Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud Computing-Dienste basieren, waren rund 30 Prozent verwundbar Cased-Wissenschaftler finden sensible Daten von Nutzern der Amazon Web Services
(29.06.11) - Wissenschaftler des Darmstädter Forschungszentrums Cased haben große Sicherheitsmängel in zahlreichen virtuellen Maschinen in der Amazon-Cloud entdeckt. Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können.
Ursache ist der fahrlässige Umgang von Amazon-Kunden mit AMIs. Zur Prüfung solcher Maschinen haben die Cased-Wissenschaftler einen Schwachstellenscanner entwickelt, der im Internet unter http://trust.cased.de/AMID kostenlos heruntergeladen werden kann.
Dank steigender Popularität, einfacher Benutzbarkeit und großen Preisvorteilen bieten immer mehr Firmen und private Nutzer zahlreiche Dienste in der Cloud an. Während Experten die Sicherheitsaspekte der zugrundeliegenden Cloud-Infrastruktur bereits ausgiebig diskutieren, werden die Fehler beim Aufbau solcher Dienste häufig noch stark unterschätzt. Wie schwerwiegend die Folgen mangelnder Sorgfalt von Cloud Computing-Kunden sein können, zeigt eine aktuelle Untersuchung der Forschungsgruppe um Prof. Ahmad-Reza Sadeghi am Center for Advanced Security Research Darmstadt (Cased).
Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)
Die Forscher des Fraunhofer SIT in Darmstadt und des System Security Labs der TU Darmstadt untersuchten Dienste, die von Kunden der Cloud Computing-Anbieterin Amazon Web Services (AWS) veröffentlicht wurden. Obwohl AWS auf ihren Webseiten ausführliche Sicherheitsempfehlungen geben, fanden die Forscher in mindestens einem Drittel der Fälle fehlerhafte Konfigurationen und sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate. Mit diesen Informationen können Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Webdienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln.
"Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services. Wir gehen davon aus, dass auch Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden", betont Prof. Sadeghi. In Abstimmung mit dem Sicherheitsteam von Amazon Web Services wurden die betroffenen Kunden informiert. (Fraunhofer SIT: ra)
Fraunhofer SIT: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Anzeigen
Meldungen: Nachrichten
IT-Ressourcen aus der Cloud beziehen
-
In Berlin fand die die Auftaktkonferenz zum Technologieprogramm "Trusted Cloud" statt. Hierzu waren Vertreter von 44 Unternehmen und 22 wissenschaftlichen Einrichtungen zusammengekommen, die sich für eine Teilnahme an dem Programm qualifizieren konnten. Ziel von "Trusted Cloud" ist die Entwicklung und Erprobung innovativer, sicherer und rechtskonformer Cloud Computing-Lösungen. Von diesen neuen, Cloud-basierten Diensten sollen insbesondere mittelständische Unternehmen profitieren.
Position im Mittelstand schneller ausbauen
-
Die All for One Midmarket AG beabsichtigt, alle Anteile an der Steeb Anwendungssysteme GmbH, Abstatt, zu erwerben. Die Steeb Anwendungssysteme GmbH ist eine hundertprozentige Tochtergesellschaft der SAP AG, Walldorf. Eine entsprechende Absichtserklärung zwischen der All for One Midmarket AG und der SAP AG wurde bereits unterzeichnet. Die derzeit laufenden Verhandlungen erfolgen auf exklusiver Basis.
EuroCloud Congress in Luxemburg
-
Führungskräfte, Politiker und Forscher aus ganz Europa, haben auf dem EuroCloud Congress 2011 in Luxemburg die aktuellen Entwicklungen in den Bereichen Cloud Computing und Software-as-a-Service (SaaS) diskutiert. Die bereits zum zweiten Mal vom Branchenverband EuroCloud durchgeführte zweitägige Veranstaltung ist speziell auf den europäischen Cloud Computing-Sektor zugeschnitten.
Sicherheitsbedrohung durch sorglose Cloud-Nutzung
-
Wissenschaftler des Darmstädter Forschungszentrums Cased haben große Sicherheitsmängel in zahlreichen virtuellen Maschinen in der Amazon-Cloud entdeckt. Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können.
35 Mrd. Euro Umsatz mit Cloud Computing
-
Die Europäische Kommission bittet Bürger, Unternehmen, öffentliche Verwaltungen und andere Interessenten um Meinungsäußerungen dazu, wie die Vorteile des "Cloud Computing" am besten genutzt werden können. Cloud Computing ist eine Technik, mit der Unternehmen, Behörden und Einzelpersonen über Datennetze (wie z. B. das Internet) auf ihre anderswo (in der "Wolke") gespeicherten Daten und Computerprogramme zugreifen können. Unternehmen - unbesondere auch kleine und mittlere Unternehmen - können dadurch ihre Informatikkosten drastisch senken, und Behörden können ihre Dienstleistungen zu geringeren Kosten erbringen, wobei durch einen effizienteren Einsatz der Anlagen noch Energie gespart wird.
Bereitstellung virtueller Arbeitsumgebungen
-
Die TU Dresden und die TU Bergakademie Freiberg bauen unter anderem mit Cisco, VMware und NetApp eine neuartige Infrastruktur für ein standortübergreifendes Center of Excellence auf. Die Unternehmen realisieren dabei gemeinsam mit den strategischen Partnern Interface Systems und T-Systems die von den Universitäten gewünschten innovativen Lösungen für Virtualisierungs- und Cloud Computing-Anwendungen. Nach Fertigstellung des Center of Excellence in diesem Jahr werden erstmals in Deutschland Shared Services zwischen zwei Hochschulen in größerem Maßstab erprobt. Dann können Studierende und Fachbereiche unabhängig von Standort, verwendeter Plattform oder Gerät auf zentral angebotene Anwendungen zugreifen.
Cloud Computing im Gesundheitswesen
-
Das Forschungsprojekt "HealthCloud" ist einer der Preisträger des Technologiewettbewerbs "Sichere Internet-Dienste - Sicheres Cloud Computing für Mittelstand und öffentlichen Sektor (Trusted Cloud)" und wird zukünftig mit Fördermitteln des Bundes unterstützt. Das gab das Bundesministerium für Wirtschaft und Technologie (BMWi) bekannt. Mit "HealthCloud" soll erstmals eine "Trusted Cloud"-Infrastruktur für IT-Anwendungen im Gesundheitswesen bereitgestellt werden.
Potential für die "Bildungs-Cloud
-
Ein Konsortium aus Hochschulen, Forschungseinrichtungen, kommunalen IT-Anbietern und Unternehmen hat die vom Bundesministerium für Wirtschaft und Technologie im Oktober 2010 veröffentlichte Ausschreibung für eine so genannte "Trusted Cloud" für Kommunalverwaltungen und mittelständische IT- Anbieter gewonnen. Ziel des über drei Jahre laufenden und vom Bund geförderten Projekts ist die Schaffung einer sicheren und jederzeit erweiterbaren Cloud Computing-Umgebung für bildungsnahe IT- Angebote und entsprechende Dienste mittelständischer IT- Anbieter.
Fundamentale Veränderungen durch die Cloud
-
Bei seinem Besuch in Köln betont CEO Steve Ballmer das große Potenzial von Cloud Computing für die IT-Industrie und die Anwender in Deutschland. "Cloud Computing wird den IT-Markt grundsätzlich verändern", erklärt Ballmer auf der internationalen Cloud Computing Konferenz des Hightech-Verbandes Bitkom in Köln. "Microsoft und die ganze IT-Industrie stehen am Scheideweg. Fundamentale Veränderungen liegen vor uns und werden die Art und Weise wie wir in Zukunft arbeiten und leben beeinflussen."
Cloud Security in der Diskussion
-
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein Eckpunktepapier zum Thema Informationssicherheit beim Cloud Computing veröffentlicht und zur Diskussion gestellt. Das Eckpunktepapier definiert Mindestsicherheitsanforderungen an Anbieter von Cloud Computing-Lösungen und dient als Diskussionsgrundlage für den Dialog mit Anbietern und Anwendern.
