Cloudimplementierungen sind je nach Unternehmensgröße unterschiedlich umfangreich und jede Nutzungsart ist mit eigenen Sicherheitsvorkehrungen verbunden. Das schiere Vorhandensein von unterschiedlichen Sicherheitsvorkehrungen macht die Einhaltung von Security- und Compliance-Fragen komplex und schwer zu überblicken. Jeder Service ist anders aufgebaut, was zu technischen Unterschieden innerhalb der Angebote führt. Daher ist bei der Wahl eines geeigneten Anbieters eine komplexe Auseinandersetzung mit dem Angebot unerlässlich.
Gefahren der Cybersicherheit am Beispiel Amazon S3
Der Amazon Simple Storage Service (kurz Amazon S3) ist der Branchenführer bei Objektspeicher-Dienstleistungen. Seit dem Start im Jahr 2006 können Kunden aller Größen und Branchen mit diesem Service eine beliebige Menge an Daten speichern. Seither ist die Verwaltungsfunktion einer der Grundpfeiler von AWS.
Doch das Angebot hat so einige Tücken. Immer wieder treten durch fehlerhafte Einrichtung und falsche Konfigurationen auf Nutzerseite gravierende Sicherheitsprobleme auf. In den Jahren seit dem offiziellen Markteintritt sind zahllose Fälle dokumentiert worden, in denen Hacker aufgrund dieser unbeabsichtigten Fehlkonfigurationen gezielt Amazon S3 für Angriffe im Blick hatten. Eine Studie des SANS-Instituts zu Cloudsicherheit aus dem Jahr 2019 hat dies zusätzlich bestätigt. Doch wo genau liegen die Gefahren?
- Datenverlust: Offen beschreibbare Buckets von Unternehmen werden aufgrund der fehlenden Zugangsbeschränkungen immer häufiger Opfer von Hackerangriffen. Ziel der Angriffe mithilfe von Schadsoftware oder Änderungen im Quellcode der Website sind oftmals sensible Kundendaten. Die Attacken werden möglich, wenn Angreifer den Namen des Buckets kennen und dieser nicht schreibgeschützt ist.
- Crypto-Mining: Gerade Webseiten großer Unternehmen geraten immer häufiger ins Visier von Hackern und werden dann für das illegale Mining von Kryptowährungen missbraucht. 2018 kam der Fall einer großen amerikanischen Tageszeitung ans Licht. Durch einen Konfigurationsfehler waren Hacker in der Lage ein kleines "Add-on" zu platzieren, das mit dem Aufruf der Seite auf den Rechnern des Online-Lesers Crypto-Mining betrieb. Möglich wurde dies, da die Verantwortlichen sämtliche Daten und benötigte Templates für die Website in nur einem Access Point (dem sogenannten Bucket) hinterlegt hatten. Dieser war fehlerhaft konfiguriert, wodurch sich die Hacker Zutritt verschaffen und die Zugriffsbeschränkungen anpassen konnten. Das Mining-Programm ließ sich so ganz leicht in den bestehenden JavaScript-Code implementieren und bei jedem Seitenaufruf aktivieren.