Schlechte Sicherheit in der Cloud
Das U.S. Cyber Safety Review Board hat im April, einen vernichtenden Bericht veröffentlichte, der Microsoft eindeutig die Schuld für den erfolgreichen Angriff auf Microsoft Exchange Online (Office 365) gab, der im Sommer 2023 unter anderem zum Diebstahl von etwa 60.000 E-Mails des US-Aussenministeriums führte. Der CSRB-Bericht stellte fest, dass der Angriff „vermeidbar war und niemals hätte passieren dürfen und dass die Sicherheitskultur von Microsoft unzureichend war“
Detaillierte Informationen erhält man im Podcast von Security NOW Episode 974
Unser Kommentar dazu:
Viele Cloud Anbieter brüsten sich mit ihrer hohen Sicherheit. Obiges Beispiel beweist, dass dies oft heisse Luft ist und sich die Anbieter mehr um ihren Gewinn kümmern als um die Sicherheit der Kunden.
Unsere Angebote sind deshalb bewusst möglichst unabhängig, oft direkt beim Kunden oder geschützt in einer privaten «Cloud». Wir setzen bei unseren Lösungen immer auf zweistufigen Zugangsschutz. Zum Beispiel:
- auf ein VPN und
- auf das Server-Login
Bei Cloudsystemen ist dies nicht möglich. Die Anbieter müssen und wollen ihre Lösungen direkt im Internet zugänglich machen.
Hacker greifen heute hauptsächlich öffentlich zugängliche Cloudsysteme an, da diese viel lukrativer sind als Inselsysteme. Gelingt es ihnen, eine Cloud zu hacken, haben sie mit einem Schlag Tausende oder Millionen von möglichen Lösegeldzahlern.