Die Snowflake-Angriffe und was wir daraus lernen können
Hackerangriffe auf die Cloud-Datenbank Snowflake erschütterten Anfang Juni die Welt. 1,3 Terabyte Daten von 560 Millionen Nutzern des US-Konzertkartenhändlers Ticketmaster wurden gestohlen. Ein Schock für Unternehmen und Verbraucher.
Anfang Juni sorgte die berüchtigte Hacker-Gruppe ShinyHunters weltweit für Aufsehen. Angeblich soll es ihr gelungen sein, 1,3 Terabyte an Daten von 560 Millionen Nutzern des US-Konzertkarten-Verkäufers Ticketmaster zu plündern. Ein Angriff, der mit rund 500.000 US-Dollar Schaden beziffert wurde und bei dem eine immense Zahl von persönlichen Kundendaten offengelegt werden könnte. Mit dem „Verschenken“ von rund 170.000 Barcodes, aus denen sich angeblich funktionierende Eintrittskarten für Konzerte von Taylor Swift erstellen lassen sollten, erhöhten die Täter nochmals den Druck und legten kürzlich erneut nach: rund 39.000 „Print-at-Home“-Tickets für rund 150 anstehende Konzerte und andere Veranstaltungen wurden veröffentlicht.
Hier zunächst der Fakten-Check: Zwei große Unternehmen hatten bekannt gegeben, Opfer eines Datendiebstahls geworden zu sein. Bei diesem Vorfall wurden nicht autorisierte Aktivitäten in der Cloud-Datenbankumgebung eines Drittanbieters festgestellt. Die Unterlagen enthielten kritische Informationen über Mitarbeiter, eine große Zahl von Kunden und über weitere wichtige geschäftliche Daten.
Die Cloud-Connection
Was die beiden Datensicherheitsverletzungen miteinander verbindet, ist die „Snowflake Data Cloud“, ein cloudbasierter Datenspeicher, den beide Firmen nutzen. Snowflake veröffentlichte gemeinsam mit der CISA eine Stellungnahme, in der auf die „jüngste Zunahme von Cyber-Bedrohungen, die sich gegen Kundenkonten auf seiner Cloud-Datenplattform richten” hingewiesen wird. Das Unternehmen hatte den Benutzern empfohlen, die Datenbankprotokolle auf ungewöhnliche Aktivitäten hin zu überprüfen. Weitere Analysen sollen dazu beitragen, einen unbefugten Zugriff auf Daten zu verhindern.
In einer separaten Mitteilung stellte Snowflake-CISO, Brad Jones, klar, dass das Snowflake-System selbst nicht betroffen sei. Laut Jones „scheint es sich um eine gezielte Kampagne zu handeln, die sich gegen Benutzer mit Single-Faktor-Authentifizierung richtet”. Dabei hätten sich die Angreifer bereits zuvor gestohlene Anmeldedaten zunutze gemacht. Zusätzlich hatte Snowflake seinen Kunden einige weitere Empfehlungen mit auf den Weg gegeben:
- Multi-Faktor-Authentifizierung (MFA) für sämtliche Kundenkonten umzusetzen.
- Netzwerkrichtlinien zu definieren und durchzusetzen, die den Zugriff auf die Cloud-Umgebung nur von vorab festgelegten vertrauenswürdigen Standorten aus zulassen.
- Snowflake-Zugangsdaten zurücksetzen und eine Rotation dieser Daten zu gewährleisten.
Cybersicherheit vereinfachen
Wir neigen dazu, Cybersicherheit zu „romantisieren“ – dabei handelt es sich um eine äußerst anspruchsvolle und komplexe IT-Disziplin. Allerdings haben nicht alle Herausforderungen im Bereich Cybersicherheit den gleichen Stellenwert.
Das machen die von Snowflake empfohlenen Leitlinien deutlich: Multi-Faktor-Authentifizierung (MFA) ist inzwischen ein Muss. Sie ist ein wirksames Instrument gegen eine Reihe von Cyberangriffen, einschließlich von Credential Stuffing. Untersuchungen des Cloud-Sicherheitsunternehmens Mitiga zufolge sind die Vorfälle bei Snowflake Teil einer Kampagne, bei der ein Angreifer gestohlene Kundendaten verwendet, um Firmen anzugreifen, die Snowflake-Datenbanken einsetzen. Laut der Analyse „nutzte der Angreifer hauptsächlich solche Umgebungen aus, in denen auf eine Zwei-Faktor-Authentifizierung verzichtet wurde”. Die Angriffe selbst, gingen in der Regel von kommerziellen VPN-IPs aus.
Richtlinien sind naturgemäß nur so wirksam wie ein Unternehmen in der Lage ist, sie durchzusetzen. Technologien wie Single Sign-on (SSO) und Multi-Faktor-Authentifizierung (MFA) stehen zwar zur Verfügung, werden jedoch längst nicht in allen Umgebungen und von sämtlichen Benutzern konsequent umgesetzt. So sollte es nicht gestattet sein, dass Benutzer sich außerhalb von SSO weiterhin oder optional mit Benutzername und Passwort authentifizieren, um auf Unternehmensressourcen zuzugreifen. Das Gleiche gilt für MFA: Anstelle die Registrierung den Benutzern selbst zu überlassen, sollte MFA für alle Systeme und Umgebungen, obligatorisch sein. Einschließlich von Cloud-Diensten und Drittanbietern.
Alles unter Kontrolle?
„There is no cloud – it’s just someone else’s computer” wie es in einem geflügelten Wort heißt. Und obwohl Unternehmen umfassenden Zugriff auf die Ressourcen dieses Computers haben, ist dieser Zugriff letztendlich nie ganz vollständig – eine inhärente Limitierung des Cloud-Computing. Multi-Tenant-Cloud-Technologien erzielen Skaleneffekte, indem sie einschränken, was ein einzelner Kunde auf diesem „Computer“ tun kann. Eine dieser Optionen ist es, Sicherheitsmaßnahmen zu implementieren.
Ein Beispiel dafür ist die automatische Rotation von Passwörtern. Moderne Tools für das Privileged Access-Management rotieren die Passwörter, nachdem sie verwendet wurden. Dadurch werden sie effektiv zu Einweg-Passwörtern. Dies trägt dazu bei, die Umgebung gegen Angriffe zu immunisieren, bei denen gestohlene Anmeldedaten zum Einsatz kommen. Die Methode greift aber auch bei ausgefeilten Bedrohungen wie Keyloggern, wie sie etwa beim LastPass-Hack verwendet wurden.
Dazu braucht man allerdings eine API, die diese Funktion mittels PAM bereitstellt. Snowflake bietet zwar eine Schnittstelle zur Aktualisierung von Benutzerkennwörtern. Es obliegt aber dem jeweiligen Kunden, diese zu verwenden und die Kennwörter nutzungs- oder zeitbasiert zu ändern. Bei der Auswahl des Hostings für geschäftskritische Daten sollten man darauf achten, dass die neue Plattform die betreffenden APIs für ein privilegiertes Identitätsmanagement bereitstellt – und somit gestattet, die neue Anwendung in den Sicherheitsbereich eines Unternehmens zu integrieren.
Angesichts der aktuellen Bedrohungslandschaft sollten MFA, SSO, Passwortrotation und zentralisierte Protokollierung eine grundlegende Anforderungen sein, die einem Kunden gestatten seine Daten zu schützen.
Nicht-menschliche Identitäten
Ein einzigartiger Aspekt moderner Technologie sind nicht-menschliche Identitäten als Bedrohungsvektoren. Zu solchen nicht-menschlichen Identitäten zählen beispielsweise Robotic-Process-Automation(RPA)-Tools oder Servicekonten für die Ausführung bestimmter Aufgaben in einer Datenbank. Diese Identitäten zu schützen ist alles andere als trivial. Out-of-Band-Mechanismen wie Push-Benachrichtigungen oder TOTP-Token für Servicekonten können zu Reibungsverlusten bei der Automatisierung führen. Nicht-menschliche Konten sind für Angreifer ein wertvolles Ziel, weil sie in der Regel über sehr weitreichende Berechtigungen verfügen, um ihre Aufgaben auszuführen. Der Schutz von Anmeldeinformationen sollte für Sicherheitsteams immer Priorität haben. Snowflake verwendet eine Vielzahl von Servicekonten, um seine Lösung zu betreiben und ist sich der Problematik durchaus bewusst. In einer Reihe von Blogbeiträgen befasst sich das Unternehmen mit dem Schutz dieser Konten und der damit verbundenen Anmeldeinformationen.
Es geht immer um die Kosten
Cyberkriminelle bedienen sich einer denkbar simplen Logik: Sie maximieren ihren Gewinn, indem sie Massenangriffe automatisieren und große Gruppen potenzieller Opfer mit einfachen, aber effektiven Methoden ins Visier nehmen. Angriffe, bei denen Zugangsdaten gestohlen werden, also die Art von Angriffen, die sich auch gegen Snowflake-Kunden richten, sind eine der kostengünstigsten Varianten – das Spam-Äquivalent im Jahr 2024. Angesichts der unglaublich niedrigen Kosten sollten die Attacken eigentlich zu annähernd 100 Prozent ineffektiv sein. Die Tatsache, dass mindestens zwei große Unternehmen eine erhebliche Menge von kritischen Daten verloren haben, zeichnet ein wenig optimistisches Bild vom aktuellen Stand der globalen Cybersicherheit.
Fazit
Wenn man Kontrollmechanismen wie SSO, MFA und regelmäßige Passwortrotation implementiert, kann das die Kosten für groß angelegte Angriffe in unerschwingliche Höhen treiben. Gezielte Angriffe oder nicht gewinnorientierte Bedrohungen wie Advanced Persistent Threats (APTs) lassen sich dadurch zwar nicht komplett abwehren – Massenangriffe aber erfolgreich aushebeln.
Alan Radford ist Global Identity and Access Management Strategist bei One Identity.