- Anzeige -


Sie sind hier: Startseite » Markt » Nachrichten

Sicherheitsbedrohung durch sorglose Cloud-Nutzung


Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud Computing-Dienste basieren, waren rund 30 Prozent verwundbar
Cased-Wissenschaftler finden sensible Daten von Nutzern der Amazon Web Services


(29.06.11) - Wissenschaftler des Darmstädter Forschungszentrums Cased haben große Sicherheitsmängel in zahlreichen virtuellen Maschinen in der Amazon-Cloud entdeckt. Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können.

Ursache ist der fahrlässige Umgang von Amazon-Kunden mit AMIs. Zur Prüfung solcher Maschinen haben die Cased-Wissenschaftler einen Schwachstellenscanner entwickelt, der im Internet unter http://trust.cased.de/AMID kostenlos heruntergeladen werden kann.

Dank steigender Popularität, einfacher Benutzbarkeit und großen Preisvorteilen bieten immer mehr Firmen und private Nutzer zahlreiche Dienste in der Cloud an. Während Experten die Sicherheitsaspekte der zugrundeliegenden Cloud-Infrastruktur bereits ausgiebig diskutieren, werden die Fehler beim Aufbau solcher Dienste häufig noch stark unterschätzt. Wie schwerwiegend die Folgen mangelnder Sorgfalt von Cloud Computing-Kunden sein können, zeigt eine aktuelle Untersuchung der Forschungsgruppe um Prof. Ahmad-Reza Sadeghi am Center for Advanced Security Research Darmstadt (Cased).

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Die Forscher des Fraunhofer SIT in Darmstadt und des System Security Labs der TU Darmstadt untersuchten Dienste, die von Kunden der Cloud Computing-Anbieterin Amazon Web Services (AWS) veröffentlicht wurden. Obwohl AWS auf ihren Webseiten ausführliche Sicherheitsempfehlungen geben, fanden die Forscher in mindestens einem Drittel der Fälle fehlerhafte Konfigurationen und sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate. Mit diesen Informationen können Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Webdienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln.

"Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services. Wir gehen davon aus, dass auch Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden", betont Prof. Sadeghi. In Abstimmung mit dem Sicherheitsteam von Amazon Web Services wurden die betroffenen Kunden informiert. (Fraunhofer SIT: ra)

Fraunhofer SIT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Nachrichten

  • Damit Datenfluss nicht ins Stocken gerät

    Der Einzug moderner computergestützter Technologien hat die Lebenswissenschaften grundlegend verändert. In biomedizinischen Laboren werden heute in kurzer Zeit große Datenmengen erhoben, etwa bei der Sequenzierung des menschlichen Genoms. Die intelligente Verknüpfung und Nutzung dieser wachsenden Datenmengen eröffnen große Chancen für Wissenschaft und Gesellschaft. Gleichzeitig stellt Big Data Forscher vor neue Herausforderungen: Wie können die heterogenen Datenpakete sinnvoll verwaltet und ausgewertet werden? Was tun, wenn passende IT-Systeme zur Datenanalyse im eigenen Labor fehlen? Wie lässt sich die Sicherheit der Inhalte gewährleisten?

  • Europäische Cloud Computing-Initiative

    Die Europäische Kommission präsentierte ihre Pläne, damit Wissenschaft, Unternehmen und der öffentliche Sektor mit Hilfe Cloud-gestützter Dienste und erstklassiger Infrastrukturen besser von der Big Data-Revolution profitieren können. Europa gehört zu den weltweit größten Produzenten wissenschaftlicher Erkenntnisse, kann aber die gewaltige Menge an Daten, die es generiert ("Big Data"), aufgrund unzureichender und fragmentierter Infrastrukturen nur bedingt nutzen.

  • Schneller Blick auf Finanzdaten und Cashflows

    Viele mittelständische Unternehmen besitzen zwar ein in Deutschland passendes ERP-System, doch vor allem bei internationaler Expansion benötigen sie eine effiziente Lösung zur Kontrolle von Finanzdaten und Cashflows. Exact gibt Empfehlungen, welche Aspekte dabei zu beachten sind. Dem Mittelstand stellen sich in Bezug auf ERP-Systeme zahlreiche Fragen: Wie lassen sich damit Finanzdaten, -prozesse und Cashflows zentral kontrollieren? Bieten die Lösungen auch einen tagesaktuellen Zahlenüberblick über alle ausländischen Niederlassungen? Kann ERP im Kontext mit BI angewendet werden? Funktioniert der Cloud-basierte Software-as-a-Service (SaaS)-Ansatz auch in Deutschland?

  • Schnelle Netzverbindung zwischen Cloud-Umgebungen

    Wissenschaftler von AT&T, IBM und Applied Communication Sciences (ACS) haben den Prototypen einer Technologie vorgestellt, die den Aufbau einer Netzverbindung zwischen zwei Cloud Computing-Umgebungen drastisch beschleunigen soll. Durch den Einsatz von neuartigen optischen Netzwerkkomponenten und intelligenter "Cloud Data Center Orchestrator"-Software kann eine so genannte elastische Netzverbindung mit hohen Übertragungsraten zwischen Cloud-Umgebungen aufgebaut werden.

  • Orientierungshilfe auf dem Weg in die Cloud

    Digitaleurope und Deutschland sicher im Netz (DsiN) starteten den "EU Cloud Scout": Der interaktive Online-Check gibt kleinen und mittelständischen Unternehmen Orientierungshilfe auf dem Weg in die Cloud. Das Angebot wurde in Anwesenheit der Vizepräsidentin der EU-Kommission Neelie Kroes in Brüssel präsentiert. Der EU Cloud Scout bietet mittelständischen Unternehmen - basierend auf einem Online-Fragebogen - verständliche Informationen über die Cloud mit einem Schwerpunkt auf Sicherheitsfragen. Er wurde auf Initiative von DsiN entwickelt und erstmalig auf der CeBIT 2013 vorgestellt. Inzwischen verzeichnet der kostenfreie Online-Check mehrere tausend Aufrufe.

  • Messbarer Datenschutz für Clouds

    Wie sicher ist die Cloud? Viele Unternehmen und Behörden haben Bedenken, dass ihre Daten bei externen Cloud Computing-Anbietern nicht ausreichend geschützt sind. Das Projekt VeriMetrix macht deshalb die Sicherheit von Cloud Computing-Daten messbar: Ziel von VeriMetrix ist eine Lösung, mit welcher potenzielle Nutzer Datenschutz und Datensicherheit von Cloud Computing-Angeboten beurteilen, vergleichen und nachprüfen können.

  • Was meinen Sie zu "Trusted Cloud Europe"?

    Die Europäische Cloud-Partnerschaft (ECP) bittet in einer Umfrage um Stellungnahmen zu der Initiative "Trusted Cloud Europe". Es geht um Ideen, wie Europa öffentlichen und privaten Einrichtungen und Unternehmen helfen kann, Cloud-Dienste in einem sicheren und vertrauenswürdigen Umfeld zu nutzen sowie zu kaufen und zu verkaufen.

  • Zusätzliche Flexibilität bei Lizenzen erwirkt

    Im Juli 2013 hatte SAP eine neue Regelung in Bezug auf die SAP-Cloud-Lizenzierung bekannt gegeben. Diese Regelung, mit der On-Premise- in Cloud Computing-Lizenzen verlagert werden können, wurde nun im August um ein weiteres Modell ergänzt. SAP-Anwenderunternehmen können von nun an einen Neukauf von im Unternehmen betriebenen SAP-Anwendungen (On-Premise) mit einer entsprechenden Teilkündigung von Lizenz-Nutzungsrechten und Pflegegebühren verknüpfen. Diese Änderung soll Investitionen in SAP-Innovationen erleichtern. Damit hat SAP die im Juli geänderte Regelung, mit der On-Premise- in Cloud Computing-Lizenzen verlagert werden können, um ein weiteres Modell ergänzt.

  • Daten bei Cloud Computing-Diensten

    Bundeskriminalamt, Zollkriminalamt und Bundespolizei betreiben laut Bundesregierung "derzeit keine eigenen Anstrengungen zur (zukünftigen) Überwachung, Sicherung und Herausgabe von Daten bei Cloud-Diensten". Gleiches gilt für die Nachrichtendienste des Bundes sowie für die Bundesnetzagentur und das Bundesamt für Sicherheit in der Informationstechnik, wie aus der Antwort der Bundesregierung (17/12651) auf eine Kleine Anfrage der Fraktion Die Linke (17/12259) hervorgeht.

  • Das MobiCloud-Projekt bietet vier Pilotprogramme

    Das MobiCloud-Konsortium gab bekannt, dass es erfolgreich die Verhandlungen mit der Generaldirektion der Europäischen Kommission für Kommunikationsnetzwerke, -inhalte und -technologien (DG Connect) abgeschlossen hat. Das MobiCloud-Projekt wird durch das Rahmenprogramm für Wettbewerbsfähigkeit und Innovation (Competitiveness and Innovation framework Programme, CIP) im Zuge des ICT Policy Support Programm (PSP) mit einem Gesamtbudget von 4,45 Millionen Euro kofinanziert.