Gefahren von Cloud-APIs

Cloud-Dienste sind via bereitgestellte APIs des jeweiligen Anbieters zugänglich. Authentifiziert werden API-Aufrufe durch die Übergabe sogenannter API-Schlüssel.

Der API-Zugriff auf eine Cloud ist dem physischen Zugang zu den betreffenden Systemen in einem Datencenter gleichzusetzen. Konventionelle Sicherheitsmaßnahmen wie Fire­walls oder Angriffserkennungssysteme (Intrusion Detection Systems, IDS) erweisen sich hier deshalb als unzureichend.

In einem konventionellen Rechenzentrum kann das IT-Fachpersonal ein sicherheitskritisches System isolieren, um jeglichen Fernzugriff von außen auszuschließen. Jeder Versuch, sich mit einem solchen System zu verbinden, lässt sich protokollieren und zurückverfolgen.

Das ist in einer Cloud-Umgebung nicht der Fall. Ein Eindringling kann mit Hilfe von API-Zugriffen die Volumes eines vermeintlich „isolierten“ Systems in einem sogenannten Snapshot erfassen, aus den Snapshots neue Volumes erstellen, an eine andere Instanz anbinden und mounten. Daraufhin könnte der Angreifer alle relevanten Daten des kompromittierten Systems extrahieren – Datenbanken ohne Passwörter auslesen und bei Bedarf sogar verschlüsselte Volumes in aller Seelenruhe dekodieren, ohne in den System-Logs des Opfers irgendwelche Spuren zu hinterlassen. Sollten die IT-Fachkräfte des betroffenen Unternehmens ihre Cloud wie ein unternehmenseigenes Datencenter verwalten, würden sie nichts davon merken, dass sie im großen Stil gehackt wurden.

Doch damit nicht genug: Auch diejenigen Unternehmen, die keine sensiblen Daten in der Cloud aufbewahren, sondern beispielsweise nur ihre öffentliche Webpräsenz in der Cloud betreiben, sind potenziell gefährdet.

Ein Eindringling mit den passenden API-Schlüsseln könnte einem Unternehmen auch ohne den Zugang zu sensiblen Daten auf mehreren Ebenen ernsthaften Schaden zufügen – mit gravierenden Folgen:

Finanzielle Belastung durch den Missbrauch von IT-Ressourcen: Hacker könnten rechenintensive Anwendungen, beispielsweise Passwort-Cracking oder Bitcoin-Mining, in der Cloud-Umgebung des betroffenen Unternehmens auf dessen Kosten ausführen.

Haftung für den Vertrieb von Malware und Raubkopien: Durch subtile Modifikationen der unternehmenseigenen Anwendungen könnten Eindringlinge Raubkopien von urheberrechtlich geschütztem Material, Malware und andere gesetzeswidrige Inhalte bereitstellen und das betroffene Unternehmen dafür haftbar machen.

Vertragskündigung durch den Cloud-Anbieter mit sofortiger Kontoschließung und Datenlöschung: Bei einem Verdacht auf die Mitwirkung bei Cyberattacken – auch infolge von Missbrauch der Zugriffsberechtigung auf API-Endpoints durch Hacker – kann der Cloud-Anbieter dem betroffenen Unternehmen die Nutzung seiner Dienste mit sofortiger Wirkung verweigern.

Backdoors, Sabotage und Spionage: Hacker können in den betroffenen Systemen Backdoors einrichten und die korrekte Ausführung von Anwendungs-Code sabotieren, zum Beispiel mit der Absicht, administrative Eingriffe zu erzwingen, um möglicherweise Zugangsdaten zu On-Premise-Systemen auszuspähen.

Datenmanipulation: Subtile Änderungen an Daten und Anwendungs-Code, etwa bei Preisberechnungen, bleiben meist unbemerkt, sodass die daraus resultierenden Schäden mit der Zeit beachtliche Summen erreichen können.

Image-Verlust: Manipulierte Webanwendungen könnten bei Geschäftspartnern und Endkunden, die auf diese Dienste zugreifen, zu Vertrauens- und Image-Verlust führen.

Totalschaden der Cloud-Umgebung: Angreifer können via API-Aufrufe im Extremfall die gesamte Cloud-Infrastruktur samt allen Backups und Logs unwiederbringlich vernichten.

Kein Unternehmen kann es sich leisten, die spezifischen Risiken der Cloud auf die leichte Schulter zu nehmen. Dennoch tun das offenbar viele.

Die eingangs erwähnte CSA-Studie gibt hierzu Einblicke: Als größtes Hindernis, das der effektiven Entdeckung und Vorbeugung von Datenverlusten in der Cloud entgegensteht, nennen die Befragten den Mangel an geschulten Fachkräften (31%), das Fehlen interner Richtlinien oder einer internen Strategie für die Operationalisierung von Bedrohungsindika­toren (26,5%), ein unzureichendes Budget (22,9%) sowie den Mangel an umsetzbaren Analytics-Erkenntnissen im Hinblick auf eine mögliche Bedrohung (19,9%).

Die Cloud-Sicherheits-Problematik ist keine einfache Angelegenheit. Bei der Risikobeurteilung wird schnell klar, dass sich die Cloud-Gefahren auf der API-Ebene vorwiegend auf den Verlust von API-Schlüsseln zurückführen lassen.