Wurde Ihr AWS-Konto gehackt? Angriffe erkennen und das Konto absichern

Wenn Sie vermuten, dass Ihr AWS-Konto kompromittiert wurde, helfen folgende Schritte bei der Untersuchung:

1. Auf unerwartete Ressourcennutzung prüfen: Behalten Sie Ihre AWS-Ressourcen und Nutzungsmuster im Blick. Ein plötzlicher Anstieg beim Datentransfer oder eine ungewöhnliche Zunahme an Operationen kann auf ein Problem hindeuten. AWS bietet dafür Tools wie AWS Trusted Advisor und AWS Cost Explorer.
2. Rechnung kontrollieren: Auch ein plötzlicher Anstieg Ihrer AWS-Rechnung kann auf eine unberechtigte Ressourcennutzung hindeuten. Prüfen Sie Ihre Rechnung auf auffällige Veränderungen und sehen Sie sich die Kosten je Service im Billing-Dashboard an. Über das Billing-Dashboard lassen sich Kosten nach Services aufschlüsseln, sodass Sie auffällige Ausschläge erkennen, die auf unautorisierte Nutzung hindeuten.
3. IAM Access Analyzer: Mit dem AWS IAM Access Analyzer prüfen Sie IAM-Benutzeraktivitäten im Detail. Löschen Sie nicht genutzte IAM-Benutzer und überprüfen Sie IAM-Rollen, die mit externen Entitäten geteilt werden. Behalten Sie außerdem die Daten der letzten Passwortänderungen im Blick, um eine saubere Sicherheitshygiene zu gewährleisten.
4. IAM Credential Report: Prüfen Sie den IAM Credential Report regelmäßig auf neue Benutzer, geänderte Passwörter sowie Datum und Uhrzeit der letzten Nutzung. Identifizieren Sie unerwartete Aktivitäten und reagieren Sie umgehend mit Korrektur- und Folgemaßnahmen.
5. CloudTrail prüfen: AWS CloudTrail ist das zentrale Werkzeug, um eine mögliche Kompromittierung Ihres AWS-Kontos zu untersuchen. Der Dienst zeichnet Aktivitäten in Ihrer AWS-Umgebung auf und bewahrt die Logs 30 Tage lang auf. Die Standardsuche zeigt nur schreibende Ereignisse – also Aktionen, die Ihre Ressourcen verändert haben. Achten Sie auf ungewöhnliche Logins, unerwartete "assume role"-Ereignisse, Reconnaissance-Aktivitäten (etwa untypische API-Aufrufe) und sonstiges abnormales Verhalten. Untersuchen Sie Ihre AWS-CloudTrail-Logs auf unautorisierte Zugriffe oder ungewöhnliche API-Aktivitäten. AWS protokolliert jedes Anmeldeereignis an der AWS Management Console. Prüfen Sie die CloudTrail-Logs auf Anmeldungen, die Sie nicht zuordnen können. Achten Sie auf Ereignisse zu ungewöhnlichen Zeiten oder von unbekannten IP-Adressen. Wer seine üblichen Nutzungsmuster kennt, erkennt Anomalien deutlich schneller.
6. IAM-Policies und -Rollen überprüfen:

Prüfen Sie Ihre IAM-Policies und -Rollen darauf, ob sie verändert wurden. Unerwartete Änderungen können ein Hinweis darauf sein, dass ein Angreifer Zugriff auf Ihr Konto erlangt hat. 7. AWS Security Hub prüfen:

AWS Security Hub liefert Ihnen einen umfassenden Überblick über Sicherheitswarnungen und Sicherheitslage über alle AWS-Konten hinweg – und hilft so, potenzielle Sicherheitsprobleme aufzudecken.

Sobald die Untersuchung abgeschlossen ist, geht es an die Absicherung. Folgende Schritte sollten Sie einplanen:

1. Incident-Response-Plan etablieren: Entwickeln Sie einen Incident-Response-Plan speziell für AWS und aktualisieren Sie ihn regelmäßig. Sorgen Sie dafür, dass Ihr Team Sicherheitsvorfälle schnell adressieren kann – und ziehen Sie bei Bedarf den AWS-Support hinzu.

2. Passwort des AWS-Root-Users ändern: Ein zentraler erster Schritt zur Absicherung. Ändern Sie das Passwort des AWS-Root-Users umgehend, um die Sicherheit zu erhöhen und unberechtigten Zugriff zu unterbinden.

3. Access Keys rotieren und löschen: Rotieren und löschen Sie sowohl Root- als auch IAM-Access-Keys regelmäßig, um das Risiko durch kompromittierte Anmeldedaten zu minimieren.

4. Unerwünschte Ressourcen entfernen: Überprüfen und löschen Sie regelmäßig Ressourcen, die Sie nicht selbst angelegt haben. So verkleinern Sie die Angriffsfläche und schließen mögliche Einfallstore.

5. Aktive Sitzungen widerrufen: Temporäre Sicherheits-Credentials von IAM-Rollen widerrufen. Widerrufen Sie alle aktiven Sitzungen, um temporäre Anmeldedaten aus früheren Sessions ungültig zu machen. Dieser Schritt ist entscheidend, um unbefugten Zugriff zu verhindern.

6. Account-Alias erstellen: Versehen Sie Ihre Account-ID mit einem Alias – das erhöht Sicherheit und Komfort gleichermaßen. Geben Sie Ihre Account-ID nicht öffentlich preis und teilen Sie stattdessen den Account-Alias-Link für den Zugriff.

7. Multi-Faktor-Authentifizierung (MFA) aktivieren: Aktivieren Sie MFA für alle Konten und schaffen Sie damit eine zusätzliche Sicherheitsebene. Beim Login sollten Nutzer zur MFA aufgefordert werden – das stärkt die Authentifizierungssicherheit deutlich.

8. Passwortrichtlinie: Etablieren Sie eine starke Passwortrichtlinie: mindestens 10 Zeichen Länge, Ablauf nach 90 Tagen und keine Wiederverwendung früherer Passwörter.

9. AWS-CloudWatch-Alarme einrichten: Mit AWS CloudWatch lassen sich Alarme für bestimmte Ereignisse oder Schwellenwerte definieren. Richten Sie Alarme für Aktivitäten ein, die auf eine Kompromittierung hindeuten – etwa mehrfach fehlgeschlagene Logins oder Änderungen an Security-Group-Konfigurationen.

10. Billing-Alerts und AWS Cost Anomaly Detection: Definieren Sie Kostenbudgets und Billing-Alerts, um Ausgaben zu überwachen und zu steuern. Aktivieren Sie zusätzlich AWS Cost Anomaly Detection, um unerwartete und abnormale Ausgaben mithilfe von Machine Learning aufzuspüren.

11. IAM-Admin-Account anlegen: Verwenden Sie den Root-Account nicht für den Tagesbetrieb. Legen Sie stattdessen ein IAM-Konto mit administrativen Rechten an und schließen Sie den Root-Account sicher weg.

12. AWS GuardDuty aktivieren:

    AWS GuardDuty ist ein Threat-Detection-Service, der kontinuierlich nach böswilligem oder unautorisiertem Verhalten Ausschau hält. Er hilft Ihnen, ungewöhnliche API-Aufrufe oder potenziell nicht autorisierte Deployments zu erkennen, die auf eine Kontokompromittierung hindeuten.

13. IAM Policy Validator für AWS CloudFormation. Dieses Open-Source-Kommandozeilentool – auch bekannt als cfn-policy-validator – prüft IAM-Policies innerhalb eines CloudFormation-Templates mithilfe des IAM Access Analyzer.

    Es lässt sich nahtlos in Ihre CI/CD-Pipeline integrieren und stoppt das Deployment, sobald ein Problem mit IAM-Policies erkannt wird.

    Wenn Sie dieses Tool in Ihre Sicherheitsstrategie einbinden, werden Änderungen an IAM-Policies vor dem Deployment gründlich validiert – und die Sicherheit Ihres AWS-Kontos steigt deutlich.

14. AWS Config Rules nutzen: Mit AWS Config definieren Sie Regeln, um Compliance- und Sicherheitsstandards durchzusetzen. Erstellen Sie eigene Regeln, um bestimmte Aktivitäten zu überwachen, die auf eine Kompromittierung hindeuten – etwa Änderungen an Netzwerkkonfigurationen oder das Anlegen neuer IAM-Benutzer.

15. VPC Flow Logs aktivieren: Virtual Private Cloud (VPC) Flow Logs erfassen Informationen zum ein- und ausgehenden Traffic Ihrer VPC. Analysieren Sie diese Logs, um ungewöhnliche Muster zu erkennen – etwa Traffic zu unbekannten IP-Adressen oder unerwartete Ausschläge im Datentransfer.

16. Regelmäßige Schwachstellen-Scans: Führen Sie mit Tools wie AWS Inspector oder Lösungen von Drittanbietern regelmäßig Schwachstellenanalysen Ihrer AWS-Ressourcen durch. Beheben Sie identifizierte Schwachstellen umgehend, um das Risiko einer Ausnutzung durch Angreifer zu reduzieren.

Dieser Artikel ist ein kompakter Überblick zur Absicherung Ihres AWS-Kontos. Aber: Sicherheit ist nie abgeschlossen.

Bei DoiT International bieten unsere AWS-Security-Experten ein ganzheitliches Assessment Ihrer AWS-Sicherheitslage, das tief in Ihre gesamte AWS-Organisation einsteigt. Das Assessment basiert auf bewährten Branchenstandards und umfasst rund 300 Prüfungen Ihrer AWS-Ressourcen, um optimale Konfigurationen sicherzustellen. Wir greifen dafür auf 27 der führenden Security-Benchmarks am Markt zurück und liefern eine gründliche, rigorose Bewertung.

Unser Ziel: potenzielle Schwachstellen aufdecken und konkrete Handlungsempfehlungen geben, mit denen Sie Ihre AWS-Sicherheitslage verbessern. Vertrauen Sie auf die Expertise unserer AWS-Security-Profis, um in Ihrer AWS-Umgebung jederzeit das höchste Sicherheitsniveau zu halten.

Wenn Sie mehr erfahren möchten oder an unseren Services interessiert sind, melden Sie sich gerne bei uns. Sie erreichen uns hier.