Gefährliche Dynamik macht Unternehmen angreifbar

Die Cloud bietet Unternehmen nie da gewesene Möglichkeiten – und birgt gleichzeitig eine oft unterschätzte Gefahr: Toxische Cloud-Trilogien aus kritischen Schwachstellen, zu weit gefassten Berechtigungen und öffentlicher Exposition gefährden die Sicherheit moderner IT-Infrastrukturen und erfordern neue Ansätze, um wirksam vorbeugen zu können.

Cloud Computing ist aus der modernen IT-Landschaft nicht mehr wegzudenken. Unternehmen profitieren von beispielloser Flexibilität, Skalierbarkeit und Effizienz. Doch mit diesen Vorteilen geht eine komplexe Herausforderung einher: die Sicherheit in einer dynamischen und oft dezentralen Umgebung zu gewährleisten. Dieser Balanceakt wird zunehmend schwieriger, wie alarmierende Zahlen aus dem Tenable Cloud Risk Report 2024 zeigen: Fast vier von zehn Unternehmen (38 Prozent) sind einem erhöhten Risiko durch eine gefährliche Kombination von Sicherheitslücken in ihren Cloud-Workloads ausgesetzt. Diese sogenannte toxische Cloud-Trilogie setzt sich aus folgenden drei Komponenten zusammen.

Erstens kritische Schwachstellen, die Angreifern den Einstieg erleichtern. Bekannte, als Common Vulnerabilities and Exposures (CVEs) veröffentlichte Schwachstellen scheinen auf den ersten Blick einfach zu beheben. Doch die Realität sieht anders aus: Viele davon bleiben über Wochen oder sogar Monate ungepatcht. Die Gründe dafür sind vielfältig. Zum einen erfordert die Behebung oft die Zusammenarbeit mehrerer Teams, was zu Verzögerungen führt. Zum anderen wird häufig versucht, Zyklen zu reduzieren und die Behebung so lange hinauszuzögern, bis alle relevanten Patches verfügbar sind. Dieser auch als "Batch the Patch" bekannte Ansatz mag auf den ersten Blick effizient wirken. Er geht jedoch zulasten der Sicherheit, da er das Zeitfenster vergrößert, in dem Schwachstellen ausgenutzt werden können.

Zweitens: zu weit gefasste Berechtigungen, die laterale Bewegungen innerhalb der infiltrierten Netzwerke ermöglichen. Dies betrifft nicht nur menschliche, sondern auch maschinelle Identitäten, die oft mehr Rechte erhalten, als sie für ihre Aufgaben benötigen. Der Leistungsumfang von Identity-and-Access-Management-Tools (IAM) reicht in der Regel nicht aus, um Risiken in einem globaleren (Multi-Cloud-)Kontext zu bewerten.

Drittens: Öffentliche Exposition, die Systeme und Daten anfällig für externe Angriffe macht. In der Cloud sind viele Ressourcen bewusst öffentlich zugänglich, um sie Kunden oder externen Partnern zur Verfügung zu stellen. Problematisch wird es jedoch, wenn insbesondere sensible Daten aufgrund von Fehlkonfigurationen unbeabsichtigt öffentlich gemacht werden oder diese Ressourcen nicht ausreichend gesichert sind. Oft fehlt es an wirksamen Kontrollmechanismen, um sicherzustellen, dass nur autorisierte Nutzer Zugriff erhalten – und Datenlecks sind vorprogrammiert.

Toxische Cloud-Trilogien stellen also nicht nur ein technisches Problem dar, sondern auch eine strategische Herausforderung, die Unternehmen dazu zwingt, ihre Sicherheitspraktiken zu überdenken und proaktiv zu handeln.

Die Gefahrenpotenziale sind leider vielschichtig

Jede der drei Komponenten für sich genommen stellt bereits ein ernstzunehmendes Risiko dar. In Kombination verstärken sie sich jedoch gegenseitig und schaffen eine Angriffsfläche, die weit über die Summe der einzelnen Teile hinausgeht. Kritische Schwachstellen können als Einfallstor für Angreifer dienen. Wenn diese Schwachstellen in einer öffentlich zugänglichen Ressource auftreten und die entsprechenden Berechtigungen nicht ausreichend kontrolliert sind, wird ein Angreifer nicht nur Zugang erlangen, sondern sich innerhalb der Umgebung lateral bewegen und sensible Daten kompromittieren können. Toxische Cloud-Trilogien hebeln damit also selbst die besten, auf Defense in Depth und Redundanz basierten Cloud-Sicherheitsstrategien aus.

Doch wie kommt es überhaupt zu einer toxischen Cloud-Trilogie? Die Antwort liegt, wie bereits angedeutet, nicht nur in der Technologie, sondern auch in organisatorischen Strukturen und Prozessen. Unternehmen nutzen eine Vielzahl von Sicherheits-Tools, die jeweils auf spezifische Aspekte wie Schwachstellen-Management, Identitäts- und Zugriffs-Management oder Netzwerküberwachung spezialisiert sind. Diese isolierten Ansätze liefern jedoch kein aussagekräftiges Gesamtbild. Fehlalarme und ein Mangel an Sichtbarkeit und Kontext führen dazu, dass kritische Schwachstellen übersehen werden. Und selbst wenn sie entdeckt werden, bleibt die Priorisierung schwierig, solange unklar ist, ob sie tatsächlich ausnutzbar sind.

Ein weiteres Problem ist das Thema "Verantwortlichkeiten": In modernen Unternehmen ist das Cloud-Risk-Management oft ein Gemeinschaftsprojekt von Entwicklungs-Teams, IT-Abteilungen und Sicherheitsexperten. Während Entwicklungs-Teams auf schnelle Time-to-Market-Zyklen abzielen, haben IT-Teams vor allem die Stabilität im Blick, und Sicherheitsexperten priorisieren den Schutz vor Bedrohungen. Diese teils konkurrierenden Zielsetzungen können dazu führen, dass Sicherheitsmaßnahmen aufgeweicht oder verzögert werden. Zu guter Letzt spielt die unterschiedliche Risikobereitschaft einzelner Teams eine entscheidende Rolle. Selbst wenn ein Unternehmen eine klar definierte Sicherheitsstrategie hat, können individuelle Kompromisse in der praktischen Umsetzung dazu führen, dass eine toxische Cloud-Trilogie unbemerkt bleibt oder nicht ausreichend adressiert wird.

Unternehmen können Risiken gezielt minimieren

Die gute Nachricht: Unternehmen können toxischen Cloud-Trilogien wirksam vorbeugen, wenn sie proaktiv gezielte Maßnahmen ergreifen. Zunächst muss sich konzeptionell etwas Grundlegendes ändern: Unternehmen müssen das Thema "Cloud-Sicherheit" ganzheitlich denken. Statt einzelne Tools für spezifische Aufgaben zu nutzen, sind Unternehmen gut beraten, auf plattformbasierte Ansätze umzusatteln, die alle relevanten Sicherheitsdaten zusammenführen und einen umfassenden Überblick bieten. Nur so können Schwachstellen, Berechtigungen und Expositionen im Kontext bewertet und priorisiert werden.

Ein weiterer wichtiger Punkt ist die Behebung kritischer Schwachstellen. Unternehmen sollten das Schwachstellen-Management zu einem integralen Bestandteil ihrer Sicherheitskultur machen, dafür sorgen, dass alle beteiligten Teams eng zusammenarbeiten und Prozesse etablieren, die es ermöglichen, kritische Schwachstellen zeitnah zu adressieren. Auch das Berechtigungs-Management sollte stärker im Fokus stehen. Dynamische Analysen helfen, zu weit gefasste Berechtigungen zu erkennen und bedarfsorientiert zu beschränken. Just-in-Time-Zugriffskontrollen für Entwickler sind ein gangbarer Weg, das Least-Privilege-Prinzip benutzerfreundlich umzusetzen. Zu guter Letzt ist es essenziell, öffentliche Ressourcen regelmäßig zu prüfen und deren Konfiguration zu überwachen. Tools, die sensible Daten identifizieren und klassifizieren sowie Fehlkonfigurationen erkennen, können dabei helfen, den Überblick zu behalten und Risiken frühzeitig zu adressieren.

Toxische Cloud-Trilogien sind nur ein weiterer Beweis für die Komplexität der Sicherheitsherausforderungen in modernen Cloud-Umgebungen. Unternehmen, die Schwachstellen, Berechtigungen und Konfigurationen nicht im Kontext betrachten, setzen sich unnötigen Risiken aus. Angreifer sind stets auf der Suche nach der nächsten Schwachstelle. Umso wichtiger ist es, dass Unternehmen mit Hilfe von Kontextinformationen und Priorisierung die Zügel in die Hand nehmen. Transparenz, proaktive Maßnahmen und eine enge Zusammenarbeit zwischen Teams sind der Schlüssel, wenn es darum geht, das Risiko einer toxischen Cloud-Trilogie zu minimieren und die Vorteile der Cloud sicher zu nutzen.