Cloud und Ransomware – Interview Robert Freudenreich und Christian Olbrich, Secomba

Nach wie vor spaltet die Cloud die Gemüter: Eher ein Risiko für wichtige Daten oder doch ein guter Schutz? Für Robert Freudenreich, CTO von Secomba, und Christian Olbrich, IT-Sicherheitsexperte, ist der Fall klar: Die Cloud kann ein ausgezeichneter Schutz sein – nicht zuletzt bei immer raffinierter ausgeführten Ransomware-Angriffen.

7 Min. Lesezeit
Foto: ©AdobeStock/phloxii

Interview mit Robert Freudenreich und Christian Olbrich, Secomba

Nach wie vor spaltet die Cloud die Gemüter: Eher ein Risiko für wichtige Daten oder doch ein guter Schutz? Für Robert Freudenreich, CTO von Secomba, und Christian Olbrich, IT-Sicherheitsexperte, ist der Fall klar: Die Cloud kann ein ausgezeichneter Schutz sein – nicht zuletzt bei immer raffinierter ausgeführten Ransomware-Angriffen. Damit das reibungslos klappt, mahnen sie jedoch zum bedachten Einsatz der Verschlüsselungstechnologie. Doch was genau kann die Cloud gegen Ransomware ausrichten? Was ist für eine umfassend wirksame Verschlüsselung zu beachten? Im Gespräch mit IT-SICHERHEIT gaben die beiden Security-Spezialisten Auskunft zu diesen und vielen weiteren Fragen.

ITS: Wenn ich richtig informiert bin, gibt es Secomba schon seit 2011. Und Ihr wichtigstes Produkt Boxcryptor bot schon Verschlüsselung für Daten in der Cloud an, bevor Edward Snowden seinerzeit an die Öffentlichkeit getreten ist. Verglichen mit Ihrem Start vor fast elf Jahren, wie hat sich die Cloud-Sicherheit Ihrer Einschätzung nach seitdem entwickelt? Wo sehen Sie Veränderungen?

Robert Freudenreich: Die Nutzergruppen haben sich verschoben. Anfangs kam das Interesse vor allem aus dem privaten Bereich. Inzwischen sorgen sich auch Unternehmen viel mehr um den Schutz und die Sicherheit ihrer Daten. Das liegt zum Teil an der Produktentwicklung. Vor elf Jahren waren viele Produkte, darunter auch Cloud-Speicher, einfach noch nicht für den Unternehmenseinsatz geeignet und deshalb nicht relevant. Aber auch allgemein wird der digitalen Sicherheit mehr Aufmerksamkeit zuteil. An den Bedrohungen selbst hat sich allerdings wenig verändert, Ransomware zum Beispiel ist seit Jahren in Umlauf.

ITS: Ransomware ist ein gutes Stichwort. Wie schätzen Sie die Bedrohungslage für Unternehmen ein, auch im Vergleich zu anderen Angriffsszenarien?

Christian Olbrich: Die Bedrohungslage ist ernst, auch weil Reichweite und Angriffsflächen zunehmen. Ein Grund dafür ist – ganz aktuell – der Zuwachs an Homeoffice. Firmendaten müssen mit nach Hause genommen und auch dort geschützt werden. Diese neuen Angriffsflächen führen außerdem dazu, dass Kriminelle neue Wege ausprobieren. Neben Erpressung durch Datenverschlüsselung nehmen auch der Datendiebstahl und die Drohungen, Daten zu veröffentlichen, zu. Diese Leakware-Angriffe haben zwar noch nicht das Ausmaß anderer Ransomware-Attacken, aber sie kommen immer häufiger vor.

ITS: Was ist Ihre Einschätzung: Warum konzentrieren sich Kriminelle nun verstärkt auf Leakware-Angriffe?

Christian Olbrich: Weil es einfacher ist. Wenn Sie eine neue Schadsoftware in Umlauf bringen möchten, ohne auf bekannte Programme zurückzugreifen, ist eine reine Datenklau-Software einfacher zu erstellen als eine funktionierende Verschlüsselung. Durch das Knacken bekannter Schadprogramme geben wir den Kriminellen immer auch eine Möglichkeit, ihre Schwachstellen zu erkennen und auszubessern. Aber dafür braucht es kryptografisches Know-how. Leakware muss „nur“ an die Daten kommen.

Robert Freudenreich: Man darf nicht vergessen, dass die Verteidigungsmaßnahmen gegen bekannte Schadsoftware besser werden. Cybersicherheit ist ein Katz-und-Maus-Spiel. Kriminelle versuchen da anzugreifen, wo es am einfachsten ist. Wir werden in Zukunft wahrscheinlich mehr Kombinationen aus klassischer Krypto-Ransomware und Leakware sehen. Ein Krypto-Trojaner verschlüsselt erst einmal Ihre Systeme und legt vielleicht den Betrieb lahm. Aber die Veröffentlichung gestohlener Daten kann dafür in der Folge schwere und langfristige Konsequenzen haben. Das Schadenspotenzial ist also ein anderes, und es werden andere Bereiche und Daten betroffen sein.

ITS: Nun werben Sie gezielt für den Einsatz von Cloud-Speichern zum Schutz vor Ransomware-Angriffen. Wie genau kann die Cloud dabei helfen?

Christian Olbrich: Die Cloud ist kein Schutz vor Ransomware selbst, das muss deutlich gesagt werden. Aber sie schützt vor Datenverlust: Der Grundgedanke ist, dass Cloud-Anbieter unveränderliche Backups erstellen. Durch Versionierung lassen sich dann Schäden an Daten quasi „zurückdrehen“.

ITS: Wie genau funktioniert dieses „Zurückdrehen“?

Robert Freudenreich: Versionierung funktioniert durch objektbasierte Speicherung. Einfach gesagt bedeutet das, dass neue Versionen die alten nicht einfach überschreiben. Stattdessen werden sie „obendrauf “ gelegt. Sie können jederzeit einen alten Entwurf tiefer aus dem Stapel wieder herausziehen. Das gilt auch, wenn Ihre Dateien von Ransomware verschlüsselt wurden. Allgemein ist es so, dass die beste Sicherheit gegen Ransomware Backups darstellen. Das gilt ebenso für alle anderen Möglichkeiten, Daten zu verlieren. Und den besten Platz für Backups bietet aktuell die Cloud.

ITS: Gegenüber der Cloud gibt es zum Teil noch immer Vorbehalte. Stellen Cloud-Speicher, also Datenzentren außerhalb der eigenen Kontrolle, nicht eher ein zusätzliches Risiko für die Datensicherheit dar?

Robert Freudenreich: Der Schlüsselbegriff ist hier ganz richtig: Kontrolle. Die Cloud stellt kein zusätzliches Risiko dar, sondern ein anderes. Wenn Sie Daten an einen Cloud-Speicher übertragen, geben Sie natürlich die Kontrolle ab. Kontrolle heißt in diesem Fall: die physischen Daten, das Dokument liegt nicht mehr bei Ihnen auf dem Server. Die Ausfallsicherheit Ihrer Daten ist allerdings in der Cloud meist deutlich größer, als es auf Ihrem eigenen Server der Fall wäre.

Christian Olbrich: Selbstbetriebene Server sind oft weniger gut gesichert als Cloud-Speicher, die ja auf die sichere Verwahrung der Daten spezialisiert sind. Auf Cloud-Daten zuzugreifen ist für Kriminelle deutlich schwerer und damit auch weniger interessant. Aber trotzdem dürfen Sie den schon angesprochenen Kontrollverlust nicht unbedacht lassen. Dagegen müssen Sie selbstverständlich etwas unternehmen, da kommt Verschlüsselung ins Spiel.

ITS: Welche Rolle spielt Verschlüsselung dabei?

Robert Freudenreich: Ende-zu-Ende-Verschlüsselung gibt Ihnen genau die Kontrolle zurück, die Ihnen die Cloud „wegnimmt“. Ab dem Moment der Verschlüsselung bestimmen Sie allein, wer auf Ihre Dokumente und Ordner zugreifen kann. Außerdem reduziert sie die Angriffsfläche für Leakware erheblich. Verschlüsselte Daten können nicht veröffentlicht werden, sie sind also nutzlos. Wer also berechtigte Bedenken bezüglich der Datensicherheit in der Cloud hat, kann diese mit Ende-zu-Ende[1]Verschlüsselung gut überwinden.

Christian Olbrich: Übrigens spricht auch für zusätzliche Verschlüsselung, dass Angreifer immer zwei Zugänge kapern müssten. Das heißt: Auch dann, wenn der Speicher einem Angriff zum Opfer fiele, zum Beispiel durch Phishing, und ihre Zugangsdaten für den Cloud-Speicher kompromittiert wären, bleibt die Verschlüsselung intakt und unberührt. Außerdem kann eine Firma über Zugriffsbeschränkungen in verschlüsselten Cloud-Speichern ganz klar vorgeben, wer auf was Zugriff hat. Wäre also der Zugang einer Person kompromittiert, ist noch nicht das ganze System betroffen. Bei einem eigenen Server sähe das anders aus.

ITS: Verschlüsselung klingt für viele noch immer abschreckend, hört sich nach großem Aufwand und kompliziert an. Ist das tatsächlich so?

Christian Olbrich: Wie kompliziert Verschlüsselung ist, hängt vom Anwendungsbereich ab. Datenverschlüsselung wie die unsere ist sicher und einfach machbar. Komplizierter wird es bei dezentralen Systemen, zum Beispiel E-Mails. Daher kommen viele Vorurteile.

Robert Freudenreich: Wichtig für eine gute Verschlüsselung ist auch Benutzbarkeit. Früher wurde Verschlüsselungssoftware vor allem von Informatikern für Informatiker gemacht und war entsprechend technisch und kompliziert. Heute gibt es genügend Mainstream-kompatible Lösungen, die einfache Nutzbarkeit und gute Sicherheit gewährleisten. Boxcryptor zum Beispiel bietet ein sehr hohes Schutzniveau, die Software ist aber ohne technisches Vorwissen einfach bedienbar und schränkt auch die Funktionen der Cloud nicht grundlegend ein.

ITS: Verschlüsselung kann nur so gut sein wie das Schlüsselmanagement. Kritiker monieren gern, dass die Daten in der Cloud zwar gut geschützt sind, die Schlüssel aber relativ einfach abgreifbar sind. Was sagen Sie dazu?

Christian Olbrich: Sehr viele Cloud-Anbieter machen Werbung damit, dass sie Ihre Daten verschlüsseln. Das reicht von Transportverschlüsselung bis zu Verschlüsselung der ruhenden Daten auf Servern. Nutzer haben hier aber keine Kontrolle, wo und wie die verwendeten Schlüssel gespeichert sind.

Robert Freudenreich: Die Schlüssel müssen so gespeichert sein, dass nur Sie darauf Zugriff haben, wir bezeichnen das als Zero-Knowledge-Verschlüsselung. Bei Boxcryptor sind beispielsweise alle Schlüssel selbst verschlüsselt, noch bevor sie Ihr Gerät verlassen. Nur mit Ihrem Passwort und auf Ihrem Gerät ist die Nutzung der Schlüssel möglich. Das heißt: Selbst wir können Ihre Schlüssel nicht sehen, auch nicht, wenn wir wollten – oder müssten. Wenn Daten Ende-zu-Ende-verschlüsselt werden, aber die dazugehörigen Schlüssel quasi nebenan liegen, ist das natürlich falsch. Das wäre, als ob Sie Ihre Haustüre abschließen und den Schlüssel in den Briefkasten werfen würden.

ITS: Was empfehlen Sie Unternehmen, die einem Wechsel in die Cloud oder Verschlüsselung noch zögerlich gegenüberstehen?

Robert Freudenreich: Nicht warten, bis es zu spät ist. Leider erleben wir es selbst oft, dass Unternehmen erst zu uns kommen, wenn es schon zu spät ist. Überlegen Sie außerdem, was Sie erreichen möchten und informieren Sie sich, welche Lösung Ihnen dabei helfen kann. Ein verschlüsseltes Cloud-Backup ist auf jeden Fall eine gute Investition in die Sicherheit und inzwischen dem eigenen Server klar überlegen.

Christian Olbrich: Mehr Sicherheit steht bei vielen Unternehmen auf der Wunschliste. Das Problem ist aber, dass Sicherheit keinen Gewinn erzielt, darum bleibt sie gern auf der Strecke.

Hier müssen Unternehmen umdenken: Eine Investition in Sicherheit ist eine Versicherung. Sie gewinnen erst dann, wenn sie anders verlieren würden, also im Angriffsfall. Aber Angriffe durch Cyberkriminelle sind eine reale, wachsende Gefahr.

ITS: Vielen Dank für das Gespräch!

Das Gespräch führte Stefan Mutschler für IT-SICHERHEIT

Das Interview erschien in der IT-Sicherheit 2/2022.

Robert Freudenreich

Christian Olbrich

Andere interessante Fachbeiträge

Cloud und Ransomware – Interview Robert Freudenreich und Christian Olbrich, Secomba

Nach wie vor spaltet die Cloud die Gemüter: Eher ein Risiko für wichtige Daten oder doch ein guter Schutz? Für Robert Freudenreich, CTO von Secomba, und Christian Olbrich, IT-Sicherheitsexperte, ist der Fall klar: Die Cloud kann ein ausgezeichneter Schutz sein – nicht zuletzt bei immer raffinierter ausgeführten Ransomware-Angriffen.

IT-Security in der Cloud: Worauf Unternehmen achten sollten

Eine der weltweit größten Studien zur Risikoeinschätzung von Business-Entscheidern weltweit sieht unter den Top-3 Geschäftsrisiken für 2022 die Cybersecurity und das Ausfallen betrieblicher Abläufe.

Noch immer keine Klarheit für Banken nach Schrems II – Wege aus dem Dilemma

Um vor datenschutzrechtlichen Schlupflöchern zu schützen, wurde die Zusammenarbeit von europäischen Banken und US-Cloud-Anbietern nach dem Privacy-Shield-Abkommen 2020 gekippt.