,
Mitarbeiter- und Personalinformationen,
Unternehmensfinanzen,
geistiges Eigentum und
Produktionsserver.
Diese Kronjuwelen sollten mit den höchsten Sicherheitsstandards geschützt werden und in Sachen Risikomanagement höchste Priorität besitzen. Eigentlich. Denn laut der Orca-Studie speichern 36 Prozent der Unternehmen sensible Daten in einfachen Dateien, Storage Buckets, Containern und Serverless-Umgebungen. Doch damit nicht genug: 35 Prozent der Unternehmen haben mindestens einen internetfähigen Workload mit sensiblen Daten in einem Git-Repository. "Cyberkriminelle können diese Informationen leicht extrahieren und dazu verwenden, Ihre Systeme zu kompromittieren", kommentieren die Security-Experten. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.