ATP!Info

Tausende Clouds in Deutschland anfällig für Cyber-Attacken

Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzen, weisen zum Teil kritische Sicherheitslücken auf. Angreifer können durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Betroffen sind unter anderem die Cloud-Anwendungen großer und mittelständischer Unternehmen.

Bereits seit Anfang Februar benachrichtigt das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) deutsche Netzbetreiber über diese dem BSI bekannten betroffene Cloud-Systeme. Provider sind aufgerufen, ihre Kunden, die die Clouds in Eigenverantwortung betreiben, entsprechend zu informieren. Bislang hat jedoch nur rund ein Fünftel der bekannten betroffenen Unternehmen, Institutionen und Privatnutzer reagiert und die Sicherheitslücken durch bereits längere Zeit verfügbare Updates geschlossen.

Hierzu erklärt BSI-Präsident Arne Schönbohm:
"Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen. Empfehlungen des BSI für mehr Cloud-Sicherheit sind verfügbar, als nationale Cyber-Sicherheitsbehörde stehen wir Cloud-Anwendern gern mit Rat und Tat zur Seite."

Unabhängig vom Hersteller der Cloud-Software rät das BSI Cloud-Betreibern, den Versionsstand der von ihnen eingesetzten Cloud-Software regelmäßig zu überprüfen und bereitgestellte Updates schnellstmöglich zu installieren. Die Hersteller der weit verbreiteten Cloud-Software ownCloud und Nextcloud bieten unter scan.owncloud.com bzw. scan.nextcloud.com kostenfreie Dienste an, mit denen Betreiber den Sicherheitsstatus von Clouds auf Basis dieser Software überprüfen können. Das BSI bietet zudem hilfreiche Empfehlungen für Cloud-Betreiber und Cloud-Nutzer. Cloud-Diensteanbieter haben zudem die Möglichkeit, die Sicherheit ihrer Cloud-Dienste nach dem BSI-Anforderungskatalog Cloud Computing (C5) testieren zu lassen. So erhalten auch Kunden einen wichtigen Hinweis auf das Sicherheitsniveau der angebotenen Cloud-Dienstleistung.

Cloud-Systeme ermöglichen einen einfachen Austausch bzw. eine Synchronisation von Daten. Viele tausend der in Deutschland betriebenen Cloud-Systeme laufen jedoch mit veralteten Software-Versionen, die von den Herstellern der Cloud-Software nicht mehr unterstützt werden und daher kritische Sicherheitslücken aufweisen. Angreifer können diese Schwachstellen ausnutzen, um unberechtigt auf die in der Cloud gespeicherten Daten zuzugreifen. Dabei können die Angreifer sensible Informationen wie Kundendaten, Unternehmensdaten oder persönliche Dokumente ausspähen und diese für kriminelle Zwecke nutzen. Weitere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server. Dies kann zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen.

Verwandte Themen
Neuer Vertriebsleiter Europa und Afrika beim Sicherheitsspezialisten HIMA weiter
Zypries: "Industrie 4.0 braucht internationale Kooperation und Standards" weiter
Endress+Hauser übernimmt SensAction weiter
Starke Allianz für das Industrial Internet of Things weiter
Sensorik und Messtechnik: Umsatz, Investitionen und Exporte gestiegen weiter
„Industrie 4.0 wird auch die Instandhaltung komplett umkrempeln“ weiter

Relevante Publikationen für Sie:

„Smarte“ Sensoren in der Feldebene Cover

„Smarte“ Sensoren in der Feldebene

Intelligente Überwachung von industriellen Anlagen
Thomas Glock/FZI Forschungszentrum Informatik / Martin Hillenbrand/FZI Forschungszentrum Informatik / Christoph Weiler/Siemens / Michael Hübner/Ruhr-Universität Bochum, FZI Forschungszentrum Informatik

mehr
Zuverlässigkeitsbewertung in frühen Entwicklungsphasen Cover

Zuverlässigkeitsbewertung in frühen Entwicklungsphasen

Ansatz basierend auf rigide definierten Softwarekomponenten
MICHAEL WEDEL/Universität Stuttgart

mehr
Zustandsüberwachung und Performanzprognose Cover

Zustandsüberwachung und Performanzprognose

Datenbasierte Verfahren für komplexe Industrieanlagen
Minjia Krüger/Universität Duisburg-Essen / Torsten Jeinsch/Universität Rostock / Peter Engel/PC-Soft / Steven X. Ding/Universität Duisburg-Essen / Adel Haghani/Universität Rostock

mehr