Absichtlich unsicher: Bewusste Sicherheitsverstöße in der Cloud

Es ist ein wichtiger Unterschied, ob ein Sicherheitsverstoß bewusst oder aus Versehen geschieht. Wie lässt sich das nachweisen? In folgendem Fall funktioniert dies sehr einfach: Damit ein unautorisierter Nutzer den nötigen Zugang erhält, um S3-Buckets einsehen oder auf Datenbanken zugreifen zu können, muss jemand absichtlich die dafür standardmäßig voreingestellten Sicherheitsmechanismen entfernen oder umstellen.

Dabei kann es sich nicht um eine falsche Konfiguration aufgrund eines Fehlers handeln, der jedem einmal passieren und entschuldigt werden kann. In diesem Fall ist es also keine Unachtsamkeit. Diese Ressourcen wurden bewusst geöffnet, sodass praktisch jeder Nutzer Zugang dazu erhält.

Aktuelle Studienergebnisse

Forscher von F5 Labs analysierten die seit 2017 bekannt gewordenen Fälle, bei denen in Unternehmen Cloud-Ressourcen aufgrund bewusster Sicherheitsmängel offengelegt wurden. Die Wachstumsrate stieg von 2017 bis 2018 um alarmierende 200 Prozent.

Bei bislang durchschnittlich 2,5 Verstößen pro Monat im Jahr 2019 ist davon auszugehen, dass die Gesamtzahl bis zum Jahresende auf 30 ansteigen wird. Die Wachstumsrate von 2017 auf 2018 weist jedoch darauf hin, dass die Schätzung für 2019 vermutlich viel zu niedrig ausfällt. Bei einer Steigerungsrate von 200 Prozent ist mit 90 Sicherheitsverstößen im Bereich Cloud im Jahr 2019 zu rechnen. Und was noch schlimmer ist: Die von den Forschern zusammengestellten Fälle stellen mit ziemlicher Sicherheit nur die Spitze des Eisbergs dar.

Konkrete Beispiele

Das ist nicht akzeptabel. Denn es werden nicht nur persönliche Daten offengelegt. Einige dieser Sicherheitsverstöße können darüber hinaus sehr reale und extrem negative Konsequenzen für die Person haben, der die Daten letztlich gehören. Dies gilt sowohl für den Kollegen im Büro nebenan als auch der Frau, die gerade aus dem Bus steigt, oder den Teenager, der sich auf die Schule vorbereitet. Hier nur einige Beispiele für solche Sicherheitsverstöße:

• Im Jahr 2017 legte ein Anbieter für Bonitätsverbesserungen die Daten seiner Kunden offen. Es dauerte nicht lange, bis gierige Betrüger darauf aufmerksam wurden und jene ausbeuteten, deren einziges Vergehen darin bestand, ein Unternehmen mit der „Wiederinstandsetzung“ ihres Lebens zu beauftragen.
• 2018 verwendete ein Home-Security-System die gleichen fest kodierten Schlüssel für Geräte wie für seinen AWS-Speicherserver, über den Aufzeichnungen mit detaillierten Grundrissen versendet wurden. Auch hier konnten Kriminelle diese intimen Details oder Belegungsmuster zu den Häusern der Kunden finden und für ihre Zwecke ausnutzen.
• Vor Kurzem gab eine Datenanalysefirma, die für Finanzunternehmen tätig ist, Aufzeichnungen zu US-Darlehen in Höhe von 24 Millionen Dollar über eine offene Datenbank ohne Passwortschutz preis. Angreifer, Betrüger und Identitätsdiebe registrierten das zweifellos mit großer Freude.

Alle Branchen betroffen

Die wachsende Liste erstreckt sich über sämtliche Branchen. Von Behörden bis zu Dienstleistern, von der Fertigung bis zur Politik, vom Finanzwesen bis hin zum Unterhaltungssektor – aus jeder Branche gibt es Teilnehmer im Wettbewerb „Wer kann mit Hilfe von schlechten Sicherheitsmaßnahmen die meisten Daten verlieren?“. Ein Wettbewerb, den niemand gewinnen will – und bei dem vor allem niemand mitmachen sollte.

Unternehmen und Behörden sind inzwischen fest verwurzelt in der digitalen Wirtschaft. Die Bits und Bytes, durch die sie angetrieben wird, repräsentieren jedoch nicht einfach nur Dollar, Euro oder Pfund. Sie stehen für Menschen. Diese Menschen sind von den Sicherheitsverstößen dann auf verschiedene Arten betroffen. Doch niemand erfährt davon, da die Vorfälle nicht gemeldet werden.

Wie und warum geschieht dies?

Warum sollte aber jemand mit Absicht deren Sicherheit gefährden, indem er S3-Buckets und Cloud-Datenbanken so konfiguriert, dass sie öffentlich zugänglich sind? Gemäß der Erfahrung von F5 lassen sich die Verursacher selten auf der operativen Seite finden: Datenbankadministratoren, Netzwerk-, System- und Sicherheitstechniker wissen es besser und tun so etwas in der Regel nicht.

• Datenbankadministratoren sind meist für die Verwaltung des Datenbankzugriffs und der Kontoberechtigungen zuständig. Sie wollen verhindern, dass jemand ohne die erforderliche Authentifizierung auf eine Datenbank zugreifen kann. Daher halten sie sich an die Unternehmensrichtlinien zur Passworterstellung mit standardmäßigen Komplexitätsvorgaben und lassen keine schwachen Passwörter zu.
• Netzwerktechniker sind typischerweise für die Verwaltung des Systemzugriffs über das Netzwerk verantwortlich und legen fest, welche Systeme öffentlich zugänglich sind. Dabei lassen sie es nicht zu, dass eine Datenbank prinzipiell öffentlich zugänglich ist.
• Systemtechniker sind in der Regel für die Verwaltung von Anwendungen gemäß festgelegter Sicherheitsstandards zuständig. Sie verwalten einen der öffentlich zugänglichen Datenbank vorgelagerten Webserver und sorgen dafür, dass dieser ausreichend durch eine Web Application Firewall geschützt wird
• Sicherheitstechniker führen im Normalfall unabhängige Bewertungen aller Systeme und des Netzwerks durch, um die Einhaltung der Security-Richtlinien sicherzustellen.

Es kann aber dazu kommen, dass bei der Produktentwicklung beschlossen wird, bereits bestehende Sicherheitsfunktionen nicht einzubinden. In vielen Fällen geschieht dies, um den laufenden oder zu erwartenden Umsatz nicht zu beeinträchtigen, etwa aufgrund von Verzögerungen im Zeitplan oder dem möglichen Auftreten neuer Bugs.

Durch eine Migration in die Cloud können Entwickler die herkömmlichen IT-Rollen im Unternehmen wie Sicherheitsexperten und Datenbankadministratoren umgehen. Doch diese werden angesichts der wachsenden Zahl an Cloud-Sicherheitsverstößen ganz offenkundig benötigt. Denn sonst installieren Entwickler möglicherweise Systeme mit schlecht konfigurierten Sicherheitsfunktionen. Dies geschieht bewusst – wenn auch nicht unbedingt mit der Absicht, dem Unternehmen oder Einzelpersonen zu schaden. Stattdessen erkennen und verstehen sie vielleicht nicht die Konsequenzen oder nehmen an, dass das Auftreten einer Sicherheitslücke unwahrscheinlich ist.

Lücken in der Cloud-Sicherheit vermeiden

Doch wie lässt sich dieses Problem lösen? Niemand will in die Zeit zurückkehren, als lange Verzögerungen bei der Implementierung von Systemen an der Tagesordnung waren. Häufig und lange genug haben sich Entwickler darüber beklagt.

Unternehmen sollten jedoch über den Ansatz DevSecOps für den Einsatz bewährter Sicherheitsmaßnahmen im Entwicklungsbereich sorgen. Dabei müssen alle Teams einbezogen werden. Denn bei der standardmäßigen Nutzung von Clouds stehen oft nur begrenze Sicherheitsmaßnahmen zur Verfügung: Es gibt keine vertrauenswürdigen Netzwerk- oder Systemtechniker, von denen man eine Liste an Subnetzen und ACLs anfordern kann, und keine Active-Directory-Gruppen und Genehmigungen. Bei den meisten Public Clouds müssen Unternehmen spezielle Sicherheitsüberwachungstools von Drittanbietern kaufen, um die Berichte zu erhalten, die bislang interne Kollegen lieferten.

Fazit

Natürlich ist die Gewährleistung von hoher Sicherheit schwierig und die entsprechenden Maßnahmen können Projekte verzögern. Es ist jedoch einfach nicht akzeptabel und ziemlich sicher sogar unethisch, die Sicherheit bewusst zu ignorieren oder abzuschwächen, nur weil dies Abläufe vereinfacht und beschleunigt. Denn das kann negative Konsequenzen für echte Personen haben – und nicht nur finanzieller Art.

So sollten diese Verstöße nicht mehr als einfache Fehler behandelt werden, sondern als das, was sie tatsächlich sind: absichtliche und vorsätzliche Sicherheitsmängel. Und was noch wichtiger ist: Sicherheitsexperten müssen mit mehr Nachdruck auf dieses regelwidrige Verhalten aufmerksam machen. Vielleicht mit einer Erinnerung daran, dass schlechte Sicherheitspraktiken nicht nur Unternehmensprozesse betreffen, sondern auch Menschen.