- Anzeige -


Sie sind hier: Startseite » Fachartikel » Hintergrund

Cloud: Datensicherheit & Angriffsszenarien


Erfolgsaussichten in der Cloud: Die Zukunft des Phishing
Bei klassischen Phishing-Attacken handelt es sich in der Regel um gefälschte E-Mails, beispielsweise von Banken oder Payment-Services, die darauf abzielen, persönliche Daten oder Zahlungsinformationen einzelner Benutzer zu erbeuten

- Anzeigen -





Von Anurag Kahol, CTO, Bitglass

"Ihr Konto wurde gehackt!" Nachrichten mit diesen oder ähnlichen Betreffzeilen entlocken den meisten Nutzern nur noch ein müdes Lächeln. Derartige E-Mails von breit angelegten Phishing-Kampagnen, die meist schon durch ein äußerst zweifelhaftes Design auffallen, werden in der Regel unmittelbar aussortiert. Eine weitaus höhere Erfolgsquote verspricht jedoch die Kombination von Phishing mit Cloud Computing-Anwendungen. Die Aussicht, mit nur einer erfolgreichen E-Mail eine Vielzahl verwertbarer Daten zu erbeuten, ist für Cyberkriminelle Motivation genug, die Angriffstechniken weiter zu verfeinern und zielgerichteter vorzugehen. Für Unternehmen ein Grund, sich im Rahmen ihrer Datensicherheitsstrategie näher mit diesem Angriffsszenario auseinanderzusetzen.

Lesen Sie zum Thema "IT Security" auch: IT SecCity.de (www.itseccity.de)

Bei klassischen Phishing-Attacken handelt es sich in der Regel um gefälschte E-Mails, beispielsweise von Banken oder Payment-Services, die darauf abzielen, persönliche Daten oder Zahlungsinformationen einzelner Benutzer zu erbeuten. Derartige Angriffe enden in der Regel bereits automatisch beim Spam-Filter, der die eingehenden Nachrichten anhand verdächtiger Merkmale aussortiert. Zudem ist die Gefahr durch Phishing-Attacken in den letzten Jahren zunehmend ins öffentliche Bewusstsein gerückt und die E-Mailnutzer sind dementsprechend wachsam. E-Mails, die dem Spam-Filter entgangen sind, werden schließlich vom Nutzer im Handumdrehen gelöscht.

Die Konsequenz auf Seiten der Angreifer sind verbesserte, zielgerichtete Attacken, die schwerer identifizierbar sind und eher selten darauf abzielen, einzelne Daten – wie Kreditkarteninformationen oder TAN-Nummern – zu erbeuten. Vielmehr besteht das Ziel mittlerweile darin, umfassende Zugriffsberechtigung auf Daten, Endgeräte oder Online-Dienste zu erhalten. Im Sinne der Nutzenmaximierung – mehr Daten bei gleicher Erfolgsquote – stellen Cloud Computing-Anwendungen für Cyberkriminelle ein lukratives Ziel dar. Es genügt nur ein Mitarbeiter, der auf eine täuschend echte Nachricht eines Cloud Computing-Dienstes hereinfallen muss und schon können mit dem gehackten Account zahlreiche Unternehmensdaten eingesehen und entwendet werden.
Beispiel einer derart modernen Attacke ist die Google-Docs Phishing-Kampagne, die im vergangenen Jahr großes Aufsehen erregte. In diesem Fall wurde den Nutzern unter dem Namen eines ihnen bekannten Absenders eine täuschend echt aussehende Einladung zum Dienst Google Docs per E-Mail geschickt. Wer die Einladung annehmen und auf den Link zu dem scheinbaren Doc klickte, gelangte zur Google-Login-Seite. Klickten sie auf den dort angezeigten Befehl "continue to Google Docs" erteilten sie einer Schadsoftware Zugriff auf ihr Google-Konto.

Der Angriff machte sich das OAuth-Protokoll zu Nutze, das Google verwendet, um die Authentifizierung zu vereinfachen. Der OAuth-Zugang ermöglichte es dem Angreifer, Zugang zu den persönlichen Daten des Benutzers im Google-Dienst zu erhalten, ohne diesen zur Eingabe seiner Anmeldeinformationen auffordern zu müssen. Damit wäre es möglich, Kontaktlisten und Standorte der Betroffenen einzusehen sowie deren E-Mails und Dateien, die sie in der G-Suite verwalten, zu lesen.

In diesem Fall schaffte das Protokoll, das den Benutzern einfachen Zugriff auf Anwendungen von Drittanbietern ermöglichen sollte, ein Einfallstor für Angriffe. Das potentielle Schadensausmaß für Unternehmen ist abhängig von der kriminellen Energie der Angreifer. Allgemein sind verschiedene Szenarien denkbar: Über die E-Mailkonten der Nutzer kann die Schadsoftware an weitere Kontakte – wie Kunden und Servicepartner - weitergeleitet werden und eventuell auch deren gespeicherte Clouddaten kompromittieren. Von einem Verkauf oder einer weiteren missbräuchlichen Nutzung der erbeuteten Daten kann in der Regel ausgegangen werden, auch wenn sich dies unmittelbar nur schwer nachvollziehen lässt. Darüber hinaus können die gestohlenen Daten von den Kriminellen auch zur Lösegelderpressung der Opfer eingesetzt werden.

Wie der Google-Docs-Vorfall, bei dem der verursachte Schaden sich allem Anschein nach dennoch in Grenzen hielt, aufzeigt, kann das Vertrauen von Nutzern in Cloudanwendungen leicht ausgenutzt werden. Eine erste Sicherheitsmaßnahme, die von den populärsten Cloud-Diensten mittlerweile angeboten wird, ist die Umstellung auf Multi-Faktor-Authentifizierung (MFA). MFA verhindert, dass Kriminelle auf Benutzerkonten zugreifen können, selbst wenn es ihnen gelingen sollte, die Login-Daten zu erbeuten.

Für klassische Phishing-Attacken war die Sensibilisierung der Nutzer bislang eine durchaus wirkungsvolle Verteidigungsstrategie. Was jedoch Cloud- Computing-Anwendungen wie Office 365 und G-Suite anbelangt, fehlt es der breiten Nutzerbasis noch an Erfahrungswerten. Eine Nachricht, die der des genutzten Clouddienstes zum Verwechseln ähnlich sieht, hat dementsprechend noch gute Erfolgsaussichten. Gleichsam ist davon auszugehen, dass die für die Angriffe genutzte Schadsoftware von Cyberkriminellen immer raffinierter wird. Eine herkömmliche, auf Eigenschaften basierende Erkennung bösartiger E-Mails greift dafür auf Dauer zu kurz. Künftig werden Unternehmen intelligente Erkennungstechnologien benötigen, die Angriffsmuster identifizieren und den softwaregesteuerten Zugriff von Hackern auf Daten frühzeitig melden und blockieren.

Nicht zuletzt mit Blick auf das Inkrafttreten der Datenschutzgrundverordnung in diesem Jahr ist es für Unternehmen ratsam, potentielle Verlustwege zu identifizieren, Schatten-IT zu unterbinden und ein Sicherheitskonzept für Daten zu entwickeln. Im Zuge dessen sollte auch sichergestellt werden, dass Unternehmensdaten nicht in private Accounts von Mitarbeitern gelangen – beispielsweise, wenn geschäftliche Nachrichten an ein privates E-Mail-Konto weitergeleitet oder Dokumente in Cloud Computing-Diensten gespeichert werden. Eine geeignete Kombination aus Mitarbeitersensibilisierung, Sicherheitstechnologie und Zugriffsmanagement hilft dabei, Unternehmensdaten auch vor ausgefeilten Phishing-Attacken zu schützen. (Bitglass: ra)

eingetragen: 01.02.18
Newsletterlauf: 07.03.18

Bitglass: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • Cloud Computing ist Mainstream in der IT

    "Die Wolke" ist in der Unternehmens-IT deutscher Unternehmen angekommen. Auch hierzulande profitieren Firmen jeder Größe von niedrigeren Kosten bei größerer Skalierbarkeit und Zuverlässigkeit. Die Verantwortung für die Sicherheit ihrer Daten sollten Unternehmen jedoch nicht in die Hände von Cloud-Providern legen. Der Datenverschlüsselung und der Kontrolle über die Verschlüsselungs-Keys kommt in heterogenen IT-Landschaften besondere Bedeutung zu. Denn im Ernstfall ist Verschlüsselung die letzte Feste der IT-Security.

  • Vorteile von Security-as-a-Service

    Security-as-a-Service wird bei Großunternehmen und KMU immer beliebter: Die sich ständig erweiternde Bedrohungslandschaft und der Mangel an Fachkräften führt zur zunehmenden Akzeptanz von IT-Sicherheit als Dienstleistung. Denn der Arbeitsmarkt bleibt angespannt, in Deutschland gibt es laut Bitkom 82.000 offene Stellen für IT-Spezialisten, und die Nachfrage nach Sicherheitsexperten steigt branchenübergreifend. Für viele Unternehmen ist deshalb eine Auslagerung von Management, Implementierung und Überwachung des komplexen Security-Bereichs eine sinnvolle und kosteneffiziente Investition, um ihre internen IT-Ressourcen zu entlasten und zugleich ihr Sicherheitsprofil zu schärfen.

  • Einblick in jede Cloud-Instanz haben

    Die Vielzahl an Cloud Computing-Services eröffnet zahlreiche Möglichkeiten, einzelne Geschäftsprozesse zu optimieren. Die richtige Cloudstrategie hat sich damit längst zu einem Wettbewerbskriterium entwickelt. Viele Unternehmen setzen auf eine Multicloud-Strategie, um bei eventuellen Ausfällen den Geschäftsbetrieb aufrechterhalten zu können und nicht von nur einem Anbieter abhängig zu sein. Die Nutzung von Cloudservices sollte umfassend geplant werden. Bei lediglich punktuellen Migrationen einzelner Prozesse besteht das Risiko, dass das Optimierungspotential nicht vollständig genutzt wird. Doch neben dem Faktor Performance hat auch die Datensicherheit mittlerweile geschäftskritische Relevanz erreicht. Regulatorische Standards sollten daher frühzeitig in das Multicloud-Konzept einfließen, die Auswahl der Anbieter mitbestimmen und durch geeignete Sicherheitsmaßnahmen flankiert werden.

  • Cloud-Services für jedermann

    Datenschutz war 2018 ein zentrales Thema in allen Medien. Die EU-Datenschutzgrundverordnung (DSGVO) hat viele Unternehmen vor enorme Herausforderungen gestellt, und diese sind noch lange nicht gemeistert. Zahlreiche Firmen hinken bei der Umsetzung weit hinterher, dabei kommen 2019 bereits neue Richtlinien auf sie zu. Welche weiteren Entwicklungen können wir nächstes Jahr in Bezug auf den Umgang mit Daten erwarten?

  • Das Glück kurzer Reaktionszeiten

    Unternehmen müssen heute kundenorientiert arbeiten und in der Lage sein, Innovationen schnell auf den Markt zu bringen. Dabei müssen Applikationen hohe Ansprüche an Verfügbarkeit und Performance erfüllen. Ausfallzeiten kann sich niemand leisten, denn die Kundenerwartungen sind hoch. All das erfordert eine flexible, skalierbare IT-Umgebung. Um den unterschiedlichen, wechselnden Anforderungen gerecht zu werden, geht der Trend dahin, mehrere Clouds zu kombinieren. Ob eine Hybrid Cloud aus Public Cloud und Private Cloud oder gar verschiedene Public Clouds - laut einer aktuellen Studie von 451 Research in 14 europäischen Ländern setzen bereits 84 Prozent eine Kombination aus verschiedenen Cloud Computing-Umgebungen ein.

  • Mit Cloud ERP ins internationale Geschäft

    Immer mehr auch mittelständische Unternehmen eröffnen oder besitzen internationale Niederlassungen. Doch unterschiedliche Gesetze, Buchhaltungsregeln und Sprachen erschweren die Organisation. Die Firmen können deshalb Cloud-ERP-Lösungen einsetzen, die sowohl konzern- als auch landesspezifische Besonderheiten sowie Compliance-Richtlinien berücksichtigen. Auch bei M&A-Projekten ist Cloud-ERP nützlich und es hilft, burning platforms zu vermeiden.

  • AI als Kollege im Service Desk

    Alle reden von Artificial Intelligence, um AI gibt es einen regelrechten Hype: Die Erwartungen sind enorm, die Ziele oft vage, konkrete Lösungen noch selten. In diesem Beitrag wird erläutert, welche Auswirkungen AI auf das IT Service Management (ITSM) in Unternehmen haben wird - und wo die Grenzen liegen. In Gartners "Hype Cycle for Emerging Technologies" vom August 2017 lag AI - vertreten durch Deep Learning und Machine Learning (ML) - ganz an der Spitze der Hype-Kurve. Wie es weitergeht, ist klar: bergab. Überzogene Hoffnungen werden enttäuscht, bevor die neue Technologie dann letztlich Einzug in den Alltag findet. Bei Deep Learning und ML wird dies laut Gartner zwei bis fünf Jahre dauern, bei AI-basierten Virtual Assistants fünf bis zehn. Aber AI wird kommen.

  • Cloud: Datensicherheit & Angriffsszenarien

    "Ihr Konto wurde gehackt!" Nachrichten mit diesen oder ähnlichen Betreffzeilen entlocken den meisten Nutzern nur noch ein müdes Lächeln. Derartige E-Mails von breit angelegten Phishing-Kampagnen, die meist schon durch ein äußerst zweifelhaftes Design auffallen, werden in der Regel unmittelbar aussortiert. Eine weitaus höhere Erfolgsquote verspricht jedoch die Kombination von Phishing mit Cloud Computing-Anwendungen. Die Aussicht, mit nur einer erfolgreichen E-Mail eine Vielzahl verwertbarer Daten zu erbeuten, ist für Cyberkriminelle Motivation genug, die Angriffstechniken weiter zu verfeinern und zielgerichteter vorzugehen. Für Unternehmen ein Grund, sich im Rahmen ihrer Datensicherheitsstrategie näher mit diesem Angriffsszenario auseinanderzusetzen.

  • Mit Cloud ERP ins internationale Geschäft

    Immer mehr auch mittelständische Unternehmen eröffnen oder besitzen internationale Niederlassungen. Doch unterschiedliche Gesetze, Buchhaltungsregeln und Sprachen erschweren die Organisation. Die Firmen können deshalb Cloud-ERP-Lösungen einsetzen, die sowohl konzern- als auch landesspezifische Besonderheiten sowie Compliance-Richtlinien berücksichtigen. Auch bei M&A-Projekten ist Cloud-ERP nützlich und es hilft, "burning platforms" zu vermeiden. Ob Konzerne oder Mittelstand: Alle nutzen die Möglichkeiten des internationalen Geschäfts. Entweder sie exportieren Waren und Produkte oder sie gründen oder unterhalten Niederlassungen in anderen Ländern. Doch das internationale Geschäft hält auch die eine oder andere Herausforderung bereit. Die Unternehmen müssen unterschiedliche Gesetzgebungen oder Buchhaltungsregeln einhalten und sich auf fremde Finanzsysteme und Sprachen einstellen. Sie sehen sich mit unterschiedlichen Ansprüchen von Finanzbehörden und anderen Institutionen konfrontiert.

  • Zukunft der KI-Lösungen in der Cloud

    Der Einsatz künstlicher Intelligenz (KI) lässt Unternehmen derzeit hoffen, mit der wachsenden Zahl komplexer Bedrohungen und ihren immer ausgefeilteren Methoden wieder Schritt halten zu können. Diskutiert wird allerdings zuweilen, warum die entsprechenden Lösungen unbedingt Cloud-basiert sein müssen. Könnte man die entsprechenden KI-Instanzen nicht auch lokal implementieren? Tatsächlich ist die Cloud als Basis aber ein Architekturelement, das zur Stärke der modernen Lösungen entscheidend beiträgt. Ein Blick auf die Gesamtsituation klärt, warum dies so ist.