Nach Microsoft Azure Hack: Wie lassen sich Risiken bei der Nutzung von Cloud-Diensten minimieren?

Zunächst völlig unbemerkt konnten Hacker auf bis dato sicher geglaubte geschäftliche und private E-Mails in Exchange Online und Outlook.com mehrerer Azure-Cloud-Kunden zugreifen. Erst nach über einem Monat entdeckte eine der betroffenen Organisationen selbst den Missbrauch. Daraufhin beseitigte Microsoft die Angriffsmöglichkeit, informierte per Blog Post die Öffentlichkeit und kündigte eine umfassende Aufklärung des Falles an. Dennoch wirft dieser Vorfall die Frage auf: Was können Nutzer von Cloud-Diensten tun, um ihre Daten angemessen zu schützen?

Microsoft Azure Hack: Was ist passiert?
Etwa 25 US-amerikanische Kunden sollen von dem Hack betroffen sein. Die Angreifer nutzten einen gestohlen Signaturschlüssel. Ein kompromittierter Signaturschlüssel hat weitreichendere Folgen für die Sicherheit als kompromittierte Zugangsdaten einzelner Nutzer, wie sie typischerweise durch Phishing erbeutet werden. Die vertrauenswürdige Prüfung digitaler Identitäten wird durch zuverlässige Verschlüsselungsmechanismen nicht nur geschützt, sondern überhaupt erst möglich. Der technische Ablauf: Die Partei, die sich für einen Datenzugriff authentisieren möchte, weist ihre Identität einem sogenannten Identitätsanbieter gegenüber nach. Dieser Identitätsanbieter prüft und bescheinigt mit seinem Prüfsiegel, dem Signaturschlüssel, den erfolgreichen Nachweis. Woraufhin der angefragte Server, hier Exchange Online und Outlook.com, dann der Partei den gewünschten Zugriff gewähren. Die Hacker konnten mit dem gestohlenen Signaturschlüssel ihre eigenen unlauteren Zugriffe autorisieren. 

Warum ist der Azure Hack so schwerwiegend?
Alle Identitäten, die durch den Identitätsanbieter geprüft werden, können vorgetäuscht werden. Dadurch ist der Zugriff auf alle Ressourcen, die den Identitätsanbieter und dessen Signaturschlüssel anerkennen, möglich. Im vorliegenden Fall, so das Cloud Security Unternehmen Wiz, waren alle Dienste die Microsoft OpenID v2.0 und persönliche Microsoft Konten nutzen, betroffen. Das hat Auswirkungen auf Microsoft Anwendungen wie Outlook, SharePoint, OneDrive, und Teams - aber auch spezifische Unternehmensanwendungen, die eine Anmeldung mit Microsoft unterstützen.

Laut Microsoft ist im konkret vorliegenden Fall die Gefahr gebannt. Microsoft hat den verwendeten Signaturschlüssel für ungültig erklärt. Dieser wird nicht mehr anerkannt. Problematisch bleibt: Nicht Microsoft erkannte die Kompromittierung, sondern eine der betroffenen Organisationen. Neben dem verwendeten Signaturschlüssel gibt es weitere (aktuell: sieben) mit gleicher Funktionalität. Microsoft hat nachvollzogen, wie die Hackergruppe in den Besitz des Signaturschlüssels gekommen ist: eine unglückliche Kombination fehlender Überprüfungen und unwirksamer Einschränkungen. Ob weitere Schlüssel kompromittiert sind, ist bisher nicht bekannt. Es ist für die Zukunft nicht auszuschließen, dass auch solche Schlüssel durch eine ähnlich bedauerliche Verkettung von Umständen in falsche Hände gelangen können.

Wie lässt sich die Cloud Security erhöhen?
Dieses und Beispiele wie der Datenverlust der dänischen Cloudprovider CloudNordic und AzeroCloud zeigen, dass erhebliche Risiken auch bei der Nutzung von Clouddiensten verbleiben. In der Konsequenz empfiehlt es sich darüber nachzudenken, welche Sicherheitsmaßnahmen operativ oder auch strategisch ergänzt werden können und ob z. B. die Kosten eigener redundanter Datensicherungsmaßnahmen, zusätzliche Sicherheits-Auditierungen die Risiken von Unternehmen wirksam reduzieren können. 

Auch im Hinblick auf die Vertragsbedingungen gilt es bei der Auswahl des Cloudanbieters große Sorgfalt walten zu lassen. Etwaige Haftungsrisiken gegenüber Endkunden hinsichtlich des Verlusts ihrer Daten lassen sich ggf. vertraglich auf den Cloudanbieter abwälzen und schon von vornherein dadurch verringern, dass letzterer besonders sorgfältig ausgewählt wird. 

Daneben ist zu beachten, dass bei Verlust personenbezogener Daten Meldepflichten mit kurzen Fristen gegenüber Datenschutzbehörden gelten. Informiert ein Cloudanbieter nicht, nicht rechtzeitig oder unvollständig, kann das zur Versäumnis einer solchen Frist und schließlich zu Bußgeldern führen. Ob ein Cloudanbieter gegenüber seinen Kunden im Hinblick auf solche Bußgelder ganz oder teilweise haftet oder zur Freistellung verpflichtet ist, ergibt sich zum einen aus den jeweiligen Verträgen, zum anderen sind grundsätzlich gesetzliche Ansprüche denkbar, soweit diese nicht gerade vertraglich ausgeschlossen sind. Zudem können Cloudkunden ggf. erhöhte Sorgfaltspflichten bei der Überwachung bzw. Kontrolle des Cloudanbieters treffen, wenn bei diesem bereits sicherheitsrelevante Vorfälle bekannt sind oder wie im Fall Azure erst sehr spät vom Cloudanbieter mitgeteilt werden. Je nach Einzelfall mag ein Anbieterwechsel erforderlich sein. Dies alles hilft aber nicht gegen den Ärger, der durch etwaig abgegriffene sensible Daten wie Geschäftsgeheimnisse, vertrauliche Kommunikation etc. entsteht. 
 
Während der US-Kongress die Untersuchung der Ursachen und notwendiger Schlussfolgerungen vorantreibt, bleiben Reaktionen aus Europa bisher aus. In der Zwischenzeit ist es ratsam, bestehende Verträge mit Cloudanbietern in verschiedener Hinsicht zu prüfen und bei Neuabschluss ein besonderes Augenmerk auf folgende sicherheitsrelevante Punkte zu legen:

• Sind die technischen Sicherheitsmaßnahmen des Anbieters ausreichend und ausreichend vertraglich festgelegt? 
• Wie sind die Pflichten des Cloudanbieters zur Information über sicherheitsrelevante Vorfälle ausgestaltet? 
• Gibt es einseitige oder gegenseitige Mitwirkungspflichten der Parteien bei der Reaktion auf Sicherheitsvorfälle, z.B. auch gegenüber Behörden? 
• Welche Haftungs- und Freistellungsregelungen gelten? 
• Mit welcher Frist kann ein Anbieterwechsel erfolgen und wie ist eine solche Transition geregelt, z.B. im Hinblick auf Mitwirkungspflichten des Anbieters? 

Außerdem sollten Cloudnutzer unabhängig vom Anbieter ein Notfallkonzept haben, damit im Ernstfall strukturiert und überlegt reagiert werden kann. Dem vorgelagert empfiehlt sich in jedem Fall die Schulung von Mitarbeitern im richtigen Umgang mit Daten und der Cloud-Umgebung und soweit sinnvoll möglich, die Verschlüsselung von Daten sowohl in transit als auch in der Cloud. Verschlüsselte Dateien, die per E-Mail versendet werden, bleiben auch bei Abgriff durch Hacker sicher. Obwohl es im vorliegenden Fall nicht geholfen hätte, sollte dennoch als wirkungsvoller Schutz gegen die Entwendung von Zugangsdaten eine Multi-Faktor-Identifizierung Standard sein.

Die Entscheidung für den Weg in die Cloud und die Sorgfalt bei der Auswahl eines Anbieters sind essentiell und mit der Erwartung eines entsprechenden Sicherheitsniveaus verbunden. Wenn aber - wie im vorliegenden Fall –die erforderliche Sicherheit, als Teil des Wertversprechens eines Anbieters, nicht gegeben ist, können die Folgen für Unternehmen existenzielle Ausmaße annehmen. 

Finden Sie jetzt heraus, was das interdisziplinäre Team von Baker Tilly für Ihre Cyber Security und Ihren Datenschutz tun kann.