Weshalb die Cloud am besten vor IT-Attacken schützt

Schützt die Cloud vor IT-Attacken? Mit drastischen Worten wiesen vergangenes Jahr Achim Berg und Arne Schönbohm auf die verschärfte Bedrohungslage durch Cyberangriffe und den daraus resultierenden Schaden für die deutsche Wirtschaft hin. Der eine, Präsident des Branchenverband der deutschen Informations- und Telekommunikationsbranche (Bitkom e.V.), erklärte bei der von Bitkom Research durchgeführten Studie zur IT-Sicherheit in Unternehmen: „Die Wucht, mit der Ransomware-Angriffe unsere Wirtschaft erschüttern, ist besorgniserregend und trifft Unternehmen aller Branchen und Größen.“ Ein ums andere Mal hat der andere, Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), vor der immer größeren Gefährdung durch Hackerangriffe gewarnt. Bei der Vorstellung des BSI-Lagebericht Ende Oktober 2021 erklärter er: „Im Bereich der Informationssicherheit haben wir – zumindest in Teilbereichen – Alarmstufe Rot. Der neue Lagebericht des BSI zeigt deutlich wie nie: Informationssicherheit ist die Voraussetzung für eine erfolgreiche und nachhaltige Digitalisierung.“

In dem Lagebericht hebt das BSI die Gefährdung durch Schwachstellen bei Microsoft Exchange Servern besonders hervor. Cyberkriminelle haben demnach die technischen Möglichkeiten, diese Schwachstellen gezielt auszunutzen. Als Beispiel nennt das BSI eine im März 2021 geschlossene Lücke, die „sinnbildlich für das Ausmaß der Herausforderung“ stehe. Sinnbildlich wohl deswegen, weil besonders viele deutsche Firmen dieser Attacke zum Opfer gefallen sind – und weil der Umgang zu vieler Unternehmen mit dem Angriff exemplarisch zeigt, was bei der Gefahrenabwehr im Argen liegt.

Vier Sicherheitslücken bei in den Unternehmen betriebenen Microsoft-Exchange-Servern erlaubten offenbar konzertierte Attacken direkt nach Bekanntwerden der Lücke. Dem BSI zufolge „wurden großflächige Versuche beobachtet, verwundbare Exchange-Server aufzuspüren und zu kompromittieren.“ Anfangs lag der Anteil verwundbarer Server bei 98%. Microsoft stellte Patches bereit, um die Lücken zu schließen, und das BSI warnte aktiv und intensiv unter anderem mit dem Ausrufen der zweithöchsten Krisenstufe. Einerseits erfolgreich, weil der hohe Anteil verwundbarer Server von 98% nach zwei Wochen auf unter zehn Prozent gesenkt werden konnte. Die restlichen 10% allerdings waren (und sind vielleicht teilweise noch immer) Wochen und Monate später ungeschützt gegenüber Cyberangriffen mit Schadenswirkung.

Grund dafür ist, dass die von Microsoft bereitgestellten Patches nur dann die Lücken schließen, wenn IT-Mitarbeiter die Patches aufspielen. Reagiert die IT-Abteilung nicht von sich aus, bleibt die Gefährdung bestehen. Noch im Mai waren denn auch immer noch 4.000 Unternehmen ungeschützt, wie viele es aktuell sind, kann nur vermutet werden.

Diese Bedrohung, wie auch andere ähnliche, machte Schlagzeilen, weil sie auf einer komplexen Verkettung von Sicherheitslücken basiert. Sie nutzte mehrere, sogenannte Zero-Day-Schwachstellen aus und verknüpfte sie, um in Unternehmens-Netzwerke und Computersysteme einzudringen und an sensible Informationen zu gelangen. Diese Art von Einbrüchen hat sich beschleunigt. Sie schädigen bei Bekanntwerden nicht nur den Ruf; die Hacker können geistiges Eigentum (IP) stehlen oder vertrauliche Unterlagen eines Unternehmens veröffentlichen. Sie könnten auch in die Identität des Attackierten schlüpfen und falsche Informationen verbreiten. In jeden Fall kostet es viel Geld, die IT-Umgebung wiederherzustellen, wegen der nicht produktiven Ausfallzeit und auch der Kosten für meist beauftragte IT-Spezialisten.

Das in allen Fällen erfolgreich attackierte On-Premises-Modell erweist sich offenbar als machtlos. Um Schutz gegen Zero-Day-Angriffe zu bieten, müssten Unternehmen ihre IT-Systeme täglich überwachen, patchen, aktualisieren und sichern – was, wie eingangs gesehen, oft genug nicht der Fall ist. Für MS Exchange bedeutet das, dass das Unternehmen mit den Microsoft-Updates und insbesondere den Patches auf dem Laufenden bleiben muss. Diese Patches werden vierteljährlich veröffentlicht. Und dann gibt es noch außerordentliche Empfehlungen und Notfall-Updates. Diese müssen aktiv überwacht und implementiert werden.

Abgesehen von diesen Grundlagen ist da noch der Branchentrend namens „Zero Trust“. Dabei muss ein Unternehmen alle Netz-Zugangspunkte überwachen und verteidigen, und zwar nicht nur in Hinblick auf Geräte und Server, sondern auch auf Mitarbeiter. Es gilt, das Benutzerverhalten im Auge zu behalten. Die IT ist auf das Schlimmste vorbereitet in der Annahme, dass jederzeit ein Angriff erfolgen kann. Ein Zero-Trust-Ansatz kann möglicherweise nicht alle Cyberattacken von allen Akteuren verhindern, weil die Angriffe so ausgeklügelt sind. Kein Unternehmen ist hundertprozentig sicher, aber einige von ihnen sind vorbereitet und haben Abwehrpläne ausgearbeitet und halten Personal bereit, das unmittelbar reagieren kann. Allerdings: Keine Maßnahme ist wirklich kugelsicher.

Wenn ein Unternehmen hingegen auf die Cloud setzt und die IT an die Cloud-Betreiber auslagert, kann es das Risiko eines gefährlichen Sicherheitsverstoßes wesentlich vermindern. Die Betreiber der großen Cloud-Infrastrukturen wie Amazon, Microsoft oder Google verfügen über viel mehr Manpower und technische Ressourcen, um auf ausgeklügelte Cyberangriffe zu reagieren und die Daten eines Unternehmens zu verteidigen. Cloud-Service-Provider übernehmen die meiste Arbeit für die Sicherung von Microsoft Exchange: Sie überwachen die Sicherheit, führen automatisiertes Patching durch und kümmern sich um alle Aspekte der Sicherheit. Hier zeigt sich, dass sie resilienter gegen mehrstufige Bedrohungen sind: Die Attacke auf die Exchange Server betraf laut Microsoft nicht die Online-Exchange-Plattform, sondern nur On-Premises-Anwender und -Server.

Bittitan hat als eines der ersten Unternehmen weltweit einen effizienten Weg für die Migration wichtiger Workloads wie Postfächer, Dokumente und mehr von der eigenen IT-Infrastruktur in die Cloud und von Cloud zu Cloud angeboten. „Migrationwiz“ steht als hundertprozentiges SaaS-Tool über eine Website zur Verfügung. Der Kunde wählt aus, wie er die Software verwenden will, und im Hintergrund arbeiten spezielle Tools, und eine Infrastruktur und übernehmen die Migrationsarbeit. Nichts muss dafür installiert werden. Nach der Migration sorgen Experten von Microsoft oder Google dafür, dass der Einsatz von Migrationwiz reibungslos und mit minimalen Ausfallzeiten für Ihre Mitarbeiter erfolgte.

Unternehmen können problemlos Migrationen in Größenordnungen von bis hin zu zehn- oder sogar hunderttausenden von Mailboxen durchführen. Der Grund dafür liegt in den der Cloud inhärenten Vorteilen. Keine On-Premises-Umgebung ist so skalierbar. Auch Berater mit Expertenwissen werden nicht gebraucht. Bittitan ist vor längerer Zeit schon mit seiner gesamten IT in die Cloud migriert und profitiert neben der Skalierbarkeit und der Absicherung durch Microsoft, von der Geschwindigkeit und der Möglichkeit, neue Dienste viel schneller zu implementieren.

Auch wenn sich die IT-Abteilung auf externe Tools wie Exchange Online stützen muss, spielt sie auch in Zukunft eine wichtige Rolle: So kann jetzt ein viel stärkeres Augenmerk auf die Schulung und Sensibilisierung der Anwender legen. Zahlreiche Tools, die von der Cloud bereitgestellt werden und autonom laufen, benötigen dennoch ein gewisses Maß an Anpassung und Überwachung. Wenn ein Unternehmen seinen Exchange-Server außer Betrieb nimmt oder genommen hat, muss die IT weiterhin für Updates gegen Viren, Spam, Phishing & Co. sorgen. Das Management der digitalen Identität eines Unternehmens und seiner Mitarbeiter sowie der Marken- und Domänenschutz kommen hinzu. Auch was die Gesamtsicherheit eines Unternehmens angeht, sind interne IT-Mitarbeiter gefragt: Ihnen obliegt das Management der Cloud, die Schulung der Anwender und auch das Reagieren auf Cloud-basierte Aktionen. Denn hier müssen IT-Mitarbeiter weiterhin eingreifen, eine Komplett-Auslagerung ergibt keinen Sinn.