Cloud-Schwachstellen aufdecken

Neue und fast vergessene Löcher in der Wolke

| Autor / Redakteur: Oliver Schonschek / Elke Witmer-Goßner

Die ganzheitliche Betrachtung von Cloud-Infrastruktur und Cloud-Nutzung deckt Sicherheitslücken auf.
Die ganzheitliche Betrachtung von Cloud-Infrastruktur und Cloud-Nutzung deckt Sicherheitslücken auf. (Bild: © robybret - stock.adobe.com)

Cloud-Sicherheit beginnt mit Sichtbarkeit. Die notwendige Transparenz betrifft die genauen Verantwortlichkeiten und genutzten Cloud-Dienste, aber auch die Fülle der vorhandenen Schwachstellen, die es abzusichern gilt. Ein neuer Blick auf Cloud-Schwachstellen ist deshalb entscheidend für den Erfolg der Cloud-Security und des Cloud Computing insgesamt.

Die Cloud Security Alliance (CSA) und AlgoSec haben eine interessante Studie veröffentlicht: „Cloud Security Complexity: Challenges in Managing Security in Native, Hybrid and Multi-Cloud Environments“. Ziel der Befragung war es, den Stand der Akzeptanz und der Sicherheit in den gängigen hybriden Cloud- und Multi-Cloud-Sicherheitsumgebungen zu analysieren und besser verstehen zu können. „Da Unternehmen aller Größen den Wert der Cloud mit ihrer verbesserten Agilität und Flexibilität nutzen, sind sie auch mit spezifischen neuen Sicherheitsproblemen konfrontiert, insbesondere, wenn sie mehrere Cloud-Dienste und -Plattformen in ein bereits komplexes IT-Umfeld integrieren“, sagte John Yeoh, Global Vice President of Research, Cloud Security Alliance.

Einige zentrale Erkenntnisse der Studie: Die Cloud schafft Konfigurations- und Sichtbarkeitsprobleme: Als größte Probleme wurden genannt die proaktive Erkennung von Fehlkonfigurationen und Sicherheitsrisiken, der fehlende Einblick in den gesamten Cloud-Bestand, Audit-Vorbereitung und -Compliance, ganzheitliches Management von Cloud- und On-Premises-Umgebungen und das Management mehrerer Clouds. Außerdem sind menschliches Fehlverhalten und Konfigurationsfehler die größten Verursacher von Ausfällen: 11,4 Prozent der Befragten berichteten von einem sicherheitsrelevanten Ereignis mit der Cloud im vergangenen Jahr, 42,5 Prozent verzeichneten einen Netzwerk- oder Anwendungsausfall. Die beiden Hauptursachen waren Bedienungsfehler und menschliches Fehlverhalten bei der Verwaltung von Geräten (20 Prozent), Änderungen der Gerätekonfiguration (15 Prozent) und Gerätefehler (12 Prozent).

Wie in der gesamten Security erkennbar, ist auch in der Cloud-Sicherheit der Mensch also eine zentrale Herausforderung. Man muss letztlich sagen: Der Mensch selbst ist eine Cloud-Schwachstelle. Deshalb müssen auch gerade im Cloud-Bereich mehr Schulungen und Sensibilisierungsmaßnahmen stattfinden. Viele Unternehmen konzentrieren sich aber bei Awareness eher auf Endgeräte. Cloud-Dienste liegen aus Sicht vieler Unternehmen in der Zuständigkeit der Provider, die eigenen Mitarbeiterinnen und Mitarbeiter müssten deshalb nicht geschult werden, um die Cloud-Sicherheit zu erhöhen, leider eine falsche Annahme. Sowohl Cloud-Anwender als auch interne Cloud-Administratoren brauchen mehr Informationen und Bewusstsein, was für eine sichere Cloud-Nutzung erforderlich ist.

Es geht immer auch um Hardware

Wer Cloud Computing nutzt, spart Hardwarekosten. Das ist aber eine zu eingeschränkte Sicht. Bei Private Cloud Computing nutzt man spezielle Hardware, die man selbst betreibt oder die man betreiben lässt. Bei Public Cloud Computing teilt man sich die Hardware mit anderen Anwenderunternehmen. Cloud Computing ist keine Alternative zur Hardware und zum Rechenzentrum, sondern die Nutzung von Data Center Diensten. Das klingt logisch und trivial. Bei der Risikoanalyse für Cloud-Dienste wird dies aber gerne vergessen. Zu den Cloud-Schwachstellen gehören ganz klar auch Sicherheitslücken in der genutzten Hardware, bei den Cloud-Servern, bei Netzwerk-Hardware, bei den Endgeräten der Nutzer, um einige Beispiele zu nennen.

Ein aktuelles Beispiel: Schwachstellen in Field-Programmable Gate Arrays (FPGAs). Dies sind elektronische Bauteile, die sich anders als gewöhnliche Computerchips sehr flexibel einsetzen lassen. FPGAs kommen auch in großen Rechenzentren zum Einsatz, die für Cloud-Dienste genutzt werden. Bislang galt die Nutzung solcher Dienste als relativ sicher. Forscherinnen und Forscher des Karlsruher Instituts für Technologie (KIT) haben nun potenzielle Einfallstore für Cyberkriminelle gefunden. Während herkömmliche Chips meist nur eine sehr spezielle gleichbleibende Aufgabe erfüllen, können FPGAs nahezu jede Funktion beliebiger anderer Chips annehmen, weshalb sie oft bei der Entwicklung neuer Geräte oder Systeme verwendet werden. „FPGAs werden zum Beispiel in der ersten Produktcharge neuer Geräte verbaut, weil man sie im Gegensatz zu einem Spezialchip, dessen teure Entwicklung sich nur bei sehr großen Stückzahlen lohnt, nachträglich noch verändern kann“, sagte Dennis Gnad vom Institut für Technische Informatik (ITEC) des KIT. Man könne sich das etwa so vorstellen, als baue man eine Skulptur aus wiederverwendbaren Legosteinen, statt aus abbindender Modelliermasse.

Verwendung der Hardware durch mehrere Nutzer ermöglicht Angriffe

Dabei verbrauchen FPGAs vergleichsweise wenig Strom, was für die Anwendung in den Serverfarmen von Cloud-Diensten ideal ist. Daneben haben die programmierbaren Chips noch einen anderen Vorteil: Sie können beliebig aufgeteilt werden. „So kann ein Kunde etwa die obere Hälfte des FPGAs nutzen, ein zweiter die untere“, so Jonas Krautter, ebenfalls vom ITEC. Für die Clouddienste ist dies ein attraktives Nutzungsszenario. Dabei geht es zum Beispiel um Aufgaben in den Feldern Datenbanken, KI-Anwendungen wie Maschinelles Lernen oder auch Finanzapplikationen.

„Die Verwendung eines Chips mit FPGA durch mehrere Nutzer zur gleichen Zeit ist ein Einfallstor für bösartige Angriffe“, sagte Gnad. Trickreichen Hackern biete gerade die Vielseitigkeit der FPGAs die Möglichkeit, sogenannte Seitenkanal-Attacken durchzuführen. Dabei ziehen die Angreifer aus dem Energieverbrauch des Chips Informationen, mit denen sie seine Verschlüsselung knacken können. Durch solche chip-internen Messungen könne ein Kunde des Cloud-Dienstes einen anderen ausspionieren, warnte Gnad. Darüber hinaus könnten Hacker verräterische Schwankungen im Stromverbrauch nicht nur ausspähen, sondern auch selbst erzeugen. „So können die Berechnungen anderer Kundinnen und Kunden verfälscht oder sogar der gesamte Chip zum Absturz gebracht werden, wodurch Daten verloren gehen könnten“, erklärte Krautter. Gnad und Krautter wollen das Problem lösen, indem sie den unmittelbaren Zugriff der Nutzerinnen und Nutzer auf die FPGAs beschränken. „Die Schwierigkeit dabei liegt darin, bösartige Nutzer herauszufiltern ohne gutwillige Verwender zu sehr einzuschränken“, sagte Gnad.

Rund-um-Blick auf mögliche Schwachstellen

Es zeigt sich: Die Mandantenfähigkeit von Cloud-Diensten hängt auch mit der geteilten Nutzung von Cloud-Hardware zusammen, dies kann zu neuen Cloud-Risiken beitragen. Der Blick auf Cloud-Schwachstellen muss geweitet werden, um neue Cloud-Attacken verhindern zu können.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46075709 / Networking)