Cloud-Fraud: Wenn aus der Wolke ein Sturm wird

Mit der Digitalisierung und dem Cloud-Computing verändert sich unser Leben und unsere Arbeit rasant. Auch die Risiken verändern sich: Cloud-Fraud ist zu einer Gefahr für Unternehmen sowie Einzelpersonen geworden. Cyberkriminelle nutzen Eigenheiten und Schwachstellen in der Cloud. Aber wie gehen sie dabei vor und wie können wir uns am besten davor schützen? 

Immer mehr Unternehmen und Einzelpersonen setzen auf Cloud-Computing, um ihre Daten, ihre Produkte und Services, Programme und Betriebsgeheimnisse online zu speichern und zu verwalten. Das haben auch Cyberkriminelle verstanden und nutzen die schnell voranschreitende Digitalisierung für ihre Zwecke. Dafür suchen sie nach Schwachstellen und werden immer wieder fündig: Der Branchenverband Bitkom schätzt den Schaden durch Cyberbetrug allein in Deutschland auf über 200 Milliarden Euro im Jahr. Einen steigenden Anteil daran hat auch der sogenannte Cloud-Fraud, eine Betrugsform, die sich die Eigenheiten der Cloud zunutze macht. 

Cloud-Fraud ist ein modernes Phänomen, bei dem Cyberkriminelle sich illegal Zugang bei Cloud-Diensten verschaffen und sie dann für ihre Zwecke nutzen. Die können sehr unterschiedlich ausfallen, häufig nutzen die Angreifer die fremden Server-Kapazitäten fürs Krypto-Mining in die eigene Tasche. Doch lassen sich gekaperte Cloud-Infrastrukturen auch als Tarnung für Distributed-Denial-of-Service (DDoS)-Angriffe nutzen. Oder als Verteiler für Phishing-Mails und Ransomware, auch die Zerstörung und der Diebstahl von Daten gehört dazu. Anders gesagt: Der Schutz von Cloud-Diensten ist essenziel für Unternehmen. Bevor wir zu Schutzmaßnahmen vor solchen Bedrohungen kommen, schauen wir uns an, was bei einem Cloud-Fraud eigentlich passiert. Das lässt sich am besten in fünf Phasen erklären: 

  1. Identitätsdiebstahl: Alles beginnt damit, irgendein Nutzer*innen-Konto zu übernehmen. Das geschieht in der Regel durch Phishing, das Ausnutzen von Sicherheitslücken oder Erraten schwacher Passwörter. Sobald die Kriminellen den Zugang haben, können sie sich in der Cloud-Umgebung bewegen. Wichtig dabei: Auch um großen Schaden anzurichten, benötigen sie keine Administrator*innenrechte. 
  2. Lateral Movement: Angreifer*innen nutzen gern „Lateral Movement“-Techniken, das heißt, sie bewegen sich schrittweise, unauffällig durch das Netzwerk, bis sie ein geeignetes Konto gefunden und übernommen haben, mit dem sich Cloud-Dienste buchen oder starten lassen. Dazu gehören etwa virtuelle Maschinen (VMs), sie zu aktivieren, benötigt lediglich das Recht, neue Ressourcen in ausreichender Menge zuzuweisen. 
  3. Schnelle Skalierung: Auf gutes Timing kommt es an, weshalb die Kriminellen typischerweise an einem Freitagnachmittag, wenn die Wahrscheinlichkeit einer sofortigen Entdeckung geringer ist, per Skript ihre VMs in möglichst vielen verschiedenen Regionen starten. Je mehr, desto besser, denn so erreichen sie möglichst effizient ihre illegalen Ziele: Krypto-Mining, Phishing, DDoS etc. 
  4. Autonomie der VMs: Sobald die VMs laufen, ziehen sich die Betrüger*innen zurück, da die Maschinen ihre Ergebnisse automatisch liefern und keine weitere Interaktion erforderlich ist. Das bedeutet, dass die Angreifer*innen die Vorteile von “Cloudcomputing” verstanden haben und daher in der Regel nicht wiederkehren, sobald der Betrug perfekt eingerichtet ist. Dieser erweist sich als verhältnismäßig „wartungsarm“, „preisgünstig“ und „massentauglich“ in der Durchführung. 
  5. Entdeckung und Rechnung: Der Cloud-Fraud läuft so lange, bis jemand den Betrug bemerkt, was manchmal Tage oder sogar Wochen dauern kann. Etwa bis zum Eingang einer allemal schockierenden Rechnung am Monatsende. Dabei können die tatsächlichen Kosten für die betroffenen Unternehmen und Organisationen in die Hunderttausende oder sogar Millionen Euro gehen. Von den Täter*innen fehlt jede Spur. 

Insgesamt zeigt sich, dass Cloud-Fraud ein ernstzunehmendes, nicht zuletzt kostenträchtiges und existenzgefährdendes Thema für Unternehmen sowie Einzelpersonen darstellt. Die Cloud eröffnet uns viele neue Chancen – sie reichen von hybriden Arbeitsmodellen über kollaboratives Teamwork bis hin zur effizienten IT-Systemen. Aber sie birgt auch Risiken, wenn Unternehmen nicht aufpassen und ihrer Verantwortung zu sorgfältigen Governancemaßnahmen nicht ausreichend nachkommen. Und weil der Cloud-Fraud zumeist mit dem Identitätsdiebstahl beginnt, sollten Unternehmen ihre Mitarbeitenden auch über Phishing- und andere Cyber-Angriffe aufklären. Darüber hinaus sollten nur starke Passwörter für Cloud-Konten und stets die Zwei-Faktor-Authentifizierungen genutzt werden – am besten in Form von „phishing resistenten“ Methoden wie z.B. Windows Hello for Business. 

Was aber können Unternehmen aus IT-Perspektive tun, um die Datenwolke in einem größeren Stil sicher zu machen? Hierzu ein paar wichtige Schritte: 

  1. Software-Updates: Cyberkriminelle nutzen Sicherheitslücken. Deswegen ist entscheidend, die Betriebssysteme und Programme immer auf dem neuesten Stand zu halten. Das lässt sich per automatischer Updateverwaltung einfach lösen. 
  2. Backup, Backup, Backup. Ganz gleich, was bei einem Cyberangriff kaputt- oder verlorengeht: Regelmäßige Backups sind das A und O – die Ausfallbürgschaft fürs Betriebskapitals. Perfekt, wenn sie an einem sicheren Ort gespeichert sind. 
  3. Einlasskontrolle. Wie schon angedeutet ist die wichtigste Maßnahme bei der Verwendung von (dynamischen) Cloud-Diensten, die Identitäten so gut wie möglich zu schützen, mindestens mit einer Phishing Resistenter Multifactor Authentication! 
  4. Rechtemanagement. Mit einer gut eingestellten Role Based Access Control stellen wir sicher, dass jede Rolle nur so viel Rechte hat, wie sie benötigt. Außergewöhnliche Tätigkeiten sollte übers Priviledge Identity Management geregelt werden. 
  5. Lokale Kostenkontrolle. Unternehmen sollten CostcappingMechaniken oder Ausgabenbudgets nutzen. Und weil die gehackt werden könnten, sollten sie noch einen Alert einrichten, der sie bei ungewöhnlichen Veränderungen bei den Ressourcen oder Kosten warnt.
  6. Globale Kostenüberwachung. Weil sich in größeren Unternehmen und entsprechenden großen, also komplexen Cloud-Architekturen die Angereifer*innen gut verstecken können, sollten sie über eine globale Überwachung der Kosten verfügen. 
  7. Einheitliche Verwaltung. Ein einheitliches und dabei skalierbares Steuerungsportal hilft, Geräte, Daten und Identitäten über das ganze Unternehmen hinweg zu sichern. Erst in einer einheitlichen Systemlandschaft ist IT-Security wirklich effizient. 
  8. Governance. Unternehmen sollten verbindliche Regeln schaffen, Leitplanken, eine Cloud-Governance. Hier organisieren sie neben dem Kosten-Management auch die IT-Sicherheit, Ressourcen oder auch geschäftliche Risiken und Compliance-Anforderungen. 

Für mehr Informationen und Links zum Thema Cloudsicherheit empfehlen wir als Startpunkt unser Info-Portal Microsoft Security und den Microsoft Security Blog. 

Ein Beitrag von Stephanus Schulte
Cloud Solution Architect

Portrait Stephanus Schulte

Tags: , ,

Weitere Infos zu diesem Thema

10. April 2024
Besuchen Sie Microsoft auf der Hannover Messe 2024!

Vom 22. bis 26. April findet erneut die weltweit wichtigste Industriemesse in Hannover statt. Auch Microsoft wird dieses Jahr wieder mit mehr als 25 Kunden und Partnerunternehmen auf seinem 1.000 Quadratmeter großen Stand vertreten sein. Ein Schwerpunkt ist dabei der Einsatz von künstlicher Intelligenz in der Industrie und wie Unternehmen die Technologie bereits erfolgreich in der Praxis einsetzen.