365 Tage im Jahr: Solutions, Knowledge und Networking.
Finden und bieten Sie innovative IT-Security-Lösungen, nehmen Sie an unserem vielfältigen Action-Programm teil und knüpfen & pflegen Sie Kontakte.
Werden Sie Teil der it-sa 365 Community!
Damit Sie einen Termin vereinbaren können, wird der Kalender auf dem persönlichen Profil Ihres Ansprechpartners in einem neuen Tab geöffnet.
Damit Sie einen Vor-Ort-Termin vereinbaren können, wird die Terminanfrage in einem neuen Tab geöffnet.
Viele Unternehmen arbeiten inzwischen in der Cloud. Eine enge Verzahnung mit den klassischen Büroanwendungen führt zu neuen Angriffsformen, die aktuell genutzt werden. Mögliche Sicherheitsvorkehrung existieren, werden aber oft nicht angewendet. Im Infocube zum Thema Cloud Security sprach Profi-Hacker Philipp Kalweit über die Risiken und darüber, mit welchen technischen und organisatorischen Maßnahmen sich Unternehmen schützen können.
Derzeit nehmen Angreifer gezielt Microsofts Azure-Cloud ins Visier. Die Beliebtheit dieser Cloud führt zu neuen Angriffsformen. Deshalb sind ergänzende Sicherheitsmaßnahmen notwendig. Im Video-Interview erklärt Experte Philipp Kalweit, welche Gefahren bei der Cloud-Nutzung entstehen und wie ihnen begegnet werden kann.
Cloud-Angriffe nehmen zu. Ein aktuelles Beispiel zeigt, wie sich Angreifer Zugang zu Cloud-Resourcen sichern. Die Kriminellen konzentrieren sich bei der laufenden Angriffswelle auf die Azure-Cloud von Microsoft, die bei vielen großen Unternehmen und Behörden sehr beliebt ist und eng mit den Desktop-Software verzahnt ist.
Viele Firmen speichern oder verarbeiten relevante Daten in der Cloud – häufig haben dementsprechend viele Mitarbeiter Zugriffsberechtigungen. Das blieb auch Cyber-Kriminellen nicht verborgen. Wie von Sicherheitsforschern des Security-Spezialisten Proofpoint aufgedeckt wurde, stehen Führungskräfte und Manager im Fokus der Attacken in der Hoffnung, dass diese Zugang zu wichtigen Cloud-Ressourcen besitzen. Die Angreifer drangen daher zunächst in Microsoft 365-Anwendungen ein und versuchten von dort aus weitere Anwendungen zu kompromittieren.
Sobald sie sich Zugriff zu einem Konto in der Azure-Umgebung verschafft haben, versuchen sie, die Multi-Faktor-Authentifizierung (MFA) zu manipulieren, um den dauerhaften Zugang zum kompromittierten Konto zu sichern. Dazu registrieren Angreifer bevorzugt ihre eigenen MFA-Methoden. „Wir haben beobachtet, dass Angreifer verschiedene Authentifizierungsmethoden wählen, einschließlich der Registrierung alternativer Telefonnummern für die Authentifizierung per SMS oder Telefonanruf. In den meisten Fällen von MFA-Manipulationen zogen es die Angreifer jedoch vor, eine Authentifizierungs-App mit Benachrichtigung und Code hinzuzufügen", so die Forscher von Proofpoint.
Danach beginnen Datenexfiltration, internes und externes Phishing und Manipulation von Mailbox-Regeln, so die Forscher. Sie benutzen firmeninterne Email-Systeme, um andere Benutzerkonten mit personalisierten Phishing-Mails anzugreifen. Da diese Attacke innerhalb eines Unternehmens startet, ist er besonders perfide, denn Mitarbeiter gehen davon aus, von Kollegen und Kolleginnen kontaktiert zu werden. Das Ziel ist, letztlich finanzielle Mittel zu erbeuten. Daher werden bevorzugt interne E-Mail-Nachrichten an die Personal- und Finanzabteilungen der betroffenen Unternehmen versandt.
Je mehr Unternehmen ihre IT in die Cloud verlagern, desto lukrativer werden Cloud-Instanzen für Angreifer. Nicht selten haben Unternehmen kaum noch IT vor Ort. Stattdessen werden sämtliche Möglichkeiten genutzt, die beispielsweise Microsoft mit Office365 bietet. Hinzu kommen zahlreiche Azure-Instanzen, in denen unternehmenskritische Systeme laufen. Werden dort etwa Datenbanksysteme betrieben.Enthalten diese sensible Daten, die die Kronjuwelen des jeweiligen Unternehmens darstellen, besteht erhöhte Gefahr und die Sicherheitsvorkehrungen sollten entsprechend erhöht werden.
Viele Unternehmen verfolgten inzwischen sogar eine Cloud-First-Strategie, berichtet Philipp Kalweit. Dadurch käme es zu großen Ansammlungen an Daten, „alles auf einem Haufen“, so Kalweit weiter. „Das macht es interessant für Angreifer, weil es viel zu finden gibt“, erzählt er als Interviewpartner im it-sa Infocube-Format.
Philipp Kalweit ist IT-Sicherheitsspezialist und hat bereits mit 17 eine eigene Firma gegründet. Damit hat der als „Deutschlands jüngster Hacker“ bekannte Spezialist sein „Hobby zum Beruf gemacht“.
Die Angriffswahrscheinlichkeit von Cloud-Instanzen erhöhe sich zusätzlich, weil „dort viel neue Technologien im Einsatz sind“, sagt Kalweit. Doch dafür fehle es den Unternehmen häufig noch an Kompetenzen und Erfahrungen. Das führe des öfteren zu Fehlkonfigurationen und falschen Berechtigungseinstellungen. In der Folge hätten „viele Rollen zu viele Berechtigungen“ und damit mehr Personen Zugriff als notwendig.
Es existieren verschiedene Wege dieser Gefahrenlage zu begegnen, wie er erklärt. Dazu zählt Micro-Segmentation, vor allem um besonders schützenswerte Prozesse zu separieren. Aber auch der Einsatz einer Web Application Firewalls (WAF) sollte in Erwägung gezogen werden. Die Konfiguration der Cloud-Systeme erweist sich häufig komplexer als erwartet. Zuständige IT-Administratoren sollten deshalb geschult werden. Zugriffsrechte und -Policies müssen so eingestellt werden, dass nur wirklich notwendige Zugriffe möglich sind. Da jedoch immer wieder Änderungen an der Konfiguration auftreten, seien regelmäßige Audits sehr hilfreich, empfiehlt Kalweit.
Autor: Uwe Sievers
