Cyberkriminelle nutzen zunehmend AWS-Fehlkonfigurationen, um Phishing-Kampagnen über Amazon Simple Email Service (SES) und WorkMail zu starten. Dabei handelt es sich nicht um eine Schwachstelle von AWS selbst, sondern um Fehler innerhalb der Konfigurations- und Sicherheitsrichtlinien von Unternehmen. Das perfide daran: Die Angriffe haben den Anschein, von einer vertrauenswürdigen Quelle auszugehen, da die Mails über legitime, aber kompromittierte AWS-Zugänge versendet werden.
Für CEOs, CIOs und CISOs bedeutet dies eine neue Dimension der Bedrohung: **Ihre eigene IT-Infrastruktur kann zur Waffe gegen ihre Partner, Kunden oder sogar interne Teams werden.** Wer heute noch denkt, dass Cloud-Sicherheitskonfigurationen eine rein technische Detailfrage sind, der riskiert nicht nur Datenverluste, sondern auch erhebliche Reputationsschäden und regulatorische Strafen.
Die jüngsten Angriffswellen zeigen ein wiederkehrendes Muster: Kriminelle, in diesem Fall eine Gruppe namens JavaGhost, erkaufen sich keinen Zugang und knacken keine Passwörter, sondern nutzen ungesicherte AWS-Zugangsdaten, die Unternehmen selbst ungeschützt gelassen haben.
Diese Zugangsdaten – in Form von “Identity and Access Management” (IAM) Schlüsseln – gelangen oft durch Fehlkonfigurationen in Entwicklungsumgebungen oder schlecht gesicherte Repositorys an die Öffentlichkeit. JavaGhost nutzt diese Daten, um sich mit legitimen AWS-Konten zu verbinden und dort Phishing-Infrastrukturen aufzubauen.
1. AWS-Zugangsdaten werden ungesichert gefunden: Sei es durch öffentlich zugängliche Umgebungsvariablen, geleakte Konfigurationsdateien oder fahrlässig genutzte Zugangsschlüssel.
2. Angreifer generieren temporäre AWS-Zugangsdaten: Mit diesen erhalten sie kurzfristigen Zugang zum betroffenen Konto.
3. SES und WorkMail werden für Phishing-Kampagnen genutzt: Die Opfer erhalten täuschend echte E-Mails von scheinbar autorisierten Absendern.
4. Datenklau oder Manipulation: Durch bösartige Links oder Anhänge verschaffen sich die Angreifer Zugang zu weiteren Systemen.
Ein Kernproblem hierbei: Da SES und WorkMail direkt von AWS-Servern aus arbeiten, umgehen sie viele klassische E-Mail-Sicherheitsmaßnahmen wie SPF-, DKIM- oder DMARC-Prüfungen. Das bedeutet, dass selbst gut geschützte Unternehmen von diesen Phishing-Versuchen betroffen sein können.
Viele Unternehmen verlassen sich nach wie vor auf klassische Schutzmechanismen wie Firewalls und E-Mail-Gateways. Doch bei Cloud-Diensten wie AWS greifen diese Maßnahmen nicht effektiv.
Folgende Gründe tragen dazu bei:
Cloud-Umgebungen sind dynamisch:
Unternehmen passen ihre Infrastruktur, Zugangsdaten und Berechtigungen oft kurzfristig an. Fehlkonfigurationen entstehen dabei zwangsläufig – bleiben aber oft unbemerkt.
Sicherheitsteams unterschätzen interne Risiken:
Auch wenn Unternehmen eine solide äußerliche Verteidigung haben, bleibt die größte Schwachstelle oft intern: Fehlkonfigurationen, menschliche Fehler und mangelndes Monitoring.
Vertrauensfaktor durch AWS:
Da die Phishing-Mails von Amazon-Servern gesendet werden, wirken sie auf Mail-Filter unverdächtig und landen oft direkt im Posteingang.
Für Unternehmen, die von solchen Angriffen betroffen sind – sei es als direkte Opfer oder als unwissentliche Mittäter durch kompromittierte AWS-Konten – können die Auswirkungen verheerend sein:
Finanzielle Schäden und Betriebsausfälle
Phishing ermöglicht oft die Schädigung übergreifender Systeme, was zu Produktionsausfällen und betrieblichen Störungen führen kann.
Reputationsverlust
Wenn ein Unternehmen durch seine eigene Infrastruktur Phishing-Angriffe ermöglicht, leidet das Vertrauen von Kunden, Partnern und Investoren.
Regulatorische Konsequenzen und Strafen
Datenschutzbehörden wie die DSGVO oder das BSI könnten Unternehmen zur Rechenschaft ziehen, wenn fahrlässiger Umgang mit sensiblen Daten nachgewiesen wird.
Unternehmen können nicht auf technische Abteilungen oder einzelne Cloud-Teams setzen, wenn es um Sicherheit geht. Cloud-Security ist eine strategische Führungsaufgabe.
Wichtige Maßnahmen:
1. AWS IAM-Richtlinien regelmäßig prüfen
Zugangsdaten von AWS müssen stark eingeschränkt und regelmäßig überprüft werden. Das Prinzip der minimalen Berechtigungen (Least Privilege Access) muss umgesetzt werden.
2. Automatisiertes Monitoring und Logging aktivieren
AWS CloudTrail und andere Sicherheitsüberwachungen müssen so konfiguriert sein, dass verdächtige Aktivitäten schnell erkannt und behoben werden.
3. Phishing-Simulationen und Sensibilisierung im Unternehmen
Mitarbeiter müssen gezielt geschult werden, um auch E-Mails mit legitimem Ursprung nicht einfach blind zu vertrauen.
4. Professionelle Sicherheitsbewertung durchführen
Ein regelmäßiger Cloud Security Audit durch Experten kann Schwachstellen aufdecken, bevor sie von Hackern ausgenutzt werden.
ProSec ist führend in der IT-Sicherheitsberatung und hilft Unternehmen, ihre Cloud-Umgebungen sicher und compliance-konform aufzustellen. Unser Ansatz ist:
Cyberangriffe auf Cloud-Umgebungen sind nicht mehr nur ein technisches Problem. Sie sind eine ernsthafte Bedrohung für Geschäftsmodelle und Unternehmenswerte. Lassen Sie uns gemeinsam sicherstellen, dass Ihre Firma nicht die nächste Schlagzeile eines Cyberangriffs wird.
