Ein Ereignis vor mehr als 20 Jahren sollte einen wichtigen Anstoß liefern für die Grundlagen der heutigen Cloud-Sicherheit. Im Juni 2000 warnte die Computerwoche: „Iloveyou-Virus attackiert Windows-Rechner“. Millionen von Nutzern ließen sich vom Betreff „I love you“ blenden und öffneten den virenverseuchten Anhang.
Ein Jahr darauf folgten die Code-Red-Viren und der Nimda-Wurm. Erneut wurden Millionen von Computern weltweit infiziert.
Im Januar 2002 versandte Bill Gates eine E-Mail an alle Microsoft-Mitarbeiter*innen, in der er alle darauf einschwor, dass IT-Sicherheit künftig unabdingbar sein würde. „Diese E-Mail war ein Ereignis für die Industrie“, erzählt Helge Schroda, der 1998 bei Microsoft als Sicherheitsarchitekt gestartet war. „Ich erinnere mich an ein Meeting beim Bitkom. Dort hat ein SAP-Vertreter gesagt, solch eine E-Mail müsste eigentlich jeder CIO eines IT-Konzerns schreiben, inklusive unserer.“ Bis heute hat das US-Magazin Wired diese Mail hier dokumentiert.
Das war der Startschuss für die Trustworthy-Computing-Initiative. Microsoft definierte dann 2004 in seinem Security Development Lifecycle detailliert, wie die eigenen Entwickler*innen in allen Phasen ihrer Arbeit Sicherheit mitdenken müssen.
Damals ahnte noch niemand, welche Wirkung diese Initiative 20 Jahre später entfalten würde. Zu dieser Zeit waren Firmennetze noch fest definierbare örtliche Gebilde, dessen Ein- und Ausgänge von Firewalls streng kontrolliert wurden. Und Mitarbeiter*innen nutzten verschlüsselte Tunnels (VPNs), um gesichert auf Firmenressourcen zuzugreifen.
Täglich im Netz: Angriff und Rückzug werden minutiös geplant
Heute betreiben Unternehmen zahlreiche Instanzen in der Cloud und viele Arbeitsplätze im Home-Office erfordern eine Verbindung zum Internet. Die Cloud ist zu einem zentralen Architekturmodell geworden und macht das Internet zum Firmennetz.
Das ermöglicht es kriminellen Hackern, komplexe Angriffsszenarien zu entwickeln. Zum Beispiel stufen sie Nutzer*innen von Office 365 E5 auf Version E3 herab und schalten so Sicherheitsfunktionen ab. Wie die Computerwoche in ihrem Beitrag „Die gefährlichsten Angriffe auf Microsoft 365“ erläutert. Und CIO beschreibt, wie kreativ Hacker heute darin sind, nach einem Angriff ihre Spuren zu verwischen.
All das zeigt: IT-Topologien sind heute so verteilt, dass traditionelle Sicherheitsarchitekturen nicht mehr greifen. Noch versuchen Unternehmen, mit Security Information and Event Management gegenzusteuern. Klassische SIEM-Lösungen sind jedoch aufwändig und anfällig. Gerade die Einbindung neuer Cloud-Architekturen oder SaaS-Applikationen ist eine Hürde.
Neuer Blickwinkel: Sicherheit hat mit Identitäten zu tun
In dieser Situation braucht IT-Sicherheit eine Neuorientierung, wie die Computerwoche in ihrer IDG-Studie „Cyber Security 2020" erläutert: Das größte Kopfzerbrechen bereiten den Unternehmen die Endpoints. Sie sind von entscheidender Bedeutung, im Homeoffice genauso wie als Zugang zu den Cloud-Services. Daraus folgt: Heute müssen Unternehmen Identitäten schützen.
Zu dieser Einsicht gelangte man bei Microsoft bereits spätestens Ende der 2000er Jahre. „Damals war Microsoft im Umbruch, alles wurde hinterfragt und auf die Cloud-Schiene gesetzt“, berichtet Schroda. Besonderes Augenmerk galt der Sicherheit. Schließlich war der Security Development Lifecycle seit Langem Plicht für alle Microsoft-Produkte.
So sieht IDC den Cybersecurity-Markt
Im Interview erläutert Matthias Zacher von IDC, wie Angreifer heute vorgehen und welche Rolle KI dabei spielt. Sein Tipp: Gehen Sie mit Augenmaß vor.
„Wir haben anders auf Sicherheit geschaut als klassische Sicherheitshersteller, die in Firewalls oder in VPNs gedacht haben“, erzählt Schroda. „Das Netzwerk ist nur ein Transport-Layer und es gilt, viele weitere Layer abzusichern. Die eigentliche Sicherheit hängt an einer Identität.“
Diese Erkenntnis zog zunächst einige Schmerzen nach sich. „Plötzlich hatte eine Firewall wie Forefront Threat Management Gateway nicht mehr die gleiche Relevanz“, erklärt Schroda. Bald wurde Forefront abgekündigt, dessen Entwicklung Schroda lange Zeit begleitet hatte.
Ein zweites Leben: On-Premises-Technologien wandern in die Cloud
Aber nicht alles Know-how ging verloren. „Wir haben einzelne Funktionen und technologische Bestandteile aus Produkten herausgeschnitten und in Azure eingebracht“, berichtet Schroda. Zum Beispiel diente Advanced Thread Analytics als Basis für Microsoft’s heutigen Defender for Identity. Das hilft heute, Identitäten in der gesamten Hybrid Cloud abzusichern und einen klaren Blick darauf zu bekommen, dass keiner im Namen eines anderen unterwegs ist.
„Ein gutes Beispiel, wie On-Premises-Technologien in der Cloud besser funktionieren“, erzählt Schroda. Von Anfang an war gesetzt, dass alle Cloud-Lösungen in Sachen Sicherheit eng verzahnt arbeiten sollten.
Zum Beispiel generieren heute alle Services aus der Microsoft-Cloud eigene Logs, jeder Eintrag stellt ein Signal dar. Diese Logs aus Azure- und Office-365-Services gehen in eine Datensenke hinein, bei Microsoft in Azure Security Center oder Log Analytics Workspace.
Die Cloud stellt Rechen-Power und KI-Tools bereit
„Die Logs werden dann übereinandergelegt und man versucht, daraus zu erkennen, was passiert“, erläutert Schroda, der heute Business Lead Cybersecurity bei Microsoft ist. „Heute sind es nicht mehr nur die Analyst*innen, die kluge Fragen stellen, vieles wird in der Cloud von Machine Learning (ML) und Künstlicher Intelligenz (KI) abgearbeitet und damit automatisiert.“
Dabei liefert die Cloud nicht nur die KI-Tools, sondern auch die Rechen-Power: Für die Logs, die heute anfallen und deren Auswertung, könnte eine typische On-Premises-Infrastruktur nicht die notwendige Rechenkraft bereitstellen.
Die Konsole in Azure Security Center ermittelt daraus einen Secure Score, der aktuelle Schwachstellen aufzeigt und der bewertet, wie erfolgreich einzelne Maßnahmen waren. Auf diese Weise ermöglicht Azure Security Center einen holistischen Blick, wer was wann und wo macht, sobald er sich gegen Azure Active Directory authentifiziert hat.
Cloud verarbeitet auch Signale aus On-Premises-Lösungen
Nahtlos in Azure Security Center integriert ist Azure Defender. Das Modul schützt mit Extended Detection and Response (XDR) gegen Brute-Force-Angriffe und sammelt sämtliche Hybrid Cloud-Workloads ein.
„Ich kenne viele Fälle vom Kunden, die ihre IT-Infrastruktur hybrid gestaltet und Azure Defender angebunden haben“, berichtet Schroda. „Dadurch sind auch die Logs aus den On-Premises-Systemen in Azure Security Center erschienen und sie haben Lücken entdeckt, die ihre existierenden Lösungen nicht angezeigt hatten.“
Parallel werden alle Informationen, die in Log Analytics Workspace gesammelt wurden, auch in Azure Sentinel geteilt. Das neue Cloud-SIEM von Microsoft analysiert diese Daten und liefert intelligente Sicherheitsanalysen für alle Nutzer*innen, Geräte, Anwendungen und Infrastrukturen.
Sentinel ist ein weiterer Bestandteil des mehrschichtigen Verteidigungssystems aus Machine Learning und dienstübergreifendem Information-Sharing, das Microsoft aufgebaut hat. „Damit erreichen wir eine Sichtbarkeit über Signale, die momentan keiner liefert“, resümiert Schroda.
Foto: Microsoft
Wie sich ein Verteidigungssystem in der Cloud bauen lässt
Schroda hat den ganzen Weg verfolgt, wie die Trustworthy-Computing-Initiative vor 20 Jahren den Grundstein gelegt hat und wie das On-Premises-Know-how in einer Cloud-gerechten Art weitergeführt wurden. „Die Cloud bietet Compute-Power, KI-Tools und einen Data-Lake“, sagt Schroda. „Kommen die drei Sachen zusammen mit den besten Ingenieuren und Cyberanalysten, reden wir über zeitgemäße Cybersecurity.“
Er hat miterlebt, wie Microsoft Security-Hersteller geworden ist. Heute sind bei Microsoft über 3500 Entwickler*innen in diesem Bereich tätig und der Konzern investiert jährlich rund eine Milliarde US-Dollar für Forschung und Entwicklung.
„Mit solchen Lösungen muss man als IT-Sicherheitsverantwortliche*r keine große Wissenschaft betreiben“, denkt Schroda. „Man muss seine Hausaufgaben machen. Seine Infrastrukturen Cloud-ready machen und seine verbleibenden Hybrid-Systeme regelmäßig updaten.“
Auch dieser Tage haben wir wieder viel mit Phishing und Ransomware zu tun. Doch heute kann Microsoft E-Mail-Angriffe schnell entdecken und stoppen, wie dieser Blog-Beitrag detailliert beschreibt.
Heute könnten die Mitarbeiter*innen auch auf „I love you“ klicken. Microsoft’s Defender Produkte würden den Angriff detektieren und automatisierte Gegenmaßnahmen (Responses) treffen. Der Schadcode wird isoliert und Nutzerkonten würden temporär gesperrt werden und z.B. erst durch zusätzliche Multi-Faktor-Authentifikations-Abfragen reaktiviert werden können. Diese risikobasierende Zugriffskontrolle stellt zu jedem Zeitpunkt fest, ob Systeme wie Endpoints, Applikationen und ihre Daten oder die Identitäten kompromittiert sind. Nichts und niemandem wird vertraut. Das neue Paradigma in der Cybersecurity heißt deshalb auch „Zero Trust“.
Auf welchem Sicherheitsstand sich die Azure-Plattform aktuell befindet, das vermittelt dieser Webcast.
Alle Artikel aus Sicherheit
Neue Risiken erfordern neue Antworten. Diese Technologien und Konzepte bringen Sie auf den neuesten Stand.