In Zeiten der digitalen Transformation und der immer schneller voranschreitenden Cloud-Adoption wird die Sicherheit von Cloud-Diensten zunehmend zur zentralen Herausforderung für Unternehmen weltweit. Ein aktueller Warnhinweis der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) weist auf gezielte Angriffe auf Commvaults Microsoft Azure-Umgebung hin und offenbart dabei Schwachstellen, die weit über den Einzelfall hinaus Signalwirkung entfalten. Commvault, ein weltweit führender Anbieter von Datensicherungs- und Datenmanagement-Lösungen, nutzt Microsoft Azure, um seinen Kunden cloudbasierte Dienste bereitzustellen. Die nun bekannt gewordenen Angriffe richten sich gegen Anwendungen innerhalb dieser Cloud-Umgebung und zeigen die wachsende Angriffsfläche, die mit SaaS (Software as a Service) verbunden ist. Im Zentrum der Angriffe steht die Ausnutzung von Standardkonfigurationen sowie überprivilegierten Dienstkonten, sogenannte Service Principals, die es Angreifern ermöglichen, geheime Zugangsdaten zu entwenden und sich so Zugang zu sensiblen Daten zu verschaffen.
Die CISA empfiehlt daher ausdrücklich, die Überwachungsmöglichkeiten von Microsoft Entra audit Logs zu intensivieren, um unautorisierte Änderungen oder das Hinzufügen von Berechtigungen an diesen Dienstkonten frühzeitig zu erkennen. Ebenso sollen ungewöhnliche Abweichungen von regulären Anmeldezeiten als potenziell verdächtig eingestuft und entsprechend untersucht werden. Dieses Vorgehen ist Teil eines größeren Musters, das die Rolle von SaaS-Plattformen als Schwachstelle in modernen IT-Umgebungen verdeutlicht. Viele Unternehmen konzentrieren sich oft auf den Schutz von Endpunkten und Endpoint Detection and Response (EDR)-Systemen, vernachlässigen dabei aber die Absicherung der Cloud-Infrastrukturen und der damit verbundenen Ökosysteme von Drittanbieter-Anwendungen. Experten wie Nic Adams, Mitbegründer und CEO von 0rcus, heben hervor, dass diese Vernachlässigung es Angreifern erleichtert, durch Fehlkonfigurationen, zu weitreichende Berechtigungen von Service Principals und unsichere API-Integrationen in die Systeme einzudringen.
Die derzeit üblichen vertrauensbasierten Authentifizierungsmodelle in SaaS-Lösungen sind anfällig für Angriffe, bei denen Standardwerte und Default-Einstellungen gezielt ausgenutzt werden. Dies führt dazu, dass SaaS-Verletzungen oft unentdeckt bleiben, bis externe Stellen wie CISA diese öffentlich machen. Ein weiterer zentraler Aspekt der aktuellen Warnung liegt im Risiko, das durch die Vergabe von Zugängen an Drittparteien entsteht. James Maude, Field CTO bei Beyond Trust, betont, dass während der Zugang von menschlichen Benutzern oftmals gut kontrolliert und verwaltet wird, bei nicht-menschlichen Identitäten, die meist für Maschinenkommunikation benutzt werden, Sicherheitslücken bestehen. Diese sogenannten nicht-menschlichen Identitäten sind oft mit umfangreichen Zugangsrechten ausgestattet, um Daten für Backups, Analysen oder Geschäftsprozesse zu nutzen.
Ihre Überprivilegierung und unzureichende Überwachung machen sie zu besonders attraktiven Zielen für Angreifer. Die aktuelle Entwicklung zeigt, dass Unternehmen ihre Cloud-Sicherheitsstrategien überdenken und insbesondere SaaS-Ökosysteme stärker in den Fokus rücken müssen. Die Herausforderung besteht darin, eine Balance zu finden zwischen effizienten Geschäftsabläufen und der Minimierung von Sicherheitsrisiken. Die Implementierung von Least-Privilege-Prinzipien, regelmäßige Überprüfung von Berechtigungen und eine konsequente Nutzung von Monitoring-Tools wie den Audit-Logs sind dabei entscheidende Maßnahmen. Zudem gewinnen automatisierte Systeme und Künstliche Intelligenz in der Sicherheitsüberwachung zunehmend an Bedeutung, um Anomalien frühzeitig zu erkennen und entsprechend reagieren zu können.
Die aktuelle Warnung von CISA verdeutlicht, dass insbesondere die Konfiguration von Cloud-Dienstkonten ein Schwachpunkt sein kann, der einem gezielten Angriff Tür und Tor öffnet. Unternehmen sollten daher sowohl technologische Maßnahmen ergreifen als auch organisatorische Prozesse schaffen, die diese Risiken reduzieren. Dazu gehört auch eine Schulung der Mitarbeiter im Umgang mit Cloud-Diensten und deren Sicherheitsanforderungen. In vielen Fällen unterstützen Cloud-Anbieter wie Microsoft durch spezifische Sicherheitsfeatures und Compliance-Optionen, die Unternehmen bei der Absicherung ihrer Umgebungen nutzen können. Allerdings bleibt die Verantwortung für die sichere Konfiguration und Verwaltung letztlich beim Nutzer.
Die digitale Landschaft ist von dynamischen Bedrohungen geprägt, die sich schnell verändern und an neue Sicherheitsmechanismen anpassen. Die Angriffe auf Commvaults Azure-Umgebung sind ein Beispiel dafür, wie Cyberkriminelle bestehende Schwächen ausnutzen, um nachhaltig Schaden anzurichten oder sensible Informationen zu stehlen. Für Unternehmen bedeutet das, dass sie sich aktiv und kontinuierlich mit der Sicherheit ihrer Cloud-Infrastrukturen auseinandersetzen müssen, um nicht zur nächsten Zielscheibe zu werden. Die Integration von Cloud-Sicherheit in die gesamtheitliche IT-Sicherheitsstrategie stellt daher einen wichtigen Schritt dar. Die Entwicklung von Sicherheitskonzepten, die nicht nur systemische Schwächen adressieren, sondern auch flexibler auf neue Angriffsarten reagieren können, ist unerlässlich.
Die Sicherung von Zugangsdaten, das Management von Berechtigungen und die Überwachung von Anomalien in Echtzeit sind dabei essenziell. Darüber hinaus rücken Trends wie Zero Trust-Modelle und eine verstärkte Identitäts- und Zugriffsverwaltung immer stärker in den Vordergrund. Im Kontext der vorliegenden Warnung sollten Unternehmen zudem ihre Zusammenarbeit mit Drittanbietern kritisch hinterfragen und prüfen, welche Zugriffsrechte wirklich notwendig sind. Sicherheitsvorfälle in Partnerunternehmen oder in den genutzten SaaS-Anbietern können sich unmittelbar auf die eigene Organisation auswirken. Transparenz, Kommunikation und regelmäßige Audits schaffen hier Vertrauen und reduzieren Risiken.
