Grundlagen der Cloud-Security: So schaffen Sie Sicherheit für Cloud-basierte Anwendungen. White Paper

Transkript

1 Grundlagen der Cloud-Security: So schaffen Sie Sicherheit für Cloud-basierte Anwendungen White Paper

2 Inhalt Kurzdarstellung... 3 Hacker knacken Ihre Cloud in weniger als einer Minute... 3 Die unsichtbare Bedrohung...4 Wie sieht Ihre Sicherheitsrichtlinie aus?...4 Jetzt ist Zeit zum Handeln... 5 Zukünftige Sicherheitslösungen sind keine Hilfe bei Bedrohungen von HEUTE... 5 Kein reiner Marketing-Hype...6 Sechs Schritte, um heute zu gewährleisten, dass Ihre Cloud sicher ist... 7 Kurzdarstellung Alle sprechen heute über Cloud Computing. Aber: Die Technologie birgt auch ein erhebliches Sicherheitsrisiko, das sich durch ihre rasend schnelle Verbreitung noch verschärft. Der Hype um Cloud Computing kann somit leicht ein jähes Ende finden und die Hoffnungen von Anwendern und Anbietern zerplatzen lassen. Cloud Computing, Saas, Paas, Iaas... was auch immer alle haben gemeinsam, dass sie Anwendungen oder Infrastrukturen nach Bedarf bereitstellen. Es ist faszinierend zu sehen, wie das Phänomen um sich greift: Heute kommen wir ständig mit Cloud Computing in Berührung; sei es über Hotmail, Gmail, GoogleApps, Salesforce.com oder die vielen anderen Anwendungen, die bereits Cloud-basiert sind. Früher hatten Anwenderunternehmen mit Kapitalinvestitionen zu kämpfen, mit Problemen der Implementierung, der laufenden Verwaltung oder der Skalierbarkeit Cloud Computing macht ihnen das Leben wesentlich leichter. Allerdings: Die meisten Implementationen von Cloudbasierten Diensten sind nicht ausreichend geschützt und verwenden zur Authentifizierung von Anwendern konventionelle Passwörter. Das bedeutet, sie sind im Allgemeinen leichte Ziele für Hacking-Angriffe. Das alleine ist schon beunruhigend. GROSSE Sorge bereitet aber, dass die Anwendung der meisten Tipps aus dem Internet Ihre Cloud HEUTE gar nicht schützen können. Meist geht es dabei um Zukunfts -Lösungen wie OpenID oder SAML. Dieses White Paper bietet Hinweise und stellt Lösungen vor, mit denen Sie Ihre Daten schon jetzt schützen können. Hacker knacken Ihre Cloud in weniger als einer Minute Branchenexperten warnen: Unternehmen, die sich von den Vorteilen des Cloud Computing überzeugen lassen, laufen Gefahr, ihre Sicherheitsregelungen nicht entsprechend zu aktualisieren. Wenn Mitarbeiter soziale Netzwerke und Online-Marktplätze wie Amazon und ebay nutzen, werden sie dabei meist dasselbe Passwort verwenden wie für Ihre Cloud-basierten Anwendungen. Das erging Twitter im Juli 2009 so, als ein Hacker über das Gmail- Konto eines Mitarbeiters, dessen Passwörter erraten hatte und Zugriff auf GoogleApps erlangte. Die Folge war die Veröffentlichung streng vertraulicher Dokumente. Wer auf die Webmail einer Person zugreift, erhält praktisch Zugang zu seiner Identität: zu Kreditkartendaten, Daten von Verwandten und Freunden und zu Unternehmensdaten. Der Sicherheitsexperte und ehemalige Ethical Hacker Jason Hart warnt, dass der Einstieg in die virtuelle Welt über Cloud-basierte Technologien in einer virtuellen Katastrophe enden könnte, wenn die Unternehmen nicht sofort handeln. Ich befürchte, dass die Sicherheitsversprechen vieler Anbieter und Provider nur Lippenbekenntnisse sind und dass sie sich mehr vom Hype als von der Realität der Situation beeinflussen lassen. Alle Dienste und Plattformen, die ich sehe, sind immer noch nur durch ein konventionelles Passwort geschützt. Und das reicht gegen Hacker nicht aus, wie die jüngsten Angriffe gegen Twitter zeigten, erläutert Hart, heute Senior Vice President Europe beim Passwordas-a-Service- Anbieter CRYPTOCard. Der Hype Das National Institute of Standards and Technology (NIST) und die Cloud Security Alliance definieren die Cloud als ein Modell, das einen komfortablen, bedarfsbestimmten und netzwerkbasierten Zugriff auf einen gemeinsam genutzten Pool konfigurierbarer IT-Ressourcen (z. B. Netzwerke, Server, Speicher, Anwendungen und Services) ermöglicht, die schnell, mit minimalem Managementaufwand und minimaler Interaktion des Serviceanbieters bereitgestellt und freigegeben werden können. Von den Pay-as-you-go-Diensten profitieren Unternehmen aller Größen. Sie zahlen nur für die tatsächliche Nutzung, wie bei einem Strom-, Gas- oder Wasserversorger. 2 3

3 Ein Passwort lässt sich einfach herausbekommen. Anhand von Informationen wie dem Lieblingsort, dem Namen des Partners oder dem Mädchennamen der Mutter, die man über StayFriends, Facebook oder einfach im Gespräch erhält. Entsprechende Tools sind sogar frei im Internet erhältlich. Während Hacker immer noch auf traditionelle Methoden wie Keylogging und Phishing setzen, bietet die Verbreitung sozialer Netzwerke jetzt jedem die Möglichkeit, zum Hacker zu werden: unzufriedenen Mitarbeitern, Wettbewerbern oder einfach den Überneugierigen. Ob per Technik oder über soziale Netzwerke, häufig dauert es nicht einmal eine Minute, ein Passwort herauszufinden. Dass immer mehr demografische Daten im Umlauf sind, verschärft die Bedrohung durch Passwort- und Online-Identitätsdiebstahl. Wir befinden uns in einer Ära der unsichtbaren Bedrohung: Mit einem gültigen Benutzernamen und Passwort lassen sich alle Sicherheitskontrollen in einem Unternehmen umgehen. Und der Einsatz von Cloud-basierten Technologien vervielfacht diese Bedrohung noch. Nicht nur für kleinere Unternehmen Die Verbreitung von Cloud Computing nimmt zu, und das nicht nur in kleineren Unternehmen. Rentokil Initial und Jaguar Land Rover meldeten kürzlich die Migration von insgesamt Mitarbeitern auf Googles gehostete Büroanwendungspakete. Die Einführung von Cloudbasierten Diensten für Mitarbeiter bei Rentokil Initial war der bisher größte Rollout. Das Unternehmen wird das Internet-basierte Kommunikations- und Kollaborationspaket in fünfzig Ländern einsetzen. Bis zu Mitarbeiter bei Jaguar Land Rover können über Google Apps Premiere Edition jetzt von jedem Gerät mit Internet-Anschluss aus auf - und Kalenderdienste zugreifen. Beide Unternehmen nannten erhebliche Kosteneinsparungen als Entscheidungsfaktoren. Die unsichtbare Bedrohung Die Nutzung sozialer Netzwerke hat in den letzten Jahren explosionsartig zugenommen. Soziale Netzwerke erfahren in der Wirtschaft zunehmende Resonanz und Beachtung. Andererseits machen sie Social-Engineering-Attacken nicht nur versierten Hackern einfacher, sondern auch Nachbarn, Mitarbeitern, Bekannten und Wettbewerbern. Die vermehrte Nutzung sozialer Netzwerke verstärkt das damit verbundene Sicherheitsrisiko massiv. Die Bedrohung stellt dabei nicht das soziale Netzwerk selbst dar, sondern das Social Engineering aufgrund der Informationen, die diese Seiten Hackern bieten. 40 Prozent aller Mitarbeiter verwenden dasselbe Passwort immer wieder: Für Webmail, soziale Netzwerke und auch den Zugang zu Ihrem Firmennetzwerk, wie die Studie Trends in Insider Compliance with Data Security Policies 2009 des Ponemon Institute zeigt. Ihr Netzwerk ist also immer nur so sicher wie sein schwächstes Glied, und statische Passwörter bieten Hackern, Angreifern, Shoulder Surfern, Keyloggern und sogar den neugierigen Nachbarn den einfachsten Weg in Ihr Netzwerk. Die einfachste Methode beim Online- Betrug ist der Diebstahl eines gültigen Benutzernamens und Passworts per Keylogger oder Social Engineering alten Stils. Sie würden es nicht einmal bemerken, es ist eine echte unsichtbare Bedrohung. Wie sieht Ihre Sicherheitsrichtlinie aus? Die Definition einer effektiven Sicherheitsrichtlinie ist ein wesentlicher Faktor bei der Entwicklung einer Geschäftsstrategie und beim Verstehen und Minimieren von Risiken, besonders da die IT ein Kernelement für Erfolg, Wachstum und Effizienz jedes Unternehmens, unabhängig vom Wirtschaftssegment, ist. Eine wirklich effektive Richtlinie bietet mehr als Sicherheit und wirkt sich positiv auf Unternehmenseffektivität, Kosten/Ertragskraft, Compliance und Cashflow aus. Unternehmen müssen sich also genau überlegen, ob ihnen statische Passwörter die benötigte Sicherheit bieten. Bei der Analyse von Risiken des Informationszugriffs in Unternehmen unterscheiden wir hinsichtlich Benutzeridentitäten und -authentifizierung vier Bereiche: Als Schutz vor aktuellen Sicherheitsbedrohungen empfiehlt Quocirca den Einsatz stärkerer Authentifzierungsmethoden als nur Benutzernamen und Passwörter, nämlich Sicherheitstoken. Sie bieten einen zusätzlichen Schutz, da jedes Authentifizierungsereignis auf einem zusätzlichen Faktor basiert. Einem Faktor, der den legitimen Anwender auszeichnet oder nur ihn charakterisiert. Fran Howarth, Quocirca Vertraulichkeit Integrität Verfügbarkeit Nachvollziehbarkeit Die Gewähr, dass Informationen nur zwischen Berechtigten ausgetauscht werden. Zu Vertraulichkeitsverletzungen kann es kommen, wenn Daten nicht mit dem angemessenem Vertraulichkeitsschutz gehandhabt werden. Ursachen für die Offenlegung von Daten sind Zugriffssteuerungen, schwache Passwörter, mündliche Mitteilungen, Ausdrucke, Kopien, s oder das Erstellen von Dokumenten und anderen Daten. Die Klassifikation der Information bestimmt das Maß der Vertraulichkeit und damit die Schutzmaßnahmen. Die Gewähr, dass Informationen authentisch und vollständig sind. Es wird sichergestellt, dass Daten ihrem Zweck entsprechend ausreichend korrekt sind. Integrität ist ein häufig auftauchendes Thema in der Informationssicherheit, denn sie stellt einen der wichtigsten Indikatoren für Sicherheit (oder ihr Fehlen) dar. Die Integrität von Daten ist weniger ein Maß der Richtigkeit von Daten, sondern ihrer Vertrauenswürdigkeit und Verlässlichkeit. Die Gewähr, dass Systeme für die Bereitstellung, Speicherung und Bearbeitung von Informationen bei Bedarf von denen, die sie benötigen, genutzt werden können. Die Gewähr, dass ein Unternehmen nachvollziehen kann, wer von wo aus Zugriff auf die Systeme hat, und welche Zugriffsaktivitäten durchgeführt wurden. Es muss nachgewiesen werden, dass die Definition und Vergabe von Passwörtern auf der Basis von Best Practices erfolgt, um gesetzliche Vorgaben zu erfüllen. Jetzt ist Zeit zum Handeln Unternehmen haben dafür zu sorgen, dass ihre eigenen Grenzen geschützt sind, und bei der Einführung jeder Art von Cloud Computing müssen aufgrund der hierfür charakteristischen Beziehung zu Fremdunternehmen die Sicherheitsrichtlinien sofort überarbeitet werden. Selbst Unternehmen, die mit der Einführung eines umfassenden Cloud Computing noch zögern, ist vielleicht gar nicht klar, dass sie bereits Anwendungen aus der Cloud nutzen. Clients und Anwendungen wie Skype, MessageLabs, Salesforce, Microsoft Online Services, Facebook, Twitter and LinkedIn sind alle Cloud-basiert. Das Cloud Computing revolutioniert die IT und das IT-Management, und dieser Paradigmenwechsel macht es noch wichtiger, dass Unternehmen ihre Sicherheitsrichtlinien sofort überarbeiten. Zukünftige Sicherheitslösungen sind keine Hilfe bei Bedrohungen von HEUTE Zu den höchsten Investitionen eines Unternehmens gehören die Investitionen in Informationen. In zahlreichen Firmen sind sie das geistige Kerneigentum, also ihr größtes Vermögen. Ihr Verlust durch Diebstahl oder Betrug, möglich gemacht durch mangelhafte Sicherheitsrichtlinien, kann buchstäblich das Ende eines Unternehmens bedeuteten. Sicherheitsmängel bei Cloud-basierten Informationen werden in den nächsten Monaten und Jahren eine der Hauptbedrohungen für Unternehmen sein. 4 5

4 Angesichts der laut Data Breach DB, einer Zentrale für Informationen zu Verletzungen der Datensicherheit, 223 Millionen seit 2005 preisgegebenen Datensätzen mit sensiblem Material und der Angriffe auf Twitter im Juli 2009 müssen die Unternehmen die Datensicherheit zur Priorität machen. Jason Hart bestätigt: Meist wird empfohlen, sich mit Federated ID und SAML zu befassen. Doch diese Lösungen sind noch zu weit von einer Vermarktung entfernt, um aktuelle Bedrohungen zu stoppen. Ich würde allen Unternehmen also dringend einige einfache Sofortmaßnahmen empfehlen, um den größten Bedrohungen für Vertraulichkeit, Integrität, Verfügbarkeit und Nachvollziehbarkeit ihrer Ressourcen aus der Cloud zu begegnen: dem Passwort. Kein reiner Marketing-Hype Richard Carty vom britischen Managed Services Provider Netshield schließt sich diesem Rat an: Für unsere Kunden ist es eine echte Herausforderung, Cloudbasierte und Managed Services zu implementieren. Unser Beratungsteam empfiehlt jedem Kunden, zuvor die Richtlinien ihrer Dienstanbieter umfassend zu prüfen. Wir erbringen bereits seit zehn Jahren Dienstleistungen im Bereich Managed Security und uns liegt daran, dass jeder unserer Kunden diesen Rat befolgt. In letzter Zeit gab es einen von Herstellern und Dienstanbietern ausgehenden großen Hype darum, welche Technologien in Zukunft zu erwarten sind. Angesichts aktueller Sicherheitsrisiken besteht aber bereits jetzt ein akuter Bedarf an solchen Lösungen. Dazu Gary Collins, CTO des Online-Dienstanbieters Intercept-IT: Wir erbringen unsere Online-Dienste heute komplett mit Zwei-Faktoren- Authentifizierung. Ohne Frage muss jeder Cloud-basierte Service auf soliden und sicheren Grundlagen beruhen - und den Unternehmen ist zu raten, jetzt zu handeln. Wir halten den Rat von Jason Hart für entscheidend und glauben, dass er eine Lösung für den Bedarf von heute bietet, die kein Marketing-Hype ist. Sechs Schritte, um heute zu gewährleisten, dass Ihre Cloud sicher ist Hart s recommendations are simple and easy to implement. Many of them use cloud-based solutions to reduce cost and management headache: 1. ALLE Benutzer im sicheren Umgang mit dem Internet unterweisen 2. Eine DETAILLIERTE Schwachstellenanalyse, einen Penetrationstest und einen Anwendungstest durchführen. Sicherstellen, dass alle Grenzen abgesichert sind. 3. Auf JEDEM Gerät aktuelle Antivirensoftware einsetzen für alle Geräte, Server und Homecomputer im Unternehmen. 4. GRUNDSÄTZLICH eine Firewall verwenden. Nicht benutzte Dienste, Ports und Protokolle sperren. Mitarbeiter, die bei der Arbeit das Internet nutzen, anhalten, riskante Verhaltensweisen zu vermeiden: Kein Austausch und kein Notieren von Passwörtern, keine Preisgabe vertraulicher Informationen als Reaktion auf Phishing-Mails und kein Herunterladen von Dokumenten ohne Prüfung der Quelle. Jeden Netzwerkeingangs-/ausgangspunkt prüfen, um festzustellen, wo ein Angriff eine Grenzverletzung verursachen könnte eine Schwachstellenanalyse und Prüfwerkzeuge können Bedrohungspotenziale aufdecken. Mit Sofortmaßnahmen die Schwachstellen bei der IT-Sicherheit eliminieren. An den Stellen investieren, bei denen das größte Risiko für das Geschäft liegt. Im Rahmen der Sicherheitsrichtlinien routinemäßige Schwachstellenanalysen durchführen. Sicherstellen, dass Mitarbeiter und Auftragnehmer die internen Sicherheitsrichtlinien beachten. Die Sicherheitsrichtlinien aller Lieferanten und Dienstleister prüfen. Jeder fünfte IT-Leiter glaubt, dass die Anlagen der Auftragnehmer weniger sicher sind als die eigenen, führt aber das Outsourcing fort. Nur 64 Prozent der IT-Leiter in mittelständischen Unternehmen erwarten von Auftragnehmern formale Sicherheitsabläufe und -richtlinien. (NCCGroup Report) Geraten Sie nicht in Versuchung, hier den Rotstift anzusetzen. Der Schutz vor Bedrohungen mit automatischen Scans, Updates und Virenalarmen kostet weit weniger als die Wiederherstellungsmaßnahmen nach einem Cyber-Angriff. Jedes fünfte Mittelstandsunternehmen verzeichnete im vergangenen Jahr einen Angriff, der finanzielle Verluste zur Folge hatte. 70 Prozent der Unternehmen räumten das Risiko ein, dass eine schwerwiegende Verletzung der Datensicherheit das Ende des Unternehmens bedeuten könnte (McAfee Labs Report) Moderne Firewalls schützen sowohl vor internen als auch vor externen Angriffen. Dabei verhindern sie typischerweise unberechtigte Zugriffe oder hindern Benutzer am Netzwerkzugang. Mit der richtigen Firewall- Implementierung stellen Sie sicher, dass Ihre mobilen Mitarbeiter Zugriff auf wichtige Ressourcen mit einem reibungslosen Datenaustausch haben. So gewährleisten Sie eine hohe Produktivität und sorgen dabei dafür, dass das Netzwerk sicher bleibt. Für unsere Kunden ist es eine echte Herausforderung, Cloud-basierte und Managed Services zu implementieren. Unser Beratungsteam empfiehlt jedem Kunden, zuvor die Richtlinien ihrer Dienstanbieter umfassend zu prüfen. Wir erbringen bereits seit zehn Jahren Dienstleistungen im Bereich Managed Security und uns liegt daran, dass jeder unserer Kunden diesen Rat befolgt. Richard Carty, Netshield 5. Für ALLE sensiblen Informationen VPN, sichere , tragbare Geräte Verschlüsselung und Zertifikate verwenden 6. Für JEDEN Remote-Benutzer starke Authentifizierung verwenden: ein Acht-Zeichen-Passwort, eine starke PIN, ein separates Token. Verschlüsseln Sie alle Daten, besonders auf tragbaren Geräten. Eine alarmierend hohe Zahl an Mitarbeitern missachtet vorhandene Sicherheitsrichtlinien und -verfahren. Eine der größten Bedrohungen geht von der Übertragung vertraulicher Unternehmensinformationen auf USB-Sticks aus: eine Praxis, die 61 Prozent der Mitarbeiter einräumen. Mehr als 43 Prozent der Befragten geben zu, dass sie bereits ein tragbares Datengerät verloren haben oder dass ihnen eines gestohlen wurde. Untersuchung des Ponemon Institute: Trends in Insider Compliance with Data Security Policies Sichern Sie Ihre Daten vor der unsichtbaren Gefahr des Hacking. Ihr Netzwerk ist nur so sicher wie das schwächste Passwort. Konventionelle Passwörter gibt es seit den 1950er Jahren. Sie wurden für weit weniger komplexe Netzwerke und Anwendungen konzipiert. Bei der Zwei-Faktoren-Authentifizierung verwendet derjenige, der auf das Netzwerk zugreifen will, ein Einmalpasswort. Da damit nur eine einmalige Authentifizierung möglich ist, ist einem Hacker nicht geholfen, wenn er das Passwort herausbekommt. Die Verbindung zweier Faktoren, von etwas, das man weiß (eine PIN) und von etwas, das man besitzt (ein Token oder eine Karte mit dem Einmalpasswort), macht der einfachen Preisgabe konventioneller Passwörter ein Ende. 6 7

5 Secure Your World. CRYPTOCard Europe Tel: