IT-Sicherheit in der Cloud: Schwerwiegender Sicherheits-Vorfall bei Microsoft

In diesem Artikel zum Thema Sicherheits-Vorfall in der Microsoft Cloud nutzen wir bewusst allgemein verständliche Sprache anstelle technischer Begriffe. Unterhalb des Artikels haben wir Ihnen zudem eine Sammlung externer Links zur vertiefenden Information zusammengestellt.

Schwerwiegender Sicherheits-Vorfall: Die aktuelle Lage zum (beinahe-?) Sicherheits-GAU in der Microsoft Cloud

Bei einem Angriff konnte vor einigen Wochen ein Zugriffsschlüssel erbeutet werden, mit dem die Angreifer nach Einschätzungen von Sicherheitsexperten möglicherweise Zugriff auf praktisch alle in der MS-Cloud liegenden Daten erlangen konnten.

Viele westliche Regierungen und wohl auch Unternehmen wurden damit erfolgreich angegriffen und geheime Informationen wurden gestohlen.

Bemerkt hat den Angriff offenbar nicht Microsoft, sondern ein Kunde, dem Merkwürdigkeiten in seinen Exchange-Email-Konten aufgefallen waren und der diese an Microsoft gemeldet hat.

Kurze Zeit danach hat ein weiterer Microsoft-Kunde eine Sicherheitslücke dokumentiert, mit der es möglich war, aus einem eigenen bei Microsoft betriebenen System auf geheime Daten und Zugangsinformationen anderer Kundensysteme zuzugreifen.

Schlagzeilen wie „USA stellen Cloud Security auf den Prüfstand„, „Das FBI informiert wohl immer noch Betroffene“ oder „Mehr als drei Monaten wusste Microsoft von einer kritischen Lücke der Azure-Cloud, ohne sie zu schließen“ sprechen eine deutliche Sprache.

Genaues zum Sicherheits-Vorfall in der Microsoft Cloud weiß man nicht und darin liegt ein großes Problem: Die Kommunikation seitens Microsoft ist praktisch nicht vorhanden, das wenige komplett intransparent und technisch komplett verklausuliert. Was wir wissen, basiert im Wesentlichen auf Analysen und Einschätzungen externer Sicherheitsforscher. Warum das so ist, sei gerne Ihrer Interpretation überlassen.

Sie haben vom gestohlenen Master-Key noch gar nichts gehört?

Auch darin sehen wir ein Sicherheitsproblem! Solange Sicherheitsfragen nur in einschlägigen Foren technisch diskutiert und nicht allgemeinverständlich dargestellt und mit allen Konsequenzen auch an Entscheider in Unternehmen kommuniziert werden, bleiben die Probleme abstrakt und haben nur selten konkrete Handlungen zur Folge.

Erste Kunden reagieren auf den Sicherheits-Vorfall in der Microsoft Cloud, aber was tut Deutschland?

Erste Kunden haben bereits gerade erst anlaufende Cloud-Migrationsprojekte abgebrochen. Dies sind jedoch bisher absolute Einzelfälle.

Die deutschen Behörden und die Regierung hüllen sich bisher komplett in Schweigen. Ich frage mich: Haben die überhaupt schon davon gehört, dass sie vermutlich gehackt wurden und sind sich der Gefahr bewusst? Nun ja, das Internet ist ja in diesem Teil der Welt noch „Neuland“ [Die Kanzlerin und das Internet: Merkels „Neuland“ wird zur Lachnummer im Netz (tagesspiegel.de)].

Bevor Sie sich nun aber über die deutsche Regierung amüsieren, müssen wir uns alle fragen, ob wir es in der Unternehmens-IT eigentlich besser machen. Lesen wir all diese Warnungen? Nehmen wir sie ernst und handeln entsprechend?

Was sind die Probleme der Zentralisierung Ihrer IT?

Die Zentralisierung großer Teile der IT in sozusagen große Monokulturen bei wenigen großen Anbietern schafft erst zentrale Angriffspunkte mit großer Hebelwirkung, die im kritischen Falle nicht nur einzelne Unternehmen, sondern möglicherweise ALLE Kunden der Anbieter betreffen. So sind inzwischen große Teile der Regierungs-, Infrastruktur- und Unternehmens-IT der westlichen Welt über wenige zentrale Schalter potentiell angreifbar. Möchten Sie auch „dazugehören“? Dann nichts wie ab in die Cloud…

Kernproblem ist hier gar nicht primär die Konzentration der Computersysteme in großen Rechenzentren, diese ist nur im Kontext physischer Angriffe auf die Gebäude, Netzwerk-Anbindung oder Stromversorgung relevant. Auch dies stellt zwar ein Problem dar, wenn z.B. große Teile der gesamten IT durch einen Anschlag auf ein Internet-Seekabel ausgehebelt werden können (Ein Schelm, wer hier an Nordstream denkt).

Entscheidendes Problem ist die Eingliederung der Unternehmens-IT in ein hierarchisches, übergeordnetes Sicherheitssystem, mit immer neuen Ebenen von „Super-Admin“, die theoretisch Zugriff auf Systeme und Daten nehmen können, bis hin zu einem zentralen Zugriffsschlüssel, mit dem dann im schlimmsten Falle auf alle Ebenen darunter zugegriffen werden kann.

Wussten Sie zum Beispiel, dass die Microsoft-Reseller, die Ihnen Cloud-Lizenzen für Office 365 verkaufen, in der Standard-Konfiguration kompletten administrativen Zugriff auf alle Ihre Daten haben, wenn man dies nicht explizit abschaltet? Manche der großen Reseller lassen sich diesen Zugriff sogar vertraglich zusichern und lehnen Aufträge ab, wenn man diese Rechte beschneiden will, weil das laut deren Aussage den Support erschwert. Wer dann in diesen Organisationen Zugriff auf diese Konten hat, haben Sie überhaupt nicht unter Kontrolle.

Ransomware-Angriff auf Cloud-Provider: Selbst totaler Datenverlust ist möglich!

Dieser Artikel war schon fertig, da kommt eine weitere Cloud-Horror-Meldung: Der dänische Cloud-Provider „Cloud Nordic“ hat offenbar durch einen Ransomware-Angriff sämtliche Kundendaten und alle Backups verloren. Auch die Installationen und Konfigurationen der Server sind vernichtet. Der Anbieter bietet seinen Kunden an, mit leeren, neu installierten Systemen wieder zu starten – ohne Konfiguration, ohne Daten. Und verweist die Kunden auf deren eigene Backups.

Hier liegt die Frage nahe: Haben Sie ein immer aktuelles Backup Ihrer Cloud-Daten, Anwendungen und Konfigurationen?

Das Internet war komplett anders gedacht!

Die Entwurfsidee des Internet war in weiten Teilen das Gegenteil davon, was wir heute machen. Es sollte ein Verbund unabhängiger, autarker Systeme sein, mit fehlertoleranten und ausfallsicheren Verbindungen, über die Zusammenarbeit und Datenaustausch gerade auch im Krisenfall ermöglicht werden sollte. Dezentrale Systeme, dezentrale Daten, verteilte Sicherheit, lokale Autonomie und unzerstörbarer, weil sich bei Teilausfällen automatisch umleitender Datenaustausch.

Mehr Sicherheit durch haufenweise Experten? Der Sicherheits-Vorfall in der Microsoft Cloud wirft Fragen auf:

„Wir gehen in die Cloud. Die großen Anbieter haben haufenweise Sicherheitsexperten, die sind ganz sicher besser als wir es lokal leisten könnten.“ Dies ist ein viel gehörtes Argument für die Cloud. Inwieweit dies so haltbar ist und wie dies gegenüber den prinzipiellen Probleme zu werten ist, möge bitte jeder für sein Unternehmen selbst entscheiden.

Was bei der Entscheidung für die Cloud aber häufig übersehen wird: auch wenn Sie in die Microsoft Cloud gehen, müssen Sie die Sicherheit Ihrer Systeme und Dienste bei Microsoft und vor allem auch Ihre lokalen PCs und Laptops, Firewalls und Router, die Sie für den Zugriff auf die Cloud benötigen, selbst administrieren und verantworten. Kein Experte aus der Cloud macht dies für Sie!

Übrigens – hinter vorgehaltener Hand hört man auch schon einmal: „In der Cloud kann ich ganz einfach neue Anforderungen realisieren, ohne dass mich meine lästige interne IT mit ihren dauernden Sicherheitsbedenken nervt“. Dies lassen wir vor dem Hintergrund des bisher gesagten einmal unkommentiert.

Was ist die Alternative?

Der Zug in die Cloud fährt mit hoher Geschwindigkeit, und wer nicht mitmacht, droht am Bahnsteig zu verhungern. Dieses Bild zeichnet das Marketing der großen Cloud-Anbieter und die Entwicklung ist bereits so weit, dass man sich tatsächlich gegen manche Entwicklung nur schwer stemmen kann, wenn man nicht bereit ist, einige Konsequenzen auf sich zu nehmen.

Es hilft jedoch, sich auf ganz allgemein logischer Ebene einmal klarzumachen, was man da eigentlich tut – und sich von grundlegenden Überlegungen leiten zu lassen, wie stark man sich in welche Abhängigkeiten begeben will – was Betrieb und Verfügbarkeit von IT angeht, vor allem aber auch, was die Sicherheit der Daten angeht.

Ganz ohne Abhängigkeiten wird es in der IT nicht gehen – die Frage ist allerdings, wie direkt diese auf den operativen Betrieb wirken dürfen. Die Kernfrage ist, plakativ gesprochen, wollen Sie den großen roten „Not-Aus-Schalter“ aus der Hand geben?

Automatisierung und Standardisierung in der IT-Sicherheit

Ein Weg, gerade für kleinere und mittlere Unternehmen, den laufend steigenden und zunehmend unbezahlbaren Sicherheitsanforderungen zu genügen, liegt in der Automatisierung und Standardisierung des Sicherheitsmanagements über teilautomatisierte Services (Managed Services) durch darauf spezialisierter IT-Service-Anbieter wie SYMPLASSON.

Nur mit automatischer Verteilung lassen sich zum Beispiel Server, Arbeitsplätze und Firewalls im Falle einer neuen Sicherheitslücke verlässlich schnell genug aktualisieren, um diese zu schließen – und dies vor allem klar dokumentiert und nachweisbar, wichtig für die Cyber-Versicherung.

Durch die Verwendung von ausgereiften, kundenübergreifenden Verfahren können Sie so kostenseitig Skalierungseffekte nutzen und genießen die Vorteile einer großen IT-Abteilung, die sie intern gar nicht unterhalten könnten.

Standardisierung heißt aber auch, Sicherheitslücken dadurch zu schließen, dass die gefährlichen „Sonderlocken“ besonderer interner Stakeholder abgeschafft werden. Dies ist innenpolitisch nicht immer ganz einfach, der Sicherheit aber höchst dienlich.

Bei der Auswahl eines Anbieters sollten Sie auch berücksichtigen, ob dieser Anbieter sein Management von der Microsoft (oder Amazon, Google…) Cloud ableitet und somit möglicherweise ein Dominostein in der Hierarchie der Sicherheit ist, oder ob er – wie wir bei SYMPLASSON – eigene, speziell dafür abgetrennte Systeme aus seinem eigenen lokalen Rechenzentrum in Deutschland verwendet.

Hilfe bei der Entscheidung zur Cloud: Nehmen Sie an unserer kostenlosen Info-Veranstaltung teil!

Um Überlegungen im Hinblick auf die Cloud-Nutzung und Ihre Konsequenzen anstellen zu können, braucht es Information – und zwar in einer Form, die es Ihnen als Entscheider und Nicht-IT-Sicherheits-Experte ermöglicht, die Alternativen einschätzen zu können. Anlässlich des Sicherheits-Vorfalls in der Microsoft Cloud möchten wir Sie zu unserer Informationsveranstaltung einladen!