Jörg von der Heydt: Auch wenn die Angriffe an einer anderen Stelle ansetzen: Cloud-Workload-Security hat dieselben Aufgaben zur Abwehr von grundsätzlich identischen Angriffsmechanismen wie die On-Premises-IT-Security. Vieles ist ähnlich, manches allerdings auch anders. Als Work-loads bezeichnet man plattformunabhängige Services oder ausführbare Codes, die einzelne Aufgaben erfüllen. Cloud-Workloads laufen auf Ressourcen in der Wolke. Sie werden separat voneinander in verschiedenen Cloud-Computing-Modellen betrieben und arbeiten vollkommen unabhängig von der zugrundeliegenden Plattform oder Hardware. Cloudbasierte Container, Hadoop-Nodes und virtuelle Maschinen in Cloudumgebungen fallen ebenfalls unter diese Kategorie.

Die Sicherheit dieser Cloud Workloads ist hochrelevant, denn On-Premises- Workloads bewegen sich verstärkt auch in Public-, Private- oder Hybrid-Cloudumgebungen. Selbst die unscheinbarsten Instanzen wie Speicherplatz sind genauso schutzwürdig wie Server, individuelle Prozesse oder ein Hochleistungscomputing- Prozess. Im Prinzip nutzen Hacker dieselben Mechanismen wie beim Angriff auf einen On-Premises-Endpunkt. Vielleicht haben sie andere Motivationsschwerpunkte: Sabotage, Spionage und das Kapern von Ressourcen für Kryptomining scheinen typische Antriebe zu sein. Letztlich kann jeder Clouddienst zum Einstieg in die Unternehmens-IT genutzt werden. Vor allem ist der Schutz der erweiterten Angriffsfläche etwa durch Multiclouds eine bedeutend komplexere Aufgabe als der Endpunktschutz.

Hacker haben viele Ziele in der Cloud, manche Früchte hängen aber besonders hoch. Angriffe auf Cloudprovider und deren Strukturen kommen vor, sind jedoch selten. Zumindest die großen Anbieter verfügen über eine gute Abwehr. Aber eine Schwachstelle wie etwa "OMIGOD" machte 2021 rund 65 Prozent der Azure-Kundenbasis verwundbar. Eindringlinge greifen auch Schwachstellen beim Provider selbst an. Oft sind wie bei allen Cloud-Workloads Fehlkonfigurationen die Hauptursache. Die großen Cloud-Serviceprovider verbessern zwar zunehmend ihre Default-Sicherheitseinstellungen, aber dennoch bleiben Lücken bestehen – etwa bei ungesicherten Speicherbuckets wie in AWS S3. Oft liegt das aber auch an den Unternehmen, die einfach die Voreinstellungen nicht anpassen. Effektiver und einfacher ist es, Zugangsdaten für Cloud-Nutzerkonten zu erbeuten. Ein Angriff darauf startet klassisch über Malware- oder Phishing-Kampagnen. Hacker können auch den Weg über die lokale IT-Infrastruktur gehen. Dann installieren sie Malware, steuern diese über einen Command- and-Control-Server und gelangen an vorhandene Zugangsdaten.

Bei einer privaten oder einer hybriden Cloud ist die Lage in der Tat eine etwas andere. Das Lagern sensibler Daten in der eigenen Unternehmenscloud suggeriert zwar Sicherheit und die Compliance mit Branchenvorgaben. Eine privat eingerichtete und verwaltete Cloud ist aber in der Regel gefährdeter als öffentliche Clouds. Denn hier müssen die Administratoren für die Sicherheit ihrer Ressourcen selbst sorgen. Nicht jede IT verfügt über ausreichendes Personal und Kompetenzen wie ein auf derartige Plattformen spezialisierter Cloud- Serviceprovider. Administratoren, die Container nutzen, um Dienste in der privaten Cloud zu portieren, profitieren zwar von Flexibilität und Einfachheit. Sie nehmen aber bestehende Risiken bei der Auswahl von Libraries und dem Portieren von Containern mit. Für Hacker ergeben sich daraus zahlreiche Angriffsmöglichkeiten, wie etwa der Zugriff auf öffentliche oder eigene Registries, auf die Container-Runtime, um Malware zu installieren, sowie auf die Container Hosts oder Orchestrationstools wie Kubernetes und online zugängliche Management- Dashboards. Attacken auf virtuelle Maschinen in Linux sind zwar kein Massengeschäft, aber kompetente Hacker wissen, wie sie dabei vorgehen müssen und dass sich ein solcher Angriff lohnt.

Viele Unternehmen vergessen immer noch, dass sie auf dem Weg in die Cloud nicht alle Sicherheitsaufgaben auslagern. IT-Administratoren haben viel zu tun, ihre Vorgesetzten auf das Modell geteilter Verantwortlichkeiten hinzuweisen. Manche sind vielleicht angesichts des Ressourcenmangels gerne bereit, auf die Cloud-Scheinsicherheit zu setzen. Sie hoffen offenbar, im Ernstfall zu einem gewissen Grad auf Dritte verweisen zu können. Es kann nicht oft genug gesagt werden, dass Cloudanbieter immer nur Strukturen wie etwa Postfächer sichern und nicht die Daten. Ein Malwarescan ist nicht selbstverständlich inbegriffen.

Selbst große Cloudprovider sind nicht immer verantwortlich für die sichere Konfiguration und deren ständiges Update. In der Public Cloud kann zudem die Wahl auf den falschen oder einen ungeeigneten Partner fallen. Kleine Provider bieten keine gleichwertigen Schutzmechanismen wie große Marktführer. Die Unternehmen überprüfen oft nicht die angebotenen Sicherheitsfeatures: Bietet ein Anbieter eine Verschlüsselung an oder eine Mehrfaktor-Authentifizierung? Werden Prinzipien wie sparsame Privilegienvergabe befolgt oder ist Zero Trust vorgesehen? IT-Verantwortliche sollten nachschauen, ob solche Dienste Teil der vorhandenen Verträge sind. Nicht zuletzt sollten sie den Sicherheitsagenten eines Clouddiensts überprüfen – denn er kann der Startpunkt einer Supply- Chain-Attacke werden. Und wer sich an eine Private Cloud macht, steht von vornherein selbst in der Pflicht.

Schon das Problem Schatten-IT zeigt, wie wichtig eine umfassende Sichtbarkeit aller IT-Elemente ist. Sicherheit muss ihre Augen überall haben – ganz gleich, wie kurzlebig ein Container oder eine virtuelle Maschine in einer Private Cloud ist. Ein modernes XDR-System, das über ein herkömmliches Überwachen des Endpunktes an sich hinausgeht, hat Sensoren etwa in virtuellen Umgebungen und kann effektiv Angriffe abwehren.

Zum einen durch spezielle Security-Produkte: Wer unternehmenskritische IT in der Cloud betreibt, sollte den Einsatz eines Cloud-Security-Access-Brokers erwägen. Zum anderen durch Sichtbarkeit und Informationsaustausch. Das ist Aufgabe einer zeitgemäßen Detection-and- Response-Lösung: Wichtig ist, dass die angesprochene, erweiterte Endpoint Detection and Response für Endpunkte auch in Cloudstrukturen eine unmittelbare Sichtbarkeit der Risiken in der gesamten Umgebung bietet. Im Blickfeld müssen insbesondere Bereiche wie EMail wegen Phishing für Angriffe auf Identitäten sowie die Identitäten selbst und die Cloud sein. Vielen Dank für das Gespräch.