Cloud Computing

Die unsichtbaren Risiken der Schatten-IT

10.11.2017
Von 
Wolfgang Herrmann ist IT-Fachjournalist und Editorial Lead des Wettbewerbs „CIO des Jahres“. Der langjährige Editorial Manager des CIO-Magazins war unter anderem Deputy Editorial Director der IDG-Publikationen COMPUTERWOCHE und CIO sowie Chefredakteur der Schwesterpublikation TecChannel.

Cloud-Dienste können Türen für Malware öffnen

Unsichere und nicht autorisierte Cloud-Services können zudem Kanäle für Angreifer öffnen. Ein kompromittierter Web-Service etwa ist in der Lage, über ein Update der Client-Software auf einem Firmenrechner Malware einzuschleusen. Genau das passierte dem ukrainischen Anbieter einer Steuersoftware im vergangenen Sommer, berichtet Security-Spezialist Mc Ardle von eSentire.

Die infizierte Applikation installierte die Malware Petya, die daraufhin nicht nur ukrainische Banken attackierte, sondern auch Energieversorger, Regierungsbehörden und Überwachungssysteme des Kernkraftwerks Tschernobyl. Petya breitete sich auf zahlreiche andere Länder aus und sorgte auch in Deutschland für Schlagzeilen.

Über einen kompromittierten Web-Service können Angreifer Malware in die Unternehmens-IT einschleusen.
Über einen kompromittierten Web-Service können Angreifer Malware in die Unternehmens-IT einschleusen.
Foto: Nicescene - shutterstock.com

Die Angreifer nehmen dabei längst nicht nur die großen Cloud-Provider ins Visier, berichtet McArdle. Einige Cloud-Services würden zwar von sehr kleinen Teams betreut, spielten in bestimmten Branchen aber eine wichtige Rolle und würden dort intensiv genutzt. "Ein 50-Mann-Startup kann so einen Services etwa in der AWS-Cloud hosten", so der Experte. "Für Angreifer könnte dieser Service ein sehr attraktives Ziel sein. Das ist keine Theorie, solche Attacken gab es bereits."

Cloud Access Security Broker und Single Sign-on sichern Cloud-Dienste

Zu den gängigsten Methoden, den Cloud-Wildwuchs im Griff zu behalten, gehören Cloud Access Security Broker (CASB) und Single Sign-on-Systeme. In diesem Marktsegment tummeln sich mittlerweile etliche Anbieter, darunter Skyhigh, Netskope, Forcepoint oder Okta. Auch Branchenschwergewichte wie IBM, Microsoft, VMware und Cisco und haben ihr Portfolio um CASB-Lösungen erweitert. In vielen Fällen bieten solche Systeme auch Single-Sign-on-Features oder stellen Nutzerportale bereit, über die Anwender besonders einfach auf Web-Services zugreifen können sollen.

Ein Single-Sign-on-System kann Unternehmen helfen, die Anzahl nicht autorisierter Cloud-Anwendungen zu reduzieren, erläutert Security-Spezialist Holmes: "Wenn Sie sich als neuer Mitarbeiter einloggen und die angebotenen Dienste sehen, könnten Sie etwa feststellen, dass im Unternehmen 'Box' und nicht 'Dropbox' genutzt werden soll."

Von einem zentralisierten Sign-in-System für alle benötigten Cloud-Services profitieren aber auch die Nutzer. Sie müssten sich nicht mehr zahlreiche Passwörter merken oder im schlimmsten Fall dasselbe Passwort für alle Dienste verwenden. Damit könnte auch die Akzeptanz in den Fachabteilungen wachsen.