Storm 0558: Blindes Vertrauen in die Cloud birgt Risiken

Menschen verhalten sich oft seltsam – bekanntermaßen ist die Bautätigkeit auch da hoch, wo das Leben unmittelbar durch Naturkatastrophen gefährdet ist, wie etwa durch Fluten oder Vulkanausbrüche. In der IT ist es ähnlich: Obwohl Vorfälle wie der jüngst dokumentierte „Storm 0558“ Angriff auf die Microsoft Cloud (Azure) medial große Verbreitung finden, scheint eine wichtige Erkenntnis noch zu fehlen: Auch als Kunde eines großen Public Cloud Anbieters müssen Unternehmen für wichtige Teile der IT Security selbst sorgen – und zwar proaktiv.

Eine Studie von Tata Consultancy Services zeigte jüngst ein gespaltenes Meinungsbild in großen Unternehmen (Europa und Nordamerika): Je etwa ein Drittel der Führungskräfte sind der Meinung, dass die Cloud sicherer, gleich sicher oder weniger sicher ist als On-Premises-Lösungen. Zugleich gehen immer noch viele Unternehmen eher reaktiv mit IT-Sicherheitsrisiken um. Aus Erfahrung wissen wir: In kleineren Unternehmen und in Behörden tendiert die Einschätzung manchmal  eher in Richtung blindes Vertrauen - und wenn wirklich etwas passiert, würde ja Microsoft quasi selbst schnell für Abhilfe sorgen.

Der „Storm 0558“-Angriff zeigt aber, dass sich die großen Public-Cloud-Anbieter nicht leicht tun, nach einem Hackerangriff schnell transparente Informationen zu liefern. Denn wenn sensibelste Zugriffs-Mechanismen auf der untersten Sicherheitsebene ausgehebelt werden, tut sich auch ein Riese wie Microsoft schwer, schnell zu kommunizieren – denn es geht wirklich um das Eingemachte. Und wenn dann eine Kommunikation vorliegt, muss es auch Experten geben, die mit den technischen Anweisungen umzugehen wissen. Und es geht noch um viel mehr.
 

Beispielsweise kommen im Umfeld solcher Ereignisse wieder genügend Erkenntnisse ans Licht, die zeigen, wie stark das erreichbare IT Sicherheitsniveau in der Cloud schon alleine vom gewählten Lizenzmodell abhängt. Denn das Versprechen der Cloud wird oft als „IT wie bisher, aber günstiger“ wahrgenommen. Und daran ist im Prinzip nichts Falsches dran. Aber im Fall von „Storm 0558“ hängt das beobachtbare Zeitfenster, in dem aus Log-Dateien herauszulesen ist, ob das eigene Unternehmen vom Angriff betroffen ist, eben von der gewählten Lizenz ab: Günstigere Lizenzen gewähren 30 Tage, teurere bis zu 90 Tage im Rückblick den Zugriff auf die für die IT Sicherheit so wichtigen Logfiles.

Und das ist nur ein einzelnes Beispiel. Einige Security-Stufen sind vom gewählten Lizenz- und Leistungspaket abhängig. Insgesamt muss aber jede neu genutzte Plattform umfassend in ein unternehmensbezogenes IT Security Konzept eingebunden sein, das nicht nur technische, sondern auch organisatorische Handlungsfelder umfasst. Denn die schönste Lizenz nützt nichts, wenn beispielsweise die Vergabe und der Entzug von privilegierten Nutzerkonten nicht umfassend und sicher dokumentiert und technisch sicher geregelt ist.

Insbesondere, aber nicht nur regulierte Unternehmen müssen solche verantwortungsbewussten Umgangsformen mit Cloud Umgebungen unbedingt umsetzen. Es ist eigenartig: In der Zeit, als viele Unternehmen im eigenen Rechenzentrum operierten, galt IT-Security als sensibel zu steuerndes Thema. Kaum wandern Applikationen und Daten in die Cloud, scheint bisweilen blindes Vertrauen zu herrschen. Die Public Cloud Hyperscaler haben sicher viel Lob verdient – aber blindes Vertrauen noch lange nicht. Als Partner von Microsoft Azure, Amazon AWS und Google Cloud sind wir in der Lage, unseren Kunden hier entscheidend zu helfen.

Durch proaktives Einrichten und Verwalten aller relevanter Sicherheitsparameter lässt sich ein so hohes Schutzniveau etablieren, dass das Restrisiko überschaubar und akzeptabel ist. Für alle weiteren Themen, die unvorhergesehen sind wie etwa der jüngste dokumentierte Angriff, gilt aber auch: Wegducken ist von allen Optionen die Schlechteste. Jedes potenziell betroffene Unternehmen muss nachsehen, ob die Hacker erfolgreich waren. Und das sind im Fall von “Storm 0558”: Alle M365-Nutzer. In einem von uns verfassten Beitrag zum gestohlenen Microsoft-Masterkey empfehlen wir, wie Unternehmen jetzt vorgehen können - und bieten aktive Hilfe an.