Security-Baustelle Cloud

CloudProvider bieten Hilfe

von - 15.12.2022
Dass einige Anwenderorganisationen mit ihrem Part im Cloud-Securitymodell noch Mühe bekunden, scheinen auch die Provider erkannt zu haben und bieten eine helfende Hand mit Tools und Services, wie unsere Experten-Runde berichtet. "Clouddienstleister bieten Anwendern und Administratoren schon jetzt gute Instrumente, um Clouddienste erfolgreich absichern zu können", sagt Stephan Berger, Head of Investigations bei InfoGuard, beklagt aber, dass diese noch zu wenig bekannt seien. "Um solche Werkzeuge korrekt und gezielt einsetzen zu können, muss man sich auch mit diesen auseinandersetzen", kommentiert er.
Allerdings wäre es wünschenswert, wenn auch die Provider noch mehr Hilfestellung bieten würden. "Beispielsweise könnten die Cloudanbieter besser auf Fehlkonfigurationen aufmerksam machen und standardmäßig höhere Sicherheitslevel implementieren", schlägt Avantecs Preid vor. Dies sieht auch Berger von InfoGuard so und konkretisiert: "Wichtig wäre hierbei das Einschalten von Security Defaults wie Multi Factor Authentication, das Deaktivieren von Legacyprotokollen und gegebenenfalls das automatisierte Sperren von Accounts nach einem verdächtigen, erfolgreichen Login".
Stephan Berger, InfoGuard
Foto: InfoGuard
Cloud-Anbieter bieten schon jetzt gute Instrumente, um Cloud-Dienste erfolgreich absichern zu können
Zudem wird erwartet, dass die Anbieter, vor allem aber auch die sogenannten Hyperscaler, in naher Zukunft mehr in dieser Richtung zu offerieren haben. "Alle drei großen öffentlichen Cloud­anbieter – Amazon Web Services (AWS), Microsoft Azure und Google Cloud – haben im vergangenen Jahr Akquisitionen im Bereich Cybersicherheit getätigt, und es ist durchaus damit zu rechnen, dass weitere folgen werden", meint Preid.

Anwenderzugänge als Schwachstelle

Wie der CSA-Bericht herausgearbeitet hat, stehen derzeit Identitäts- und Zugangsprobleme zuoberst auf der Mängelliste bei der Absicherung von Cloudumgebungen. Ein wirksames Gegenmittel wäre die konsequente Einführung von Zwei- oder Multi-Faktor-Authentifizierung (2FA oder MFA). Dabei wird neben Benutzernamen und Passwort, das eine gewisse Stärke aufweisen sollte, eine Identifikation über einen weiteren Kanal benötigt. So erfordern viele MFA-Verfahren eine vom Smartphone mittels Authenticator-App generierte Zusatzzahl für den Zugriff auf das Konto. Auch das Verschicken eines Codes via SMS ist möglich, wird allerdings wegen des relativ unsicheren Übertragungswegs von vielen Experten nicht mehr empfohlen. Wohl am sichersten ist derzeit eine MFA-Implementierung mit einem hardwarebasierten Token, der in den USB-Port des PCs gesteckt wird und hier die MFA-Überprüfung übernimmt. Bekanntere Anbieter sind hier beispielsweise Yubico mit dem Yubikey, Google mit der Titan-Lösung und RSA mit SecurID.
Auf Anwenderseite wird MFA immer noch zu zögerlich umgesetzt, auch wenn die Implementierungsrate steigt. Wie eine Befragung des IT-Securityspezialisten Eset im März 2022 ergab, benützen fast die Hälfte, nämlich 48 Prozent der Schweizerinnen und Schweizer immer oder mehrheitlich eine MFA. Im gleichen Atemzug sind die Ergebnisse alarmierend, da jeder dritte Befragte nie eine MFA nutzt oder nicht einmal weiß, was das ist.
Zu ganz ähnlichen Ergebnissen kommt eine aktuelle Befragung von Cisco unter Schweizer Anwenderinnen und Anwendern. Auch hier verwendet ein Drittel keine MFA, während 67 Prozent zumindest gelegentlich die Mehrfachidentifikation nutzt. Offenbar ist die Einführung im Geschäftsumfeld die treibende Kraft, selbst wenn es auch hier noch Defizite gibt, wie InfoGuards Berger, der von der MFA als eine der besten Absicherungen spricht, bestätigt. "Leider haben noch immer viele Organisationen die MFA nicht implementiert", meint Berger. "Bei unseren Incident-Response-Fällen sehen wir nicht selten zahlreiche kompromittierte Konten, gerade im Azure-Umfeld", weiß er zu berichten.
Verwandte Themen