Unsere Security Analyst*innen im usd HeroLab decken während ihrer Penetrationstests (Pentests) immer wieder Einfallstore auf, die erhebliche Risiken für die Unternehmenssicherheit darstellen. Dabei begegnen ihnen vermehrt die gleichen Schwachstellen. Unsere Blogserie „Top 3 Schwachstellen“ stellt diese dar und gibt Ihnen Tipps für die Vermeidung – für #moresecurity über alle IT-Assets.
Heute betrachten wir die drei häufigsten sicherheitskritischen Schwachstellen, die unsere Analyst*innen bei Cloud Pentests in den vergangenen Jahren identifizieren konnten.
Warum Cloud Pentests?
Die Speicherung von Daten in der Cloud hat sich in den vergangenen Jahren zu einer bevorzugten Lösung für Unternehmen entwickelt. Für die Sicherheit ihrer Daten sind die Unternehmen allerdings weiterhin verantwortlich und geben diese nicht an die Cloud Services ab.
Oft genügt die Fehlkonfiguration oder die nicht angepasste Standardkonfiguration eines Cloud Services – schnell ergeben sich Schwachstellen in der Cloud. Die Menge und die Komplexität an Konfigurationsoptionen für viele Cloud Services haben zahlreiche Schwachstellen zur Folge. Das oft fehlende oder nicht ausreichende Verständnis für das Shared Responsibility Model befördert diesen Trend – viele Organisationen sind sich ihres Teils der Verantwortung für die Konfiguration der genutzten Cloud Services nicht bewusst. Im Ergebnis finden sich so im Rahmen der von uns durchgeführten Cloud Security Analysen immer wieder typische Schwachstellen.
Multi-Faktor-Authentifizierung (MFA)
Das Identity und Access Management ist meist der wichtigste Schwerpunkt von Cloud Security Analysen. Der Vorteil des einfachen Zugriffs auf Cloud Ressourcen stellt zugleich eine große Herausforderung dar: die klassische Kombination aus Nutzername und Passwort genügt nicht mehr. Multi-Faktor-Authentifizierung (MFA) ist die Standardantwort, um dieses Problem zu lösen. MFA verhindert nicht die Kompromittierung von Passwörtern, kann aber der missbräuchlichen Übernahme von Accounts oder Identitätsdiebstahl vorbeugen. Konkret bedeutet MFA, dass Nutzer bei der Authentifizierung mindestens zwei voneinander unabhängige Faktoren vorweisen können. Klassische Faktoren sind:
- Wissen (der Nutzer weiß etwas, z.B. Passwort)
- Besitz (der Nutzer besitzt etwas, z.B. Schlüssel)
- Inhärenz (der Nutzer ist etwas, z.B. Fingerabdruck)
Ein Praxisbeispiel für die Nutzung von MFA ist die Zahlungsrichtlinie PSD2, die seit 2021 europäische Kreditinstitute verpflichtet, ihren Kunden eine starke Kundenauthentifizierung anzubieten.
Bei der Analyse von Cloud-Umgebungen ist es jedoch weiterhin eine der häufigsten Schwachstellen: MFA wird nicht oder nur in schwacher Form genutzt. Schwache MFA bedeutet, dass unsichere Protokolle zur Generierung oder Übermittlung des zweiten Faktors zum Einsatz kommen. Beispiele für diese „Legacy-Protokolle“ sind E-Mail, SMS oder Telefonanrufe, die auf verschiedenen Wegen kompromittiert werden können. Aber auch technisch stärkere MFA wie der Einsatz von Einmalpasswörtern (OTP) oder proprietären Authenticator Apps kann durch Social Engineering Angriffe erfolgreich umgangen werden. Verhindern lässt sich dies wiederum durch Phishing-resistente MFA, zu denen in der aktuellen Praxis vor allem hardware-basierte Lösungen wie FIDO2 Security Keys und PKI-Smartcards gehören. Die unter dem Marketingbegriff „Passkey“ bekanntgewordene Erweiterung des FIDO2-Standards beinhaltet mehrere Varianten, die jedoch nicht alle den gleich hohen Schutz wie die zuvor genannten hardware-basierten Lösungen bieten. MFA ist also nicht einfach MFA. Die verschiedenen Varianten unterscheiden sich vor allem in ihrer Sicherheit, Usability und Umsetzungskosten.
Sicherheitstipp
Generell gilt: auch schwache MFA ist besser als gar keine MFA. Langfristiges Ziel sollte die Nutzung Phishing-resistenter MFA für alle Nutzer von Cloud Services sein. Ein Zwischenschritt kann die Einführung von OTP bzw. Authenticator Apps für normale Nutzer sein, während für besonders schützenswerte Nutzer (z.B. Geschäftsleitung, Buchhaltung) und administrative Nutzer mit privilegierten Rechten Phishing-resistente MFA empfohlen wird. Die zunehmende Unterstützung von Passkeys als ein Faktor für die MFA kann mittelfristig eine gute Option sein.
Logging
Die Überwachung der IT-Infrastruktur sowie des Zugriffs auf Unternehmensdaten und deren Verarbeitung ist ein Thema, das sowohl in On-Premise-Umgebungen als auch in der Cloud für IT-Administratoren, Compliance-Beauftragte und Revisionsabteilungen gleichermaßen relevant ist. Eine gut konfigurierte Überwachung der Infrastruktur ist entscheidend, um Sicherheitsrisiken und schadhafte Aktivitäten frühzeitig zu erkennen und Compliance-Anforderungen zu erfüllen.
In der Cloud betrifft diese Überwachung sämtliche relevanten Cloud-Dienste, gehostete Anwendungen sowie administrative Zugriffe und Tätigkeiten. Standardmäßig werden die Aktivitäten in der Management Plane zwar geloggt, jedoch sind diese Standardprotokolle ohne Anpassungen oft unzureichend: Es gibt keine voreingestellten Alert-Mechanismen, und die Aufbewahrungszeit (Retention Time) beträgt oft nur 90 Tage.
Das kann zu kurz sein, um potenzielle Angriffe oder schädliche Handlungen durch Innentäter nachvollziehen zu können. Außerdem erfassen Standard-Logs häufig nicht sicherheitskritische Ereignisse, wie z. B. die Logs von Sicherheitsdiensten (etwa Azure Defender) oder Anwendungslogs, die eine granularere Überwachung ermöglichen würden.
Viele Cloud-Anwender gehen fälschlicherweise davon aus, dass die Überwachung der Infrastruktur vollständig durch den Cloud-Anbieter abgedeckt wird. Allerdings umfasst diese standardmäßig nur die Basisinfrastruktur der Cloud-Plattform und nicht die Dienste, die der Kunde darauf nutzt. Für eine umfassende Sicherheitsüberwachung der Cloud-Umgebung sind daher zusätzliche Maßnahmen erforderlich. Folgende Herausforderungen und Best Practices sollten dabei berücksichtigt werden:
Sicherheitstipp bei lückenhafter Überwachung einzelner Dienste und Layer
Nicht alle Dienste und Layer und deren Aktivitäten werden standardmäßig erfasst. Unternehmen sollten daher sicherstellen, dass alle sicherheitsrelevanten Logs, etwa von Web Application Firewalls oder spezifischen Applikationen, ebenfalls in die Überwachung einbezogen werden. Oft werden Logs auch nur auf Anwendungsebene erfasst, ohne Ereignisse von Cloud Services einzubeziehen. Für eine vollständige Überwachung ist es wichtig, dass auch Aktivitäten und Konfigurationen von Cloud Services, wie etwa Zugriffs- und Berechtigungsänderungen, regelmäßig geprüft werden.
Sicherheitstipp bei unsicherer Speicherung von Logs
Oftmals werden Logs in derselben Umgebung gespeichert wie die Ressourcen selbst. Im Falle einer Kompromittierung hätte ein Angreifer somit auch Zugriff auf diese Logs. Es ist also ratsam, eine separate und gesicherte Speicherumgebung für Logs einzurichten, um die Integrität dieser wichtigen Daten zu schützen. Ebenfalls sollte bei der Speicherung von Log Files auf ein adäquates Access Management achten, um Manipulationen auch durch Innentäter zu verhindern.
Sicherheitstipp bei begrenzter Log-Retention und Speicherlimits
Die standardmäßig konfigurierten Aufbewahrungsfristen und Speicherlimits können dazu führen, dass wichtige Logs gelöscht werden, bevor sie ausreichend analysiert werden konnten. Es empfiehlt sich, die Aufbewahrungsfristen individuell anzupassen und die Speicherlimits regelmäßig zu überprüfen, um sicherzustellen, dass alle sicherheitsrelevanten Informationen langfristig verfügbar bleiben.
Sicherheitstipp bei Alert-Fatigue und Priorisierung
Ein häufiges Problem sind zu viele Alarme ohne Priorisierung, die IT-Teams oder Security Operations Center (SOCs) überfordern können. Wichtige Alarme könnten dadurch leicht untergehen. Eine sorgfältige Priorisierung und Filterung von Alarmen hilft, das Augenmerk auf wirklich kritische Vorfälle zu lenken und die Effektivität der Sicherheitsüberwachung zu steigern. Hierfür ist es wichtig aus False Positives zu lernen und Alarme auf Basis der gesammelten Erfahrungswerte zu schärfen.
Sicherheitstipp bei isolierter Betrachtung von Logs und Metriken
Logs und Metriken aus verschiedenen Cloud-Diensten oder von unterschiedlichen Anbietern werden oft isoliert betrachtet, was eine holistische Sicherheitsbewertung erschwert. Eine zentrale Aggregation aller Logs, idealerweise in einer Security Information and Event Management (SIEM)-Lösung, ermöglicht eine ganzheitliche Sicht und erleichtert die Erkennung komplexer Bedrohungen, die mehrere Dienste betreffen können.
Sicherheitstipp bei unregelmäßiger Überprüfung von Alert-Konfigurationen
Obwohl viele Unternehmen Alarme einrichten, werden diese nur selten auf ihre Effektivität und Relevanz getestet. Wir empfehlen hier, regelmäßige Tests und Anpassungen vorzunehmen, um sicherzustellen, dass Alarme wirklich die wichtigsten und potenziell gefährlichsten Ereignisse abdecken, hierzu können bekannte Frameworks zur Angriffserkennung wie z.B. Mitre Attack genutzt werden.
Öffentliche Endpunkte
Die unsichere Konfiguration von Endpunkten stellt eine weitere Ursache häufiger Schwachstellen in der Cloud dar. Um die Hintergründe besser zu verstehen, gehen wir kurz auf eine wichtige Bedingung für die Nutzung typischer Platform as a Services (PaaS) ein:
Um eine Aktion auf einem genutzten PaaS-Dienst ausführen zu können, müssen zwei Voraussetzungen erfüllt sein:
- Die Identität muss autorisiert sein, die Aktion auszuführen.
- Das Netzwerk muss den Zugriff auf den Service erlauben.
In der Praxis sehen wir jedoch immer wieder PaaS-Ressourcen, bei denen keine Absicherung auf Netzwerkebene konfiguriert ist. Dies hat zur Folge, dass die standardmäßig aktivierten öffentlichen Endpunkte weiterhin aktiv sind und den Zugriff aus jedem Netzwerk, auch aus dem Internet erlauben.
Um Aktionen auf dem PaaS-Dienst durchzuführen, wie z.B. das Lesen oder Verändern von Daten, ist es daher lediglich erforderlich, für die Aktion autorisiert zu sein.
Wenn nun hier keine Konfiguration vorgenommen wurde wie z.B. die Nutzung eines rollenbasierten Zugriffes, können im Zweifel bereits nicht authentifizierte Parteien auf die Daten zugreifen.
Aber auch die Verwendung schwacher Authentifizierungs- und Autorisierungsmethoden (Passwörter mit geringer Komplexität, kein MFA im Einsatz) bietet keinen ausreichenden Schutz. Angreifer können durch gezieltes Phishing (Spear Phishing) von Cloud Nutzern an Zugänge gelangen oder einfache Passwörter durch Brute-Force Angriffe erraten.
Zudem könnten in diesem Fall potenzielle Schwachstellen in den Authentifizierungs- und Autorisierungsverfahren (potenzielle Zero Day Schwachstellen) auch aus dem öffentlichen Internet ausgenutzt werden.
Betrachten wir aber nun ein konkretes Beispiel anhand eines Storage Accounts: Standardmäßig haben Storage Accounts bei vielen Cloud Service Providern öffentliche Endpunkte, die aus dem Internet erreichbar sind.
Ob ein Angreifer über den öffentlichen Endpunkt die Daten des Storage Accounts erreichen kann, hängt bei einem uneingeschränkten öffentlichen Endpunkt also nur noch davon ab, ob der Angreifer es schafft, eine Autorisierung für seinen Zugriff zu erhalten.
Sicherheitstipp
Empfehlenswert wird daher neben dem Einsatz starker Authentifizierungs- und Autorisierungsverfahren auch die standardmäßige Verwendung von privaten Endpunkten. Nur wenn es der Anwendungsfall erfordert und keine andere geeignete Alternative zur Verfügung steht, sollten öffentliche Endpunkte genutzt werden, deren Konnektivität zusätzlich auf das nötige Minimum reduziert sein sollte. Diese zweite Ebene der Absicherung kann auch dann schützen, wenn eine Schwachstelle in den Authentifizierungs- und Autorisierungsverfahren besteht oder ein Session-Token gestohlen wurde.
Fassen wir noch einmal zusammen
Das nicht ausreichende Verständnis für das Shared Responsibility Model, Fehlkonfiguration oder nicht angepasste Standardkonfigurationen von Cloud Services führen oft zu Sicherheitslücken. Besonders die Implementierung der Multi-Faktor-Authentifizierung (MFA) ist von Bedeutung, da einfache Kombinationen aus Nutzernamen und Passwort nicht mehr ausreichen. Die Überwachung der Cloud-Infrastruktur (Logging) ist ebenso entscheidend, da viele Cloud-Dienste nur Standard-Logs bieten. Ein weiteres häufiges Sicherheitsproblem sind öffentlich zugängliche Endpunkte, da über diese Cloud-Ressourcen von jedem Netzwerk aus angegriffen werden können.
Als Nutzer von Cloud Services müssen Sie die Sicherheit Ihrer Daten sicherstellen. Ein Cloud Pentests kann hier Klarheit schaffen und Ihnen dabei helfen, die Daten Ihres Unternehmens, Ihrer Kunden und Ihrer Mitarbeiter*innen effektiv zu schützen. Unsere Security Analyst*innen untersuchen alle relevanten Cloud-Komponenten umfassend und identifizieren mögliche Einfallstore für Angreifer. Kontaktieren Sie uns, wir helfen Ihnen gern.
