Angriffe mit Zugangsdaten aus Youtube-Tutorials?

Krauss vermutet, dass die meisten Tutorials in Testumgebungen erstellt werden. An sensible Daten dürften Angreifende also üblicherweise nicht gelangen. "Fast jeder Dienst hat die Berechtigung, kostenbewährte Services zu nutzen", erklärt Krauss. Hier sieht er die wahrscheinlichste Gefahr: Kriminelle könnten AWS-Services auf Kosten der Cloud-Fachleute auf Youtube nutzen. Denn beim Erstellen eines AWS-Kontos muss bereits eine Kreditkarte hinterlegt werden.

Stellenmarkt

1. BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer
2. Packsize GmbH, Herford

Je nach Art des Nutzerkontos und der Berechtigungen könnten die übernommenen AWS-Dienste auch als Ausgangspunkt für Angriffe verwendet werden. Beispielsweise wären DDoS-Angriffe oder Bot-Netzwerke denkbar, allerdings dürfte Amazon diese Nutzungsweisen, sollten sie im größeren Stil geschehen, erkennen und unterbinden. Kriminelle könnten aber auch schlicht Kryptowährungen schürfen, Schadsoftware oder Command-and-Control-Informationen für Bot-Netzwerke ablegen. Auch das Verschleiern von Angriffen über den Cloud-Dienst (Sprungserver) wäre also denkbar.

Im schlimmsten Fall könnten Angreifende an die Zugangsdaten eines Root-Accounts gelangen, mit dem grundsätzlich alles möglich ist - selbst das Aussperren des Konten-Eigentümers durch eine Passwortänderung. Mit diesem Zugang könnten zudem problemlos weitere Konten und kostenpflichtige Dienste angelegt und gebucht werden, betont Krauss. Beispielsweise könnten Eindringlinge kostenpflichtig Youtube-Tutorials mit Rekognition auswerten, um an weitere Zugangsdaten zu gelangen - auf Kosten des Youtube-Kanals. Dass ein Root-Konto gefunden würde, sei aber eher unrealistisch, meint Krauss.

Ein leicht lösbares Problem

Dabei lässt es sich sehr einfach besser machen: Die angelegten Konten müssten schlicht direkt nach der Präsentation gelöscht werden. "Es macht keinen Sinn, Testumgebungen herumliegen zu lassen - im Gegenteil, es ist sogar gefährlich", warnt Krauss. Noch besser wäre es, die Zugangsdaten erst gar nicht auf dem Bildschirm zu zeigen. Im Fall eines Tutorials oder Vortrages, der nicht live gestreamt wird, sollte das Passwort verpixelt werden.

Die Zwei-Faktor-Authentifizierung, die beim Thema Passwortsicherheit schnell genannt wird, ist hier ausnahmsweise keine Lösung. Denn mit den Zugangsdaten sollen sich meist nicht Menschen, sondern Maschinen bei den Diensten anmelden - einen Menschen TOTP-Codes eintippen oder den Button eines Fido-Sticks drücken zu lassen, wäre hier kontraproduktiv.