{

Tobias Scheible
Autor, Referent & IT-Sicherheitsexperte
Security & Sicherheit

Datum: Dienstag, 14. Mai 2013

Autor: Tobias Scheible

Kommentar(e): 1 Kommentare

Kategorie: Cloud Computing

Tags: Sicherheit, Artikelserie, Security, Angreifer, Angriffe, Cracker, Hacker, Script-Kiddies, Ziele

Teil 5: Sicherheit in der Cloud

Sicherheit ist das zentrale Thema des vierten Teils der Artikelserie “Sicherheit in der Wolke”. Es geht darum, die potentiellen Quellen von Angriffen zu analysieren, um ein entsprechendes Abwehrkonzept zu erstellen.

Sicherheit und Cloud-Computing

Die Sicherheitsmaßnahmen beim Cloud Computing unterscheiden sich nicht grundlegend von den Sicherheitsmaßnahmen bei herkömmlichen IT-Infrastrukturen. Anforderungen, Bedrohungen, Richtlinien und Kontrollen sowie Governance und Compliance sind größtenteils identisch.

Aufgrund der Unterschiede in der gemeinsamen Nutzung, Teilung, Kontrolle und Verwaltung von Ressourcen sind jedoch einige Anpassungen und andere Gewichtungen notwendig. Gerade durch den typischen Charakter von Cloud Computing kann es zu Schwachstellen kommen, da viele Schnittstellen benutzt werden und die Daten auf viele Server oder sogar Anbieter verteilt sind. Dieses System bietet neben den oben genannten Vorteilen auch die Gefahr einer Vielzahl von Angriffspunkten.

Für einen besseren Überblick werden die verschiedenen Angriffsarten in Kategorien unterteilt. So kann von passiven und aktiven sowie von externen und internen Angriffen gesprochen werden.

passive Angriffe

Bei einem passiven Angriff findet kein Eingriff in das Cloud-System statt. Meist erfolgt der Angriff durch das Abfangen der Kommunikation zwischen einem Benutzer und der Cloud. Da durch dieses Vorgehen keine Veränderung am System vollzogen wird, sind diese Angriffe nur sehr schwer zu erkennen. Ein typisches Beispiel für ein derartiges Szenario ist ein Man-in-the-middle-Angriff. Schutz gegen diese Art von Angriffen bietet nur eine durchgängige Verschlüsselung, wobei der Schlüssel außerhalb der Cloud auf einem alternativen Weg ausgehandelt werden sollte.

aktive Angriffe

Bei einem aktiven Angriff greift der Angreifer direkt auf das System zu. Dabei werden zum Beispiel Sicherheitslücken ausgenutzt oder Passwörter per Brut-Force geknackt. Bei dieser Art von Angriff hinterlässt der Angreifer Spuren, durch die der Angriff erkannt und mit denen der Angreifer im besten Fall identifiziert werden kann.

externe Angriffe

Hier wird das Cloud-System von einer unbeteiligten Person von außerhalb angegriffen. Dabei kann man zwischen Hackern, Crackern und Script-Kiddies unterscheiden. Diese unterscheiden sich nach Erfahrungslevel und Motivation. Hacker haben meist ausgeprägt Kenntnisse und versuchen Sicherheitsmechanismen der Systeme zu überwinden. Ihre Motivation ist es mit ihren Fähigkeiten Schwachstellen aufzuzeigen und nicht Systeme anzugreifen. Cracker hingegen haben meist das gleiche Wissensniveau, allerdings handeln sie aus kommerziellen Interessen oder aus emotionalen Gründen, wie zum Beispiel um Rache zu nehmen. Oft erfolgen auch Angriffe um ein System zu kapern und von diesem aus einen verschleierten oder größeren Angriff zu starten. Cracker werden beispielsweise auch von Konkurrenten beauftragt um System zu sabotieren oder Informationen zu stehlen. Script-Kiddies haben dagegen oftmals keine tieferen IT-Fähigkeiten und führen Angriffe mit fertigen Skripten durch. Häufi g kennen sie die verwendeten Funktionen nicht und sind sich der Konsequenzen ihre Handlungen nicht bewusst.

interne Angriffe

Neben den Angriffen von außerhalb, spielen Angriffe aus dem Nutzerfeld, also von internen Personen mit Bezug zum Unternehmen eine zunehmende Rolle. Zu den potentiellen internen Angreifern gehören neben den (ehemaligen) Mitarbeitern auch Praktikanten, externe Mitarbeiter, Kooperationspartner und Mitarbeiter des Cloud-Anbieters.


Im nächsten Teil “Gefahren beim Cloud-Computing” werden die verschiedenen Bereiche vorgestellt, die eine Gefahrenquelle für Cloud-Systeme darstellen können.


Dieser Blogbeitrag ist Teil der Artikelserie “Sicherheit in der Wolke”.
Hier geht es zu den anderen Teilen:

Teil 1: Was ist Cloud-Computing?
Teil 2: Der Weg zur Cloud
Teil 3: Arten und Ebenen von Clouds
Teil 4: Vor- und Nachteile der Cloud
Teil 5: Sicherheit und Cloud-Computing
Teil 6: Gefahren beim Cloud-Computing
Teil 7: Der Konflikt mit dem Datenschutz
Teil 8: Zusammenfassung

  • Artikel teilen:

Über Tobias Scheible

Tobias Scheible

Tobias Scheible arbeitet als wissenschaftlicher Mitarbeiter an der Hochschule Albstadt-Sigmaringen. Dort ist er als Autor und e-Tutor im Masterstudiengang Digitale Forensik tätig und leite im Bachelorstudiengang IT Security Praktika rund um das Thema Informationssicherheit. Darüber hinaus ist er Mitinitiator des Kompetenzzentrums Cyber Security Lab, welches Forschungsprojekte auf dem Gebiet der IT-Sicherheit koordiniert. Zusätzlich hält er Vorträge und Workshops zu aktuellen Themen der IT-Sicherheit.

Alle Blog-Artikel Website Facebook Twitter Xing

Kommentare

Cloud-Artikelserie Teil 3: Arten und Ebenen von Clouds › Cloud Computing Blog

[Als Spam markiert von Antispam Bee | Spamgrund: Lokale Spamdatenbank]
[…] Teil 2: Der Weg zur Cloud Teil 3: Arten und Ebenen von Clouds Teil 4: Vor- und Nachteile der Cloud Teil 5: Sicherheit und Cloud-Computing Teil 6: Gefahren beim Cloud-Computing Teil 7: Der Konflikt mit dem Datenschutz Teil 8: […]

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

nach oben