[datensicherheit.de, 23.02.2021] Das Amt der Europäischen Union für Geistiges Eigentum (EUIPO) mit Sitz in Alicante, Spanien, meldet, dass in einer neuen Studie des EUIPO und der OECD das Ausmaß analysiert werde, in dem der Containertransport auf dem Seeweg für den Handel von gefälschten Waren missbraucht wird. Aus der Studie geht demnach hervor, „dass der Seeweg nach wie vor ein wichtiger Kanal für den Versand gefälschter Waren ist, wobei die meisten der aus Containern beschlagnahmten gefälschten Waren aus China stammen“.

Gut 80% aller international gehandelten Waren auf dem Seeweg

Über 80 Prozent aller international gehandelten Waren würden auf dem Seeweg befördert. Containerschiffe steigerten die Effizienz und senkten die Kosten des internationalen Handels, könnten aber auch für den Transport gefälschter Waren missbraucht werden.
Beschlagnahmungen von in Containern versandten gefälschten Waren machten zwar einen relativ geringen Anteil an der Gesamtzahl von Beschlagnahmungen aus, dafür aber 56 Prozent des Gesamtwerts der beschlagnahmten Fälschungen.

Die meisten gefälschten Waren in Containern auf dem Seeweg aus China

„Die meisten gefälschten Waren, die in Containern über dem Seeweg transportiert werden, stammen aus China, mit einem Anteil von 79 Prozent des Gesamtwerts der weltweit beschlagnahmten Container, die gefälschte Waren enthalten“, so das EUIPO.
Im Jahr 2016 habe sich der globale Handel mit gefälschten Waren auf 460 Milliarden Euro belaufen, d.h. rund 3,3 Prozent des weltweiten Handels. Auf gefälschte Waren seien 6,8 Prozent der Wareneinfuhren in die EU aus Drittländern entfallen, was einem Wert von 121 Milliarden Euro entsprochen habe.

Studie zum Transport auf dem Seeweg befasst sich mit folgenden Fragen:

• Welche Arten gefälschter Produkte werden in Containerschiffen transportiert?
• Wo werden diese Fälschungen hergestellt?
• Welche sind die geographischen Zielmärkte?
• Welche Einfuhrhäfen werden am häufigsten für Container mit gefälschten Waren genutzt?
• Wie werden Waren in Containerschiffen transportiert, ohne dass sie abgefangen werden können?

Auf dem Seeweg würden alle Arten gefälschter Waren versandt, von hochwertigen elektronischen Geräten über Lederwaren, Bekleidung, Kosmetik, Spielzeug und Spiele bis hin zu pharmazeutischen Erzeugnissen und Geräten.

Hälfte des Gesamtwerts beschlagnahmter gefälschter elektronischer Produkte auf dem Seeweg transportiert

Im Jahr 2016 sei der weltweite Handel mit gefälschten elektronischen und elektrischen Geräten beispielsweise auf 125 Milliarden Euro geschätzt worden. Dies entspreche mehr als 5,6 Prozent des gesamten Handels mit diesen Produkten. Fast die Hälfte (49 %) des Gesamtwerts der beschlagnahmten gefälschten elektronischen Produkte sei auf dem Seeweg transportiert worden.
Zu den im Bericht aufgezeigten Problemen gehöre, dass gefälschte Waren für Zollbeamte oberste Priorität haben müssten und letztere hierfür über Such- und Kontrolltechniken sowie -instrumente verfügen müssten, „die sich besser für die Erkennung von Fälschungen eignen“. Im Laufe der Jahre habe der internationale Handel erheblich zugenommen. Ein unvermeidlicher Nebeneffekt sei die Zunahme des Handels mit gefälschten Waren.

Anstieg des Gesamthandelsvolumens zusätzliche Belastung für den Zoll

Der Anstieg des Gesamthandelsvolumens sowie die zunehmende Kapazität der größten Schiffe stellten eine zusätzliche Belastung für den Zoll dar. Durch Röntgen- oder Gammastrahlen-Scans von Containern könnten bestimmte Arten illegaler Sendungen wie Betäubungsmittel, Waffen oder Wildtiere wirksam entdeckt werden.
Bei gefälschten Waren seien diese Scans jedoch nicht wirksam, und die einzige Möglichkeit, sie zu erkennen, „sind physische Kontrollen“. Indes würden weniger als zwei Prozent der Container physisch kontrolliert, was kriminellen Netzen erhebliche Möglichkeiten biete, diesen kritischen Lieferkettenkanal zu missbrauchen.

Fälschungen aller Art – auf dem Seeweg in Containern oder in kleinen Postsendungen – bekämpfen

„Die aufgrund der ,COVID-19‘-Krise wachsende Besorgnis über gefälschte persönliche Schutzausrüstung und Arzneimittel ebnete den Weg für erhebliche Fortschritte bei der Bekämpfung dieses illegalen Handels“, berichtet Christian Archambeau, Exekutivdirektor des EUIPO.
Es bedürfe gemeinsamer Anstrengungen, um Fälschungen aller Art, auf allen Routen, sei es auf dem Seeweg in Containern oder in kleinen Postsendungen, zu bekämpfen. Fälschungen schadeten dem rechtmäßigen Handel, seien häufig gefährlich und müssten bei der Bekämpfung internationaler Kriminalität erneut zu einer Priorität werden, betont Archambeau.

Home-Office als neue Herausforderung

Von unserem Gastautor Marco Rottigni, Chief Technical Security Officer EMEA, Qualys

[datensicherheit.de, 07.05.2020] Das Schwachstellenmanagement ist und bleibt eine der besten Maßnahmen, um Sicherheit zu gewährleisten. Laut des jüngsten Data Breach Investigations Reports von Verizon waren 2019 nur rund sechs Prozent der Sicherheitsverletzungen auf die Ausnutzung von Schwachstellen zurückzuführen. Effektives Patchen ist also ein einfacher Weg, um zu verhindern, dass Angreifer in IT-Systeme eindringen.

Bild: Qualys

Marco Rottigni, Chief Technical Security Officer EMEA, Qualys

Home-Office als neue Herausforderung

Das Schwachstellenmanagement entwickelt sich allerdings laufend weiter, getrieben von der Implementierung neuer IT-Systeme, aber auch der raschen Zunahme von Home-Office-Szenarien im Gefolge der Coronavirus-Pandemie. Die IT-Sicherheitsteams müssen beim Schwachstellenmanagement heute weit mehr im Blick haben als nur Desktop-Computer und Betriebssysteme. Sie müssen der Tatsache Rechnung tragen, dass ein erheblicher Prozentsatz der Benutzer von zu Hause aus arbeitet, dass immer mehr Cloud-Dienste genutzt werden und Software-Container und IoT-Geräte ins Unternehmensnetz gelangen. Wie können die Sicherheitsteams angesichts all dieser Veränderungen mit der Entwicklung der Schwachstellen Schritt halten?

Mehr Plattformen, mehr Probleme

Eine der größten Veränderungen, mit denen Unternehmen konfrontiert sind, betrifft die Rolle der Software und insbesondere der Container. In einen Software-Container werden alle Elemente verpackt, die zur Ausführung einer Anwendung gebraucht werden – nicht mehr und nicht weniger. Diese verschlankte Methode für das Hosting von Anwendungskomponenten erleichtert es, neue Dienste zu implementieren und – in der Theorie jedenfalls – agile Entwicklungskonzepte zu unterstützen.

Für Container existiert jedoch kein standardmäßiges Security by Design-Modell. Sie müssen anders abgesichert und auf dem neuesten Stand gehalten werden als herkömmlichere Server oder virtuelle Maschinen. Das bedeutet, dass die Sicherheitsteams Container-Hosts, Repositories und Live-Laufzeitumgebungen mehr scannen und überprüfen müssen. Eine Aufgabe, die zeitintensiv werden und die Belastung der Sicherheitsteams erhöhen kann.

Gleichzeitig nutzen Unternehmen verstärkt Cloud-Dienste zur Ausführung ihrer Anwendungen. Diese Implementierungen können sich je nach Bedarf schnell verändern, was das Verfolgen von Cloud-Diensten und Containern erschwert. Herkömmliche Verfahren für Schwachstellenmanagement und Scannen sind für solch kurzlebige Workloads ungeeignet. Stattdessen ist ein kontinuierlicherer Ansatz nötig.

Die dritte große Veränderung ist der Übergang zu mehr Telearbeit. Der große Schub, den COVID-19 in diese Richtung gebracht hat, war zwar nicht vorhersehbar, doch schon seit vielen Jahren gewinnt das mobile Arbeiten an Bedeutung. Die schiere Zahl der Mitarbeiter, die jetzt von zu Hause aus arbeiten, erhöht den Druck auf die IT-Sicherheit, da die verwendeten Geräte künftig eher von ihren Benutzern als von den IT-Teams verwaltet und kontrolliert werden. Ohne entsprechende Planung wird es daher schwieriger werden, die Sicherheitsstandards durchzusetzen und zu gewährleisten, dass Patches tatsächlich auf allen Rechnern und Geräten installiert werden.

Wie sich die Probleme lösen lassen

Um die Herausforderungen durch Schwachstellen bewältigen zu können, müssen Sie Ihre Sicherheitsprozesse Schritt für Schritt vereinfachen. Der erste Schritt besteht darin, sich besseren Überblick über alle vorhandenen Plattformen und Assets zu verschaffen. Dazu zählen herkömmliche IT-Ressourcen wie Endpunkte und Server, verbundene Geräte im Netzwerk, aber auch Cloud- und Container-Implementierungen. Um diese Übersicht zu gewinnen, benötigen Sie eine Kombination aus passiven Netzwerk-Scans, Agenten, die auf den Geräten installiert werden, sowie Container-Scans.

Wenn Sie diese erste Inventarisierung abgeschlossen haben, müssen Sie dafür sorgen, dass sie laufend weitergeführt wird. All die verschiedenen Gruppen von Assets müssen verfolgt und ihre Daten auf dem neuesten Stand gehalten werden, gleich, wie schnell sie sich verändern. Im Endeffekt muss jetzt kontinuierlich auf Schwachstellen gescannt werden, da ständig Änderungen auftreten können. Auf diese Weise sollten sich sowohl Probleme bei kurzlebigen Assets aufdecken lassen als auch solche bei kritischen Ressourcen wie Betriebstechnik oder industriellen Steuersystemen, bei denen Änderungen sehr selten sind. Gleich, welche Assets Ihr Unternehmen im Einsatz hat – diese Daten sollten Ihnen zeigen, welche Risiken bestehen und welche Prioritäten Sie setzen müssen.

Anschließend können Sie diese Daten in Ihren Prozessen und Arbeitsabläufen besser nutzen. Sie können nicht nur einen konkreten Ansatz zur Priorisierung von Risiken entwickeln, sondern die Daten auch verwenden, um verschiedene Teams im Unternehmen über Änderungen und deren Auswirkungen zu informieren. Wenn Sie dies in standardisierte Arbeitsabläufe integrieren, können Sie einige der Schritte automatisieren, für die sonst die Sicherheitsmitarbeiter Zeit aufwenden müssten. Zudem können Sie überlegen, wie Sie diese Informationen an andere Abteilungen weiterleiten können, etwa an die Software-Entwickler, indem Sie die Daten aus den Schwachstellenscans auch in deren Tools und Workflows einbetten.

Und schließlich müssen die Veränderungen im Schwachstellenmanagement in die Arbeitsabläufe vieler Teams einfließen, nicht nur die der Sicherheit. Es ist schwieriger, Änderungen tatsächlich umzusetzen, wenn sie nur für eine Abteilung relevant sind. Den Mitarbeitern, die an der Software-Entwicklung beteiligt sind, kann es helfen, wenn sie leichter On-Demand-Scans durchführen können. So können die Entwickler potenzielle Probleme selbst feststellen, statt auf die Berichte des Sicherheitsteams angewiesen zu sein. Im Idealfall wird diese Aktivität automatisiert und standardmäßig in der Continuous Integration/Continuous Deployment-Pipeline verankert, indem Scan-Tools über APIs eingebunden werden.

Die Zukunft sichern

Um das Schwachstellenmanagement auf diese Weise zu verändern, bedarf es eines deutlich anderen Arbeitsablaufs und einer ganz neuen Denkweise. Statt statische, einzelne Scans durchzuführen, um Probleme aufzeigen zu lassen, werden Schwachstellen laufend entdeckt, priorisiert und behoben. Das bedeutet: Isolierte Aktivitäten werden ersetzt durch eine fortlaufende Anforderung, die sich weiterentwickelt und niemals als „erledigt“ betrachtet werden kann. Dadurch entsteht ein anderer Druck auf das Team. Es empfiehlt sich deshalb, eine neue Metrik zu entwickeln, um die Erfolge bei der Problembehebung zu verfolgen.

Ein Blick auf Ihre Time to Remediate (Zeit zur Behebung, TTR) kann hier hilfreich sein. Mit der TTR sollten Sie nachvollziehen können, wie gut Sie Probleme bewältigen – gleich, ob es sich um einfache Patches handelt oder um komplexere Projekte, die mehrere Anwendungen betreffen. Bei Anwendungen, bei denen sich ein Problem nicht beheben lässt, sollten Sie sicherstellen, dass die kompensierenden Kontrollen regelmäßig getestet und aktualisiert werden. Wenn dafür ein Dashboard oder eine Visualisierung zur Verfügung steht, können Sie leichter verfolgen, wie gut Ihr Team reagiert. Zugleich kann Ihr Team auf diese Weise zeigen, dass es seine Leistung verbessert.

Wenn Sie Ihre Sicherheit erhöhen und Schwachstellen effektiv bewältigen möchten, müssen Sie sich weiterentwickeln und nach vorn bewegen. Die Zahl der Sicherheitslücken nimmt von Jahr zu Jahr zu: Laut der US National Vulnerability Database stieg sie von 18.153 im Jahr 2018 auf 18.938 in 2019, und wenn mit der gleichen Geschwindigkeit Schwachstellen offengelegt werden wie bisher, wird dieses Jahr die Marke von 20.000 überschritten. Es ist unmöglich, all diese kumulativen Probleme manuell nachzuverfolgen. Um mit den Veränderungen Schritt zu halten, muss kontinuierlich gescannt werden. Wir müssen über das Schwachstellenmanagement hinaus- und zu einer fortgeschritteneren Problembehebung übergehen. Nur wenn wir klarer erkennen, wo wir stehen, können wir uns laufend verbessern.

Weitere Informationen zum Thema:

Qualys, Inc.
Information Security and Compliance

datensicherheit.de, 06.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

datensicherheit.de, 01.05.2020
Salt: Sehr kritische Schwachstellen entdeckt

datensicherheit.de, 26.06.2020
Digitale Transformation: Durchblick bei den Kunden, Blindheit in der IT

Veränderungen stellen IT-Sicherheritsteams vor Herausforderungen

Von unserem Gastautor Marco Rottigni, CTSO bei Qualys

[datensicherheit.de, 20.02.2019] Container werden zur Bereitstellung von Anwendungen immer beliebter. Ob Kubernetes- oder Docker-gestützt: Container erleichtern es, Anwendungskomponenten auszuliefern und in öffentlichen oder hybriden Cloud-Umgebungen zu betreiben. Sie bieten eine Möglichkeit, Mikroservice-Komponenten von der zugrundeliegenden Hardware oder Cloud-Lösung zu abstrahieren, was unter anderem dazu beiträgt, Lock-in-Effekte zu vermeiden. Für Ihr IT-Sicherheitsteam bringt der Wechsel zu Containern jedoch einige Veränderungen mit sich.

Genau wie die traditionelle IT-Infrastruktur müssen auch Container verstanden und verwaltet werden. Ohne entsprechende Erkenntnisse ist es schwierig, die Images auf dem neuesten Stand zu halten und ihre Sicherheit zu gewährleisten. Wie ist aber nun möglich pragmatisch an Container, ihre Sicherheit und Nachverfolgung heranzugehen?

Bild: Qualys

Marco Rottigni, CTSO bei Qualys

Container finden

Als Erstes sollte überprüft werden, ob innerhalb des Unternehmens Containertechnologien genutzt werden und wenn ja, wo sie sich befinden. Das mag einfach klingen, doch Entwicklerteams können leicht eigene Anwendungen in der Cloud erstellen und ausführen, ohne von Anfang an andere IT-Teams mit einzubeziehen. Es lohnt sich auch herauszufinden, wie viele Implementierungen im gesamten Unternehmen existieren und für welche Zwecke sie genutzt werden.

Wenn Container gefunden werden, ist es wichtig zu prüfen, welcher Anteil des gesamten Softwareentwicklungsprozesses auf diesem Ansatz basiert. Die Arbeitsweisen in der Entwicklung wirken sich oft auf das gesamte Unternehmen aus – wenn also Projekte anfänglich in Containern entwickelt werden, dann werden die Test-, Qualitätssicherungs- und Produktionsinstanzen im Laufe der Zeit auch in Container wandern. Dies kann dazu führen, dass zahlreiche Plattformen und Instanzen parallel genutzt werden.

Um die Kontrolle zu behalten, sollten festgestellt werden, wie gut die Sicht auf die verschiedenen IT-Ressourcen derzeit ist. Auf diese Weise sieht man, wo bereits ein guter Überblick herrscht und wo zusätzliche Daten benötigt werden. Außerdem kann so leichter demonstriert werden, wie die Transparenz in der IT im Laufe der Zeit verbessert werden kann.

Werden Lücken festgestellt haben, ist es notwendig die Art von Informationen zu ermitteln, die fehlen. Bei Containern kann es schwierig sein, Daten zu den genutzten Images zu gewinnen, wenn nicht vorausgedacht wurde. Zeigt sich beispielsweise, dass Container in einem Cloud-Service bereitgestellt werden, woher soll dann bekannt sein, wie viele einzelne Images gleichzeitig ausgeführt werden?

Um diese Daten zu erhalten, müssen in jeden entwickelten Standard-Container Agenten eingebettet sein. Werden diese Sensoren in jedes einzelne Container-Image eingebunden, kann jeder Container automatisch Statusdaten zurückmelden. So herrscht Klarheit darüber, wie viele Images genutzt werden, welche Softwarepakete in der Laufzeitumgebung enthalten sind und ob diese Pakete auf dem neuesten Stand sind.

Kontinuität erforderlich

Bei all dem ist jedoch Kontinuität gefordert. Da Container nach Bedarf automatisch erstellt und entfernt werden können, müssen die containerisierten Anwendungen während ihres gesamten Lebenszyklus laufend bewertet und geschützt werden: von der Erstellung der Anwendungen über den Zeitpunkt, an dem sie in Images verpackt und an die Container-Registry gesendet werden, bis hin zur Bereitstellung der Images als laufende Anwendungscontainer-Instanzen.

Dieser Ansatz muss die Bewertung und Richtliniendurchsetzung für alle beweglichen Komponenten in den verwendeten Containern umfassen. Er muss sich also sowohl auf den Infrastruktur-Stack des Containers erstrecken als auch auf den gesamten Lebenszyklus einer containerisierten Anwendung. Diese beiden Bereiche – Stack und Lebenszyklus – müssen exakt aufeinander abgestimmt werden. Und noch wichtiger: Die hier gewonnenen Informationen sollten mit den Daten zu den herkömmlichen IT-Assets zusammengefasst werden. So kann eine Priorisierung aller anstehenden Probleme stattfinden – unabhängig davon, wo sie bestehen.

Prozesse schützen, nicht nur Technologien

Container werden häufig im Rahmen agiler Entwicklungs- und DevOps-Prozesse eingesetzt. Sollte festgestellt werden, dass die Teams mit Containern arbeiten, sollte auch die breitere CI/CD (Continuous Integration/Continuous Deployment)-Pipeline in Augenschein genommen werden, in der ebenfalls eine Verwendung von Containern stattfindet. Mithilfe von CI kann die Softwareentwicklung in kleinere, überschaubarere Aufgaben untergliedert werden, die sich schnell umsetzen lassen. CD wiederum ermöglicht es, die Entwicklungsprojekte zu testen und in die Produktion zu bringen.

Damit CI/CD-Implementierungen effektiv sind, müssen diese Dienste automatisiert und integriert werden. Auf diese Weise können die Entwickler ihre neuen Softwareprojekte schnell testen und in die Produktion überführen. Weitere Integrationen mit Cloud-Diensten können den Entwicklern und Betriebsteams helfen, Implementierungen gemeinsam automatisch zu skalieren, um dem aktuellen Bedarf zu entsprechen. Tools wie Jenkins, CircleCI oder Travis CI können zur Beschleunigung dieser Prozesse beitragen, automatisieren aber nur die Schritte, die Sie einbeziehen.

Für Sicherheitsexperten, die sich mit dem Schutz von Containern beschäftigen, reicht es nicht, einfach zu sagen, dass die Sicherheit von Anfang an berücksichtigt werden sollte. Stattdessen müssen sie untersuchen, wie Sicherheitsmaßnahmen während des gesamten DevOps-Lebenszyklus einen Mehrwert für die Entwickler schaffen und dem Sicherheitsteam alle notwendigen Daten zum Status von IT-Ressourcen und Infrastrukturen zur Verfügung stellen können.

So kann den Entwicklern beispielsweise geholfen werden, indem die Möglichkeit geboten wird, selbst Tests auf potenzielle Sicherheitslücken in Softwarekomponenten oder -bibliotheken durchzuführen. Diese Aufgabe kann als Teil der Entwicklungs-Workflows automatisiert werden; alle entdeckten Probleme können automatisch in die Bugtracking-Software aufgenommen und dann behoben werden. Die Meldung von Sicherheitsproblemen, die beim Scannen von Anwendungen oder bei der Überprüfung von Container-Images entdeckt wurden, kann auf diese Weise „entpolitisiert“ werden. Dies wird allen deutlich machen, dass das Sicherheitsteam den Softwareentwicklungsprozess vereinfachen möchte.

Wenn Teams Container verwenden, muss dieser Scanprozess alle Orte abdecken, an denen Images existieren können. Dazu zählen alle Software-Assets, die in den Containern verwendet werden, alle Container-Images, die in der unternehmenseigenen Bibliothek gespeichert sind, alle Container-Images, die aus öffentlichen Bibliotheken bezogen werden, und die Container selbst, wenn sie ausgeführt werden.

Mithilfe dieser Informationen können die Entwickler besser erkennen, wo sie in ihren Containern Probleme beheben müssen – und es wird sichtbar, wo die Sicherheitsrisiken liegen. Die Mitwirkung am Erkennungsprozess kann den Entwicklern helfen, selbst Verantwortung dafür zu übernehmen und Risiken leichter zu minimieren. Und was noch wichtiger ist: Diese Informationen können im Kontext anderer Plattformen und Infrastrukturen erhalten werden.

Nutzt man in diesem Zusammenhang einen fortschrittlichen Asset-Management-Service, wird von Anfang an für Container-native Übersicht und Sicherheit gesorgt. Dieser Prozess muss sich auch nahtlos in die bestehende CI/CD-Pipeline des Unternehmens integrieren lassen, damit jeder Container richtig verwaltet und protokolliert wird. Und schließlich sollte das Asset-Management auch die Überwachung aller Container zur Laufzeit umfassen, damit jede Änderung an einem Image selbst aufgezeigt werden kann.

Um Daten schützen zu können, müssen die IT-Sicherheitsteams Einblick in den Status sämtlicher IT-Ressourcen des Unternehmens gewinnen – ob es sich nun um herkömmliche physische Server oder Endpunkte im Firmennetzwerk handelt oder um neue Anwendungen, die in Containern in einer Public Cloud bereitgestellt werden. Ohne diese Informationen über sämtliche Vorgänge können potenzielle Risiken leicht übersehen werden. Angesichts der Veränderungen, die Container für die Entwicklung und Nutzung von Anwendungen bringen, ist es jedoch wichtig, einen pragmatischeren Ansatz zu verfolgen, um diese Daten überhaupt zu erhalten. Werden diese Veränderungen in der Softwareentwicklung verstanden, kann man die Sicherheit frühzeitig in den Prozess einbinden. Und zugleich kann durch die Zentralisierung der Asset-Daten besser entschieden werden, wo Sicherheitsressourcen vorrangig eingesetzt werden sollten.

Weitere Informatione zum Thema:

datensicherheit.de, 06.11.2018
Endpoint-Security – eine Bilanz

datensicherheit.de, 18.10.2018
IT-Sicherheitsstrategie: Datenverschlüsselung in der Cloud wird wichtiges Kriterium

datensicherheit.de, 17.09.2018
Lacework: Tausende ungeschützte Containerverwaltungen entdeckt

PSW GROUP rät zur Multi-Faktor-Authentifizierung und Verschlüsselung via TLS

[datensicherheit.de, 17.09.2018] Das Sicherheitsunternehmen Lacework stieß im Internet auf über 22.000 öffentlich zugängliche Managementoberflächen zur Verwaltung von Containern, die vorrangig zum Open-Source-System Kubernetes gehören. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam: „Das hätte Unbefugten die Möglichkeit eines kompletten Zugriffs auf die Containerverwaltung spendiert. Via API und User Interface wäre Angreifern schlimmstenfalls sogar eine Remote Code Execution möglich“, verdeutlicht Geschäftsführer Christian Heutger die Tragweite der Entdeckung.

Unternehmen müssen heutzutage immer schneller neue Anwendungen, Erweiterungen und Updates auf den Markt bringen. Dazu bedienen sie sich so genannter Microservices. Deren „Verpackung“ wird als Container bezeichnet. Ein Container enthält neben der eigentlichen Anwendung alle Abhängigkeiten wie Bibliotheken und Konfigurationsdateien. „Wer viele Container betreibt, braucht aber auch eine komfortable Verwaltung. Eines dieser Verwaltungssysteme ist Kubernetes, das die Bereitstellung, Verwaltung und Skalierung von Container-basierten Anwendungen automatisiert. Es erfreut sich insbesondere bei Entwicklern, CTOs und IT-Architekten großer Beliebtheit. Typisch für die Kubernetes-Plattform ist eine Web-Oberfläche, die mittels Public Cloud über öffentliche IP-Adressen zu erreichen ist. Laut Lacework sind nun also rund 22.000 dieser Managementoberflächen öffentlich zugänglich“, erklärt Heutger die Hintergründe.

Wenngleich laut Lacework die Mehrheit aller Zugänge mithilfe von Login-Daten geschützt war, standen doch 305 der aufgespürten Cluster offen. „Sie waren also entweder nicht durch ein Passwort geschützt oder aber sie befanden sich gerade im Setup-Prozess. Unter anderem gehörten dazu auch 38 Server für Containerumgebungen des Health-Check-Dienstes Healthz, zu denen Zugriff ohne Zugangsdaten möglich war“, so Heutger.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP,

Das Ausmaß wird deutlich bei einem Blick auf die von Lacework veröffentlichten Zahlen: 95 Prozent der aufgespürten Management-Oberflächen werden bei Amazons Web Services (AWS) gehostet. Knappe 80 Prozent der Oberflächen gehören zu Kubernetes, die restlichen 20 Prozent zu Swarmpit und Docker Swarm. Weitere Oberflächen waren von Swagger API, Red Hats Openshift und Mesos Marathon erreichbar. Mehr als die Hälfte der offenen User Interfaces (UI) werden in den USA gehostet, es folgen Irland, Australien, Deutschland, Singapur sowie Großbritannien.

Dabei sind es nicht ausschließlich die ungeschützten Interfaces, die problematisch sind. Auch bei den mit Zugangsdaten geschützten Managementoberflächen ist die Angriffsfläche hoch: „Cyberkriminelle könnten Sicherheitslücken ausnutzen, auf Zertifikate zugreifen oder Dictionary- sowie Brute-Force-Angriffe starten. Aus diesem Grund empfiehlt sogar Kubernetes-Initiator Google, das Kubernetes-UI zu deaktivieren“, ergänzt Heutger. Für einen sicheren Umgang mit Containerverwaltungen sind deshalb nach Meinung des IT-Sicherheitsexperten sowohl eine Multi-Faktor-Authentifizierung, als auch das Regulieren des Zugangs von UI- und API-Ports empfehlenswert. „Aber auch ein so genannter Bastion Host und eine sichere Verschlüsselung via TLS und valide Zertifikate helfen“, so Heutger.

Weitere Informationen zum Thema:

PSW GROUP
Schock: Lacework entdeckt tausende ungeschützte Containerverwaltungen

datensicherheit.de, 16.09.2018
Europas Unternehmen mit Nachholbedarf im Bereich Cloudsicherheit

datensicherheit.de, 06.09.2018
Mehr Vertraulichkeit im Internet durch DNS über HTTPS