Cloud-Dienste können Türen für Malware öffnen
Unsichere und nicht autorisierte Cloud-Services können zudem Kanäle für Angreifer öffnen. Ein kompromittierter Web-Service etwa ist in der Lage, über ein Update der Client-Software auf einem Firmenrechner Malware einzuschleusen. Genau das passierte dem ukrainischen Anbieter einer Steuersoftware im vergangenen Sommer, berichtet Security-Spezialist Mc Ardle von eSentire.
Die infizierte Applikation installierte die Malware Petya, die daraufhin nicht nur ukrainische Banken attackierte, sondern auch Energieversorger, Regierungsbehörden und Überwachungssysteme des Kernkraftwerks Tschernobyl. Petya breitete sich auf zahlreiche andere Länder aus und sorgte auch in Deutschland für Schlagzeilen.
Die Angreifer nehmen dabei längst nicht nur die großen Cloud-Provider ins Visier, berichtet McArdle. Einige Cloud-Services würden zwar von sehr kleinen Teams betreut, spielten in bestimmten Branchen aber eine wichtige Rolle und würden dort intensiv genutzt. "Ein 50-Mann-Startup kann so einen Services etwa in der AWS-Cloud hosten", so der Experte. "Für Angreifer könnte dieser Service ein sehr attraktives Ziel sein. Das ist keine Theorie, solche Attacken gab es bereits."
Cloud Access Security Broker und Single Sign-on sichern Cloud-Dienste
Zu den gängigsten Methoden, den Cloud-Wildwuchs im Griff zu behalten, gehören Cloud Access Security Broker (CASB) und Single Sign-on-Systeme. In diesem Marktsegment tummeln sich mittlerweile etliche Anbieter, darunter Skyhigh, Netskope, Forcepoint oder Okta. Auch Branchenschwergewichte wie IBM, Microsoft, VMware und Cisco und haben ihr Portfolio um CASB-Lösungen erweitert. In vielen Fällen bieten solche Systeme auch Single-Sign-on-Features oder stellen Nutzerportale bereit, über die Anwender besonders einfach auf Web-Services zugreifen können sollen.
Ein Single-Sign-on-System kann Unternehmen helfen, die Anzahl nicht autorisierter Cloud-Anwendungen zu reduzieren, erläutert Security-Spezialist Holmes: "Wenn Sie sich als neuer Mitarbeiter einloggen und die angebotenen Dienste sehen, könnten Sie etwa feststellen, dass im Unternehmen 'Box' und nicht 'Dropbox' genutzt werden soll."
Von einem zentralisierten Sign-in-System für alle benötigten Cloud-Services profitieren aber auch die Nutzer. Sie müssten sich nicht mehr zahlreiche Passwörter merken oder im schlimmsten Fall dasselbe Passwort für alle Dienste verwenden. Damit könnte auch die Akzeptanz in den Fachabteilungen wachsen.