Im Blindflug durch die Wolken
Vorwort zur Ausgabe
Veröffentlicht in Ausgabe 10/2023 - EDITORIAL
Erst waren es Heilsversprechen, die Unternehmen in die Cloud lockten: Sicherer, günstiger, flexibler sollte die IT aus der Wolke sein. Je nach lokaler Infrastruktur keine leeren Marketinghülsen. Nach einer anfänglichen Skepsis vertrauen inzwischen mehr als 80 Prozent der hiesigen Firmen auf Clouddienste in diversen Varianten. Selbst das Damoklesschwert der Datentransfers in die USA scheint vorerst beseitigt. Doch zwingen die Techanbieter ihre Kunden auch mehr und mehr zu ihrem Glück. Deren Produkte funktionieren ohne Onlineanbindung nur noch eingeschränkt oder überhaupt nicht mehr. Und das bei den dunklen Wolken, die sich am Horizont abzeichnen.
So setzte Microsoft kürzlich das Vertrauen seiner Kunden massiv aufs Spiel. Chinesischen Hackern der Gruppe "Storm-0558" gelang es, den Redmondern einen Masterkey für deren hauseigene Cloud abzuluchsen, der – wie später herauskam – bereits im April 2021 an die Öffentlichkeit gelangte. Rund 25 Organisationen wurden daraufhin im Sommer dieses Jahres erfolgreich attackiert, unter anderem Regierungsbehörden. Ein Jackpot. Der Signaturschlüssel ermöglichte es den Angreifern, eigene gültige Anmeldetoken zu generieren – und zwar für persönliche Microsoft-Nutzerkonten wie auch für Azure-AD-Zugänge. Drittanbieter-Accounts, in die sich User mittels ihres Microsoft-Kontos einloggen, waren ebenfalls betroffen. Ein Securitydesaster und Supply-Chain-Angriff erster Güte. Umso dürftiger fiel die Kommunikation des Konzerns aus: Salamitaktik lautete das Gebot der Stunde.
Auch an anderer Stelle halten sich Cloudprovider zunehmend bedeckt und schließen Sicherheitslücken oft still und heimlich, anstatt ihre Nutzer darüber zu informieren. Auf der diesjährigen Black Hat USA kritisierten Securityforscher von Trend Research dieses sogenannte Silent Patching. Cloudanbieter verzichten dabei auf das Zuweisen einer CVE-Nummer und geben stattdessen Patches in nichtöffentlichen Prozessen heraus. Das Fehlen von Transparenz wie auch Versionsnummern für Clouddienste behindert jedoch die Risikobewertung und entzieht der Securitygemeinde wichtige Hinweise zur Verbesserung der Sicherheit im gesamten Ökosystem.
Erst waren es Heilsversprechen, die Unternehmen in die Cloud lockten: Sicherer, günstiger, flexibler sollte die IT aus der Wolke sein. Je nach lokaler Infrastruktur keine leeren Marketinghülsen. Nach einer anfänglichen Skepsis vertrauen inzwischen mehr als 80 Prozent der hiesigen Firmen auf Clouddienste in diversen Varianten. Selbst das Damoklesschwert der Datentransfers in die USA scheint vorerst beseitigt. Doch zwingen die Techanbieter ihre Kunden auch mehr und mehr zu ihrem Glück. Deren Produkte funktionieren ohne Onlineanbindung nur noch eingeschränkt oder überhaupt nicht mehr. Und das bei den dunklen Wolken, die sich am Horizont abzeichnen.
So setzte Microsoft kürzlich das Vertrauen seiner Kunden massiv aufs Spiel. Chinesischen Hackern der Gruppe "Storm-0558" gelang es, den Redmondern einen Masterkey für deren hauseigene Cloud abzuluchsen, der – wie später herauskam – bereits im April 2021 an die Öffentlichkeit gelangte. Rund 25 Organisationen wurden daraufhin im Sommer dieses Jahres erfolgreich attackiert, unter anderem Regierungsbehörden. Ein Jackpot. Der Signaturschlüssel ermöglichte es den Angreifern, eigene gültige Anmeldetoken zu generieren – und zwar für persönliche Microsoft-Nutzerkonten wie auch für Azure-AD-Zugänge. Drittanbieter-Accounts, in die sich User mittels ihres Microsoft-Kontos einloggen, waren ebenfalls betroffen. Ein Securitydesaster und Supply-Chain-Angriff erster Güte. Umso dürftiger fiel die Kommunikation des Konzerns aus: Salamitaktik lautete das Gebot der Stunde.
Auch an anderer Stelle halten sich Cloudprovider zunehmend bedeckt und schließen Sicherheitslücken oft still und heimlich, anstatt ihre Nutzer darüber zu informieren. Auf der diesjährigen Black Hat USA kritisierten Securityforscher von Trend Research dieses sogenannte Silent Patching. Cloudanbieter verzichten dabei auf das Zuweisen einer CVE-Nummer und geben stattdessen Patches in nichtöffentlichen Prozessen heraus. Das Fehlen von Transparenz wie auch Versionsnummern für Clouddienste behindert jedoch die Risikobewertung und entzieht der Securitygemeinde wichtige Hinweise zur Verbesserung der Sicherheit im gesamten Ökosystem.
Techanbieter wären gut beraten, das Vertrauen ihrer mehr oder minder freiwilligen Cloudkunden nicht leichtfertig zu verstolpern, das sie sich über die Jahre mühsam erarbeiten mussten – vor allen Dingen, wenn sie selbst immer stärker ins Visier hochprofessioneller Angreifer geraten. Das gilt übrigens auch für die regelmäßig vermasselten Patches lokaler Software, die Admins Monat für Monat schlaflose Nächte bereiten.
Daniel Richey
Stellv. Chefredakteur, Chef vom Dienst