Cloud-bezogene Digitalforensik

Cloud-Unwetter: Ein Schirm wird zum Schutz kaum reichen

| Autor / Redakteur: Stefica Divkovic* / Florian Karlstetter

Sicherheitsempfehlungen für die Cloud - ein Schutzschirm allein reicht meist nicht.
Sicherheitsempfehlungen für die Cloud - ein Schutzschirm allein reicht meist nicht. (Bild: gemeinfrei (geralt / pixabay) / CC0)

Mit Cloud Computing hat sich schlagartig die Art und Weise geändert, wie Organisationen ihre IT-Infrastruktur betreiben. Der Wechsel zur Cloud ersetzte einen Großteil der traditionellen Hardware durch virtualisierte, aus der Ferne bereitgestellte, on-demand verfügbare Software-Services, die für den jeweiligen speziellen Bedarf konfiguriert werden. Diese Services werden meist in externen Rechenzentren von spezialisierten Providern betrieben. Die Folge: Software und Daten können physikalisch an mehreren Orten verteilt rund um den Globus gespeichert sein.

Für Anbieter von investigativen Response-Dienstleistungen (z.B. IT-Security-Experten oder Ermittler) kann es daher eine Herausforderung sein, auf Daten und Beweismaterial ihrer Kunden in externen Cloud-Rechenzentren zeitnah Zugriff zu bekommen. Unternehmen sind sich häufig nicht den Herausforderungen rund um einen Datenzugriff bei externen Providern bewusst. Wer Maßnahmen zur digitalen Forensik durchführen muss, sollte die folgenden drei Punkte beachten. So ist es für den Kunden wichtig zu wissen, welche Arten von Cloud-Hosting-Services im eigenen Unternehmen überhaupt verwenden werden. Außerdem sollte es möglich sein, bei einem Provider zeitnah auf die eigenen gespeicherten Daten zugreifen zu können. Schließlich empfiehlt es sich, mit einem erfahrenen Cloud-Provider zusammenzuarbeiten.

Welche Cloud-Services werden genutzt?

Ganz gleich, für welchen Cloud-Provider sich ein Unternehmen entscheidet, der Kunde sollte sich eingehend mit dem Servicevertrag beschäftigen. Wichtig ist auch zu klären, wer beim Thema Cybersicherheit für welche Aspekte zuständig ist. Drei Kategorien von Cloud-Services gilt es hier zu unterscheiden:

  • Infrastructure-as-a-Service (IaaS): Der Provider betreibt Services für Vernetzung, Hardware und Virtualisierung, während der Kunde Software und Daten verantwortet.
  • Platform-as-a-Service (PaaS): Der Provider liefert Services für Vernetzung, Hardware, Virtualisierung und Betriebssysteme; der Kunde verantwortet die Daten und Anwendungen.
  • Software-as-a-Service (SaaS): Hier ist der Provider im Kundenauftrag für alle Dienste zuständig.

Daten finden und den Datenzugriff sicherstellen

In diesem Zusammenhang sollten sich IT-Verantwortliche folgende Fragen stellen: Wo in der Cloud laufen die bezogenen Service, wo stehen die Speichersysteme und wo werden Logs und Daten generell gespeichert? Dazu sollte der Standort des Cloud-Centers bekannt sein. Zu wissen, wo die Daten gespeichert sind, verkürzt für investigative Dienstleister die benötigte Zeit, um Beweisdaten zu sammeln und zu sichern. Weiter erhöht regelmäßiges und exaktes Daten- und Asset-Management die Geschwindigkeit, mit der sich die benötigten Informationen im Falle eines Sicherheitsvorfalls auffinden lassen.

IT-Manager sollten daher klären, ob zur Beweissicherung der physikalische Zugriff auf das Cloud-Rechenzentrum möglich ist. Falls ein Live-Image eines physikalischen Systems benötigt wird, kann dann ein investigativer Dienstleister überhaupt physikalisch auf das System zugreifen? Zahlreiche Provider erlauben Dritten gar keinen direkten Zugriff auf die bei ihnen betriebenen Systeme. Weiterhin ist zu klären, ob ein Image der gesammelten Daten auf ein Netzwerklaufwerk oder ein Storage-System innerhalb des Cloud-Centers exportiert werden kann. Sollte im Rahmen einer digitalen Untersuchung das Imaging eines großen Storage-Systems erforderlich sein, beispielsweise von einem vollständigen Network Attached Storage (NAS) Speichersystem, kann es schwierig werden, einen Speicherort für die forensischen Informationen zu finden. Daher sollten Unternehmen vorab klären, wie der Cloud-Provider selbst größte Datenmengen innerhalb seiner Cloud-Speichersysteme für eine forensische Analyse bereitstellen kann.

Ergänzendes zum Thema
 
Weitere Links von Verizon Enterprise Solutions zum Thema Datenverletzungen

Falls Remote Imaging die einzige Option ist, um an Beweise zu gelangen, wird es noch wichtiger zu verstehen und zu testen, wie ein Zugang erfolgen kann. Sich hiermit proaktiv auseinanderzusetzen hilft dabei, spätere Verzögerungen zu vermeiden. Gerade das Einholen von Genehmigungen für einen lokalen oder physikalischen Zugriff auf die eigenen gespeicherten Daten bei einem Cloud-Provider kann zu Verzögerungen führen, die während eines Sicherheitsvorfalls die Analyse unnötig verzögern.

Auf erfahrene Cloud-Provider setzen

IT-Verantwortliche sollten daher die Verträge mit ihrem Cloud-Anbieter auf Möglichkeiten prüfen, wie sich im Rahmen einer forensischen Untersuchung das benötigte Beweismaterial sowie Logs und Daten sammeln lässt. Die Erfahrung eines Falls aus der Praxis zeigt, dass in Vereinbarungen zwar die Kundenanforderungen exakt definiert wurden. Als während eines Cybersecurity-Vorfalls der Provider dann aber umfassende Anfragen rasch bearbeiten sollte, war von der praktischen Umsetzung nicht mehr viel zu spüren.

Im nächsten Schritt sollte der Kunde das Ticketingsystem des Cloud-Anbieters einem Probelauf unterziehen. Dort sind im Allgemeinen nämlich keine Prozesse definiert, um einen Imaging-Prozess zur forensischen Datensicherung unter Kundenaufsicht und Kontrolle zügig durchzuführen. Hier könnte der Kunde im Vorfeld um Einblick in die Incident-Response-Planung bitten sowie versuchen Antworten darauf zu bekommen, wie der Anbieter auf Cybersecurity-Vorfälle reagiert und wie er dabei mit dem Kunden kooperiert.

Weiterhin sollte ein IT-Manager den Cloud-Provider darauf vorbereiten, dass dieser bei einem Cybersecurity-Vorfall im Zusammenhang mit Daten an seinen Standorten zur Mitarbeit aufgefordert wird. Für investigative Dienstleister ist dieser Zugang zu den Kundendaten eine wichtige Voraussetzung dafür, dass diese so schnell und effizient wie möglich mit ihrer Arbeit starten können. Professionelle Cloud-Anbieter kennen sich mit Datenschutz und -sicherheit aus und wissen auch, wie sie mit den verschiedenen Aspekten von digitaler Forensik und auf Cybervorfälle umzugehen haben.

Beispiel für ein Cloud-Unwetter

Stefica Divkovic ist in der DACH-Region für Verizons gesamtes ICT-Portfolio, einschließlich strategischer Konnektivität, Security, Internet der Dinge (IoT) sowie für Verizons Kommunikationslösungen für multinationale Unternehmenskunden verantwortlich.
Stefica Divkovic ist in der DACH-Region für Verizons gesamtes ICT-Portfolio, einschließlich strategischer Konnektivität, Security, Internet der Dinge (IoT) sowie für Verizons Kommunikationslösungen für multinationale Unternehmenskunden verantwortlich. (Bild: 2017 Mike Taylor / Verizon)

Ein Szenario aus dem 2017 Data Breach Digest (DBD) von Verizon verdeutlicht, warum diese Vorsichtsmaßnahmen so wichtig sind. Bei einer digitalen forensischen Untersuchung in Zusammenhang mit Cloud-basierten Daten hatte die betroffene Firma Beschwerden von Kunden zu ihrer eCommerce-Website erhalten. So scheiterten die Kunden mit ihrem ersten Zahlungsversuch; im zweiten Anlauf hingegen klappten die Transaktionen. Eine Untersuchung der Website ergab, dass es sich um eine Fälschung handelte. Die betroffene Organisation nahm die Seite sofort vom Netz.

Es stellte sich heraus, dass der verwendete und sehr preisgünstige Cloud-Provider die Daten über den halben Globus verteilt hostete. Glücklicherweise waren investigative IT-Experten in der Nähe der Rechenzentren für eine Untersuchung verfügbar. Nachdem das Team schließlich Zugriff auf die Daten hatte, stellte man fest, dass die gefälschte Zahlungsseite so codiert war, dass sie die Kreditkartendaten in Echtzeit an eine externe IP-Adresse umleitete; der zweite Zahlungsversuch verlief dann ordnungsgemäß. Die Geschichte ging vergleichsweise gut aus, denn wie sich herausstellte, hatte ein Programmierfehler verhindert, dass tatsächlich Daten entwendet wurden.

Special „Rechtssicheres Cloud Computing“

Special Rechtssicheres Cloud ComputingSicherheit hat viele Facetten, dies gilt auch und insbesondere beim Cloud Computing. Vielen Unternehmen fehlt es an Vertrauen, wenn es darum geht, Daten, Anwendungen und Teile der eigenen IT-Infrastruktur an einen externen Provider auszulagern. Im Special finden Sie nützliche Informationen rund um die Themen Rechtssicherheit, dazu Lösungsansätze, Standards und Initiativen aus der Industrie.  

Zum Special „Rechtssicheres Cloud Computing“

Sicherheitsempfehlungen für die Cloud

Zu den Themen Prävention, Risikominderung, Reaktion und Analyse im Zusammenhang mit Sicherheitsvorfällen in der Cloud sollten Unternehmen folgende Punkte beachten:

  • Mehrfach-Authentifizierung: bei kritischen Systemen mindestens Zweifaktor-Authentifizierung implementieren.
  • Zugang zu kritischen Assets einschränken: direkten Zugang auf die vertrauenswürdigen User und IP-Adressen reduzieren.
  • Logdaten wirkungsvoller machen: Logging zentralisieren und so gestalten, dass es für investigative Teams leicht möglich ist, während eines Sicherheitsvorfalls darauf zuzugreifen.
  • Incident Response Playbooks nutzen: Incident Response Playbooks für die relevantesten Datenverletzungen und andere Sicherheitsvorfälle erstellen und diese branchenspezifisch ausrichten.
  • Admin-Passwörter sofort ändern: im Fall einer Datenverletzung als erste Maßnahme die Passwörter der lokalen und der Netzwerk-Administratoren ändern.

Verizon veröffentlicht alljährlich den Data Breach Investigations-Report mit aussagefähigen Statistiken zu aktuellen Bedrohungen nach Branche. Weiter gibt Verizon jedes Jahr den Data Breach Digest (DBD) heraus. Dieser enthält Darstellungen von realen Vorfällen, die vom Investigative Response Team des Verizon Threat Research Advisory Center untersucht wurden. Die in den jährlichen DBDs beschriebenen Szenarios lassen sich dazu nutzen, aktuelle Bedrohungen näher zu analysieren und Empfehlungen auszusprechen, um so das Online-Sicherheitstraining weiter auszubauen.

* Stefica Divkovic ist in der DACH-Region für Verizons gesamtes ICT-Portfolio verantwortlich.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45300660 / Risk Management)