Cloud-Services und Remote-Arbeit sind für moderne Unternehmen mittlerweile selbstverständlich. Deshalb rückt die Identität verstärkt ins Visier von Angreifern. Identitätsbasierte Angriffe zählen für Unternehmen zu den größten Bedrohungen und lassen sich in nahezu 80 Prozent der Fälle beobachten. Cloud-basierte Dienste sind wichtiger Bestandteil von Geschäftsprozessen, da diese den Datenaustausch und die Zusammenarbeit vereinfachen. Insbesondere in Zeiten von Homeoffice und Hybrid Work werden Cloud-Dienste in Unternehmen täglich genutzt.
Missbrauch von Cloud-Diensten
Cyberkriminelle machen sich Cloud-Dienste zunutze und missbrauchen sie für Netzwerkoperationen. Hier zeichnet sich ein Trend ab, der sich in der Zukunft noch verstärken dürfte. Da immer mehr Unternehmen hybride Arbeitsumgebungen anstreben, bildet der Identitätsdiebstahl einen der häufigsten Angriffsvektoren in Cloud-Umgebungen.
Diebstahl von Anmeldeinformationen
Hybrides arbeiten heißt auch, dass sich viele Mitarbeiter bei der Arbeit nicht mehr im Büro befinden. Stattdessen nutzen diese Team-Anwendungen, VPNs sowie andere Dienste, um sich aus der Ferne zu verbinden. Die Authentifizierung erfolgt hier über Benutzernamen und Passwort.
Cyberkriminelle bedienen sich dabei bewährten Methoden, um an die begehrten Daten zu gelangen. So erstellen diese gefälschte Authentifizierungsseiten, um Authentifizierungsdaten für Cloud-Dienste wie Microsoft Office 365 (O365) oder Online-Webmail-Konten zu stehlen. Später versuchen die Täter dann, mit diesen Daten auf die Konten der Opfer zuzugreifen oder die Daten im Darknet weiterzuverkaufen. Zudem kann der Zugang zu Cloud-basierten Filehosting-Diensten und E-Mail-Konten die Täter bei Spionage- und Diebstahlaktivitäten unterstützen.
Datendiebstahl als ernste Gefahr
Mittlerweile sind Angreifer sehr geschickt darin, gestohlene Zugangsdaten zu missbrauchen. Hier wird auch nicht vor großen Cloud-Diensten zurückgeschreckt. So wurde beispielsweise die in der Türkei ansässige Hackergruppe COSMIC WOLF beobachtet, die es auf Daten in der Amazon Web Services (AWS)-Cloud abgesehen hatte. So gelang es den Angreifern, mit gestohlenen Benutzernamen und Passwörtern in die Umgebung von AWS Cloud einzudringen. Dadurch verfügten die Angreifer über die Berechtigungen zur Nutzung von Kommandozeilen. Mithin waren sie in der Lage, Sicherheitseinstellung dergestalt zu ändern, dass ein direkter SSH Zugang zu AWS von ihrer eigenen Infrastruktur aus gegeben war. Dadurch war auch der Diebstahl von Daten aus AWS ohne weiteres möglich.
Sammeln von Zugangsdaten
Eine weitere Akteursgruppe, die sich auf das Sammeln von Zugangsdaten spezialisiert hat, ist FANCY BEAR. Diese nutzen das sogenannte Credential Harvesting, um an Anmeldedaten zu gelangen und sich primären Zugang zu Zielorganisationen oder -personen zu verschaffen. Während zu Beginn oftmals Spear-Phishing-E-Mails zum Einsatz kamen, wurde jetzt die Vorgehensweise verfeinert. Ziel sind nun vermehrt Cloud-Dienste wie Microsoft 365 oder GSuite, aber auch private Webmail-Dienste.
Nicht verwaltete Systeme als Einfallstor
Insbesondere Ransomware-Angriffe häufen sich, deshalb müssen Unternehmen hier ihre Verteidigungsstrategien anpassen. Nur so können sie den Angreifern einen Schritt voraus sein. Besonders gefährlich ist dies für viele IT-Abteilungen, die nicht über Zero Trust Richtlinien verfügen. Denn so ist ein Angriff nur sehr schwer von alltäglichen, normalen und autorisierten Aktivitäten zu unterscheiden. Dies verschafft Angreifern wertvolle Zeit, das Angriffsziel unbemerkt auszuspähen. Des Weiteren kann es sich als durchaus schwierig gestalten, den Eindringling zu stoppen, sobald ein laufender Angriff erkannt wurde. Eine große Gefahr geht hier besonders von nicht verwalteten Systemen aus, da diese nicht sofort vom Netzwerk isoliert werden können.
Cloud-Infrastruktur absichern
Eine Cloud Infrastruktur muss zwingend abgesichert werden, um sich vor Angriffen zu schützen. Der Bedrohungsschutz vor Identitätsdiebstahl ist für Unternehmen mittlerweile essentiell. Dennoch ist Technologie alleine kein Allheilmittel, um Attacken zu stoppen. Die Abwehr moderner Cyberangriffe erfordert eine Mischung aus technologischem Knowhow und menschlichem Fachwissen. Nur so kann langfristig eine wirksame Verteidigung aufgebaut werden, die sicherstellt, dass die Schutzmaßnahmen sich stets auf dem neuesten Stand befinden. Das Ziel ist es, Bedrohungen innerhalb von nur wenigen Minuten zu erkennen und darauf zu reagieren. Vom Endpoint, Netzwerk bis hin zur Cloud sollten die Richtlinien auf Zero Trust basieren.