- Anzeige -


Sie sind hier: Startseite » Markt » Nachrichten

Empfehlungen für mehr Cloud-Sicherheit


Tausende Clouds in Deutschland anfällig für Cyber-Attacken
Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen

- Anzeigen -





Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzen, weisen zum Teil kritische Sicherheitslücken auf. Angreifer können durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Betroffen sind u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Bereits seit Anfang Februar benachrichtigt das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) deutsche Netzbetreiber über diese dem BSI bekannten betroffenen Cloud Computing-Systeme. Provider sind aufgerufen, ihre Kunden, die die Clouds in Eigenverantwortung betreiben, entsprechend zu informieren. Bislang hat jedoch nur rund ein Fünftel der bekannten betroffenen Unternehmen, Institutionen und Privatnutzer reagiert und die Sicherheitslücken durch bereits längere Zeit verfügbare Updates geschlossen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen. Empfehlungen des BSI für mehr Cloud-Sicherheit sind verfügbar, als nationale Cyber-Sicherheitsbehörde stehen wir Cloud-Anwendern gern mit Rat und Tat zur Seite."

Unabhängig vom Hersteller der Cloud Computing-Software rät das BSI Cloud-Betreibern, den Versionsstand der von ihnen eingesetzten Cloud-Software regelmäßig zu überprüfen und bereitgestellte Updates schnellstmöglich zu installieren. Die Hersteller der weit verbreiteten Cloud-Software ownCloud und Nextcloud bieten unter https://scan.owncloud.com bzw. https://scan.nextcloud.com kostenfreie Dienste an, mit denen Betreiber den Sicherheitsstatus von Clouds auf Basis dieser Software überprüfen können.

Das BSI bietet zudem hilfreiche Empfehlungen für Cloud-Betreiber und Cloud-Nutzer (https://www.bsi.bund.de/cloud). Cloud-Diensteanbieter haben zudem die Möglichkeit, die Sicherheit ihrer Cloud Computing-Dienste nach dem BSI-Anforderungskatalog Cloud Computing (C5) testieren zu lassen (https://www.bsi.bund.de/C5). So erhalten auch Kunden einen wichtigen Hinweis auf das Sicherheitsniveau der angebotenen Cloud-Dienstleistung.

Cloud-Systeme ermöglichen einen einfachen Austausch bzw. eine Synchronisation von Daten. Viele Tausend der in Deutschland betriebenen Cloud-Systeme laufen jedoch mit veralteten Software-Versionen, die von den Herstellern der Cloud-Software nicht mehr unterstützt werden und daher kritische Sicherheitslücken aufweisen. Angreifer können diese Schwachstellen ausnutzen, um unberechtigt auf die in der Cloud gespeicherten Daten zuzugreifen.

Dabei können die Angreifer sensible Informationen wie Kundendaten, Unternehmensdaten oder persönliche Dokumente ausspähen und diese für kriminelle Zwecke nutzen. Weitere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server. Dies kann zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen. (BSI: ra)

eingetragen: 16.03.17
Home & Newsletterlauf: 27.03.17

Meldungen: Nachrichten

  • Sicherheit von KI-Systemen bewerten

    Der Einsatz von Künstlicher Intelligenz (KI) eröffnet neue Möglichkeiten und Anwendungen und beeinflusst schon jetzt viele kritische Prozesse und Entscheidungen, zum Beispiel in der Wirtschaft oder im Gesundheitsbereich. Gleichzeitig sind auf KI basierende Systeme neuen Sicherheitsbedrohungen ausgesetzt, die von etablierten IT-Sicherheitsstandards nicht abgedeckt werden. Mit dem neuen Kriterienkatalog für KI-basierte Cloud-Dienste (Artificial Intelligence Cloud Services Compliance Criteria Catalogue, AIC4) schafft das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine wichtige Grundlage, um die Sicherheit von KI-Systemen bewerten zu können. Der AIC4 des BSI definiert erstmals ein Basisniveau an Sicherheit für KI-basierte Dienste, die in Cloud-Infrastrukturen entwickelt und betrieben werden. Ein vergleichbarer einsetzbarer Prüfstandard für sichere KI-Systeme existiert derzeit nicht.

  • Verbundvorhaben "OpenEduHub"

    Zur Öffnung der HPI Schul-Cloud für die Dauer der Coronapandemie stellt die FDP-Fraktion eine Kleine Anfrage (19/25175). Die Fraktion möchte wissen, was genau das Verbundvorhaben "OpenEduHub" umfasst und welche Erwartungen die Bundesregierung an das Verbundvorhaben "OpenEduHub" vor der Initiation hatte. Ferner interessiert die Abgeordneten, inwiefern die Erwartungen der Bundesregierung an das Verbundvorhaben "OpenEduHub" erfüllt wurden und mit welcher Nutzerzahl die Bundesregierung gerechnet hat. Auch fragen die Abgeordneten, welche Kosten die Bundesregierung pro Schüler/Schülerin pro Dauer der Öffnung für den OpenEduHub kalkuliert hat.

  • Cloud-Nutzung und Datenschutz

    Die AfD-Fraktion will wissen, ob die Deutsche Bundesregierung gewährleisten kann, dass die an externe Anbieter von Cloud-Diensten in der EU übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) entsprechen. Auch erkundigt sie sich in einer Kleinen Anfrage (19/17833) unter anderem danach, ob die Bundesregierung gewährleisten kann, "dass die von ihr an externe Anbieter von Cloud-Diensten außerhalb der EU im Sinne eines internationalen Datentransfers übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der DSGVO" entsprechen.

  • Nutzung externer Cloud Computing-Anbieter

    Die Nutzung externer Anbieter für Cloud Computing-Dienste durch die Bundesregierung ist ein Thema ihrer Antwort (19/10826) auf eine Kleine Anfrage der FDP-Fraktion (19/10307). Die darin enthaltene Übersicht der genutzten Cloud-Dienste macht der Regierung zufolge deutlich, "dass die Bundesverwaltung vollwertige Dienste nutzt, die über die Bereitstellung einer bloßen Speicher-Infrastruktur hinausgehen". Der Nutzung von Cloud-Services gehe ein fachlicher Bedarf einer Behörde voraus. Dieser Bedarf solle nach dem Beschluss des IT-Rats "Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung" nach Möglichkeit zuerst durch bundeseigene Dienstleister gedeckt werden. Ist dies nicht oder nicht wirtschaftlich möglich, könne unter bestimmten Voraussetzungen ein externer Cloud-Service beschafft werden.

  • Bundesförderung für Entwicklung von Schul-Clouds

    Cloud Computing verbreitet sich immer mehr. Auch der Einsatz von Clouds in Schulen hat ein großes Potenzial. Bislang greifen vor allem zahlreiche Onlinedienstleistungen auf Cloudlösungen zurück, indem sie Speicherplatz, Rechenleistung und Software aus einem Rechnernetzwerk nutzen, anstatt eine entsprechende Infrastruktur vor Ort aufzubauen. Das schreibt die FDP in ihrer Kleinen Anfrage (19/7681).

  • Kundendaten insolventer Cloud-Dienst-Anbieter

    Die Zugriffsmöglichkeiten von Kunden insolventer Cloud-Dienst-Anbieter auf ihre Daten sind Thema einer Kleinen Anfrage der FDP-Fraktion (19/7808). Die Lage sei unklar, und der Verlust der Daten von Privatpersonen und Unternehmen nicht auszuschließen, heißt es in der Anfrage, in der auf vertragliche Dateneigentumsklauseln, die sich in den USA etabliert hätten, verwiesen wird. Die Fragesteller wollen daher unter anderem wissen, wie die Bundesregierung die Zugehörigkeit von Kundendaten zur Insolvenzmasse eines Cloud-Dienst-Anbieters als Vermögenswert beurteilt.

  • Strategie zur Künstlichen Intelligenz

    Die Deutsche Bundesregierung will die Künstliche Intelligenz (KI) als Schlüsseltechnologie intensiv und in der Breite fördern. Deutschland soll führender Standort für die Entwicklung und Anwendung von KI-Technologien werden, auch um die Wettbewerbsfähigkeit des Landes zu sichern, heißt es in der Antwort (19/6327) auf eine Kleine Anfrage der Fraktion der FDP (19/5634). Die Bundesregierung trete für eine verantwortungsvolle und gemeinwohlorientierte Entwicklung und Nutzung von KI ein und wolle die Nutzung verantwortungsvoll in Zusammenarbeit mit Wissenschaft und Wirtschaft und im Dialog mit der Gesellschaft voranbringen. Dazu habe das Kabinett am 15. November 2018 eine Strategie Künstliche Intelligenz beschlossen, die für die kommenden sieben Jahre Investitionen in Höhe von drei Milliarden Euro vorsehe.

  • Leitsysteme der Bahn in der Cloud

    Für die Möglichkeit der Auslagerung von Leitsystemen der Bahnen (U-Bahn, S-Bahn, Straßenbahn, Zahnradbahn sowie andere Bahnsysteme) in eine Cloud interessiert sich die AfD-Fraktion. In einer Kleinen Anfrage (19/5695) verweisen die Abgeordneten darauf, dass in der Schweiz die Gornergratbahn als erstes Bahnunternehmen ihr gesamtes Leitsystem in eine Cloud ausgelagert habe.

  • Einheitlich: Ansatz in Bezug auf Interoperabilität

    IoT-Geräte-Ökosystem, Cloud-Managementfunktionen, IoT-Standardtechnologie, Open Connectivity Foundation, IoT-Kompatibilitätskluft, IoT-Standardtechnologie, OCF-Rahmenwerk,

  • Zugriff auf Cloud-Daten

    Vor dem Hintergrund der von der EU geplanten Erweiterung eines geplanten Rechtsaktes, um direkt auf Daten von Internet-Dienstleistern auch aus den USA zugreifen zu können, fragt die Fraktion Die Linke nach der Haltung der Bundesregierung dazu. In einer Kleinen Anfrage (19/2941) wollen die Abgeordneten wissen, wie sie die Frage der Notwendigkeit eines Direktzugriffs europäischer Behörden auf Daten bei international tätigen Internetdienstleistern beurteilt. Ferner fragen sie unter Verweis auf Drucksache 19/1493, welche Möglichkeiten der grenzüberschreitenden Datenherausgabe unter Wahrung des geltenden Grundrechtsschutzniveaus überhaupt infrage kämen.


Meldungen: Kommentare und Meinungen

  • Auch in der Cloud hat Sicherheit ihren Preis

    Wer glaubt, dass die Daten in der Cloud in einem unangreifbarem Raum schweben, wird gerade eines Besseren belehrt, denn am 10. März 2021 brannte eines der Rechenzentren eines großen europäischen Cloud-Anbieters bis auf die Grundmauern nieder. In den fünf Etagen gingen über 12.000 Server in Flammen auf, wodurch laut Presse-Angaben auf einen Schlag alleine 3,6 Millionen Webseiten offline gingen. Viele denken, sich mit der Cloud auch ein Stück Sicherheit erkauft zu haben. In der Regel sind die Daten dort bestmöglich gegen viele Eventualitäten geschützt. Jedoch entbindet es die Dateninhaber nicht, die klassischen Sicherungsmaßnahmen der IT zu beachten. Die Welt ist nicht perfekt und immer kann die eine Festplatte zu viel ausfallen, ein Feuer ausbrechen oder ein tagelanger Starkregen die Wasserpumpen überfordern und die Stromzufuhr im Rechenzentrum stören. So ist es nicht das erste Mal, dass ein sicher geglaubtes System durch einen Störfall komplett ausgefallen ist.

  • Verantwortung für die Datensicherheit bewusst sein

    Unzählige Server und Daten wurden an einem französischen Rechenzentrums-Standort durch ein Feuer zerstört. Doch Unternehmen müssen einem solchen Ereignis nicht schutzlos ausgeliefert sein. Im Gegenteil, denn eine strategische Cloud-Migration lässt sich mit Disaster-Recovery- und Backup-Services so absichern, dass kein Geschäftsausfall droht. Am Straßburger Standort eines Cloud-Providers ist am 10. März 2021 eines der vier Rechenzentren komplett abgebrannt. 12.000 Server wurden völlig zerstört, samt Daten von zahlreichen Firmen und Organisationen. Die Brandursache steht noch nicht fest. Klar ist hingegen, dass auch die Unternehmen selbst etwas unternehmen müssen, um auf solche Katastrophenfälle sowie kleinere Störungen vorbereitet zu sein. Im besten Fall ist eine Firma in der Lage, den letzten Stand ihrer Datenbanken, Applikationen und Systeme sofort wieder einzuspielen, damit ihre geschäftskritischen Prozesse weiterlaufen.

  • DSGVO & Gesetzeslage in den USA

    Die Pandemie stellt im Moment einen Katalysator für die Digitalisierung dar. Wie nie zuvor wird von zuhause gearbeitet, gelernt und auch das Privatleben hat in Zeiten von Lockdowns und Ausgangssperren eine Verlagerung hin ins Internet erfahren. Insbesondere Unternehmen sind dazu verpflichtet, ihren Mitarbeitern die Arbeit von zuhause aus zu ermöglichen. Um den reibungslosen Wechsel ins Homeoffice zu gewährleisten, sind Cloud-Dienste hier das Mittel der Wahl - oftmals von US-amerikanischen Tech-Riesen wie Microsoft, Google und AWS. Firmen jedweder Größe setzen auf die "Hyperscaler", weil diese ihnen Sicherheit, Stabilität und Skalierbarkeit versprechen.

  • Public Cloud in der Finanzwelt

    13 europäische Finanzinstitute - darunter Commerzbank und Deutsche Börse - haben die European Cloud User Coalition (ECUC) gebildet, um ein regelkonformes Public-Cloud-Ökosystem zu schaffen. Der zukünftige Übergang stellt Sicherheitshindernisse dar, die über das Netzwerk angegangen werden müssen. Simon Pamplin, technischer Direktor bei Silver Peak, kommentiert die Herausforderung.

  • Vormarsch von Cloud-Native-Technologien

    Cloud Native ist längst kein Nischenthema mehr, das nur für Start-ups relevant ist. Auch im Enterprise-Segment ist Cloud Native inzwischen angekommen. Unternehmen sehen die Vorteile von Anwendungen und Microservices, die sie direkt aus der Cloud beziehen, beziehungsweise die ausschließlich als Cloud Computing-Anwendungen konzipiert sind. Flexibilität, Innovation und Agilität sind nur einige der Vorteile von Cloud Native. Darüber hinaus ebnen diese Technologien den Weg für ein schnelleres Time-to-Market von Produkten und eine Verbesserung des Betriebsergebnisses.

  • Marktplätze setzen sich im B2B-Geschäft durch

    Die Digitalisierung beeinflusst enorm, wie Unternehmen und ihre Kunden miteinander interagieren. Laut Handelsblatt wird alles, was entlang der Lieferkette digitalisiert werden kann, in den kommenden Jahren digitalisiert - inklusive dauerhafter Kundenbeziehungen. Der Corona-Schock hat diese Entwicklung beschleunigt. In der KPMG/Harvey Nash CIO Survey 2020 gaben CIOs an, dass in den vergangenen sechs Monaten mehr Innovation stattgefunden habe als in den zehn Jahren zuvor. Denn neben Homeoffice etc. verändert sich auch die Schnittstelle zu den Kunden und Märkten rasant. Die Art und Weise, in der Kunden Kontakt suchen, kaufen und konsumieren, hat sich seit Frühling 2020 weitgehend in die digitale Welt verlagert - viel schneller, als es die Unternehmen in den Jahren zuvor erlebt haben.

  • Schlüsselgewalt für das Krankenhaus

    In Bayern ticken die Uhren oft ein wenig anders als im Rest der Bundesrepublik. Die föderale Struktur Deutschlands ist auch der Grund, weshalb wir Bayern einen Sonderweg in Sachen Datenschutz eingeschlagen haben. Ein folgenreicher Unterschied ist im Bayerischen Krankenhausgesetz (BayKrG) zu beobachten. Artikel 27 limitiert die Cloud Computing-Nutzung für Krankenhäuser durch besonders strenge Richtlinien, um medizinische Patientendaten vor unberechtigtem Fremdzugriff zu schützen. So dürfen Drittanbieter nur dann für die Datenverarbeitung herangezogen werden, sofern das Krankenhaus die Schlüsselgewalt für die Daten wahrt und Weisungsbefugnis über die datenverarbeitenden Mitarbeiter des externen Dienstleisters erhält.

  • Public Cloud in der Finanzwelt

    13 europäische Finanzinstitute - darunter Commerzbank und Deutsche Börse - haben die European Cloud User Coalition (ECUC) gebildet, um ein regelkonformes Public-Cloud-Ökosystem zu schaffen. Der zukünftige Übergang stellt Sicherheitshindernisse dar, die über das Netzwerk angegangen werden müssen. Simon Pamplin, technischer Direktor bei Silver Peak, kommentiert die Herausforderung: "Dieser Schritt der größten Banken Europas in Richtung Public Cloud stellt eine positive Veränderung für die Finanzdienstleistungsbranche, ihre Kunden und die Technologieunternehmen dar, die den Übergang unterstützen werden. Ein stärkerer Wettbewerb zwischen Technologieunternehmen wird schließlich Anreize für die Optimierung schaffen und Innovationen für Financial-Cloud-Lösungen vorantreiben."

  • US-Clouds: Jetzt drei Optionen

    Mit der Entscheidung des Europäischen Gerichtshofs (EuGH), das "Privacy Shield"-Abkommen zwischen der EU und den USA zu kippen, drohen deutschen Unternehmen nun Strafzahlungen, wenn sie personenbezogene Daten in US-Clouds speichern. Erstaunlicherweise haben bislang nur wenige Unternehmen auf das Urteil reagiert, das der EuGH schon im Juli dieses Jahres ausgesprochen hatte. Tatsächlich gibt es damit keine Rechtsgrundlage mehr für die Nutzung amerikanischer Cloud Computing-Anbieter, selbst wenn deren Rechenzentren auf europäischem Boden stehen. Und da unwahrscheinlich ist, dass die EU und die USA kurzfristig ein neues Datenschutzabkommen vereinbaren, müssen deutsche Unternehmen jetzt ihre Cloud-Strategien auf den Prüfstand stellen. Sogar die irische Datenschutzbehörde, die unter den EU-Regulierungsbehörden den US-Tech-Giganten normalerweise am freundlichsten gegenübersteht, hat Facebook die Anweisung erteilt, die Übertragung von Benutzerdaten aus der EU in die USA zu stoppen.

  • Regelbuch für die Cloud erarbeiten

    Die Mitgliedsstaaten der Europäischen Union haben eine gemeinsame Erklärung unterzeichnet, wie Cloud Computing-Technologien für die Wirtschaft und die öffentliche Hand in der EU künftig besser gefördert werden sollen. Ziel soll unter anderem sein, Datensouveränität zu stärken und einheitliche Regeln und Standards innerhalb der EU für die Nutzung von Cloud-Technologien zu entwickeln. Mit ihrer gemeinsamen Erklärung beauftragen die Mitgliedsstaaten die EU-Kommission, Cloud-Strategien innerhalb der EU zu vereinheitlichen.