- Anzeige -


Sie sind hier: Startseite » Markt » Nachrichten

Sicherheitsbedrohung durch sorglose Cloud-Nutzung


Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud Computing-Dienste basieren, waren rund 30 Prozent verwundbar
Cased-Wissenschaftler finden sensible Daten von Nutzern der Amazon Web Services


(29.06.11) - Wissenschaftler des Darmstädter Forschungszentrums Cased haben große Sicherheitsmängel in zahlreichen virtuellen Maschinen in der Amazon-Cloud entdeckt. Von 1100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können.

Ursache ist der fahrlässige Umgang von Amazon-Kunden mit AMIs. Zur Prüfung solcher Maschinen haben die Cased-Wissenschaftler einen Schwachstellenscanner entwickelt, der im Internet unter http://trust.cased.de/AMID kostenlos heruntergeladen werden kann.

Dank steigender Popularität, einfacher Benutzbarkeit und großen Preisvorteilen bieten immer mehr Firmen und private Nutzer zahlreiche Dienste in der Cloud an. Während Experten die Sicherheitsaspekte der zugrundeliegenden Cloud-Infrastruktur bereits ausgiebig diskutieren, werden die Fehler beim Aufbau solcher Dienste häufig noch stark unterschätzt. Wie schwerwiegend die Folgen mangelnder Sorgfalt von Cloud Computing-Kunden sein können, zeigt eine aktuelle Untersuchung der Forschungsgruppe um Prof. Ahmad-Reza Sadeghi am Center for Advanced Security Research Darmstadt (Cased).

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Die Forscher des Fraunhofer SIT in Darmstadt und des System Security Labs der TU Darmstadt untersuchten Dienste, die von Kunden der Cloud Computing-Anbieterin Amazon Web Services (AWS) veröffentlicht wurden. Obwohl AWS auf ihren Webseiten ausführliche Sicherheitsempfehlungen geben, fanden die Forscher in mindestens einem Drittel der Fälle fehlerhafte Konfigurationen und sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate. Mit diesen Informationen können Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Webdienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln.

"Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services. Wir gehen davon aus, dass auch Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden", betont Prof. Sadeghi. In Abstimmung mit dem Sicherheitsteam von Amazon Web Services wurden die betroffenen Kunden informiert. (Fraunhofer SIT: ra)

Fraunhofer SIT: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>



Meldungen: Nachrichten

  • Zugriff auf Cloud-Daten

    Vor dem Hintergrund der von der EU geplanten Erweiterung eines geplanten Rechtsaktes, um direkt auf Daten von Internet-Dienstleistern auch aus den USA zugreifen zu können, fragt die Fraktion Die Linke nach der Haltung der Bundesregierung dazu. In einer Kleinen Anfrage (19/2941) wollen die Abgeordneten wissen, wie sie die Frage der Notwendigkeit eines Direktzugriffs europäischer Behörden auf Daten bei international tätigen Internetdienstleistern beurteilt. Ferner fragen sie unter Verweis auf Drucksache 19/1493, welche Möglichkeiten der grenzüberschreitenden Datenherausgabe unter Wahrung des geltenden Grundrechtsschutzniveaus überhaupt infrage kämen.

  • Empfehlungen für mehr Cloud-Sicherheit

    Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzen, weisen zum Teil kritische Sicherheitslücken auf. Angreifer können durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Betroffen sind u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer.

  • Damit Datenfluss nicht ins Stocken gerät

    Der Einzug moderner computergestützter Technologien hat die Lebenswissenschaften grundlegend verändert. In biomedizinischen Laboren werden heute in kurzer Zeit große Datenmengen erhoben, etwa bei der Sequenzierung des menschlichen Genoms. Die intelligente Verknüpfung und Nutzung dieser wachsenden Datenmengen eröffnen große Chancen für Wissenschaft und Gesellschaft. Gleichzeitig stellt Big Data Forscher vor neue Herausforderungen: Wie können die heterogenen Datenpakete sinnvoll verwaltet und ausgewertet werden? Was tun, wenn passende IT-Systeme zur Datenanalyse im eigenen Labor fehlen? Wie lässt sich die Sicherheit der Inhalte gewährleisten?

  • Europäische Cloud Computing-Initiative

    Die Europäische Kommission präsentierte ihre Pläne, damit Wissenschaft, Unternehmen und der öffentliche Sektor mit Hilfe Cloud-gestützter Dienste und erstklassiger Infrastrukturen besser von der Big Data-Revolution profitieren können. Europa gehört zu den weltweit größten Produzenten wissenschaftlicher Erkenntnisse, kann aber die gewaltige Menge an Daten, die es generiert ("Big Data"), aufgrund unzureichender und fragmentierter Infrastrukturen nur bedingt nutzen.

  • Schneller Blick auf Finanzdaten und Cashflows

    Viele mittelständische Unternehmen besitzen zwar ein in Deutschland passendes ERP-System, doch vor allem bei internationaler Expansion benötigen sie eine effiziente Lösung zur Kontrolle von Finanzdaten und Cashflows. Exact gibt Empfehlungen, welche Aspekte dabei zu beachten sind. Dem Mittelstand stellen sich in Bezug auf ERP-Systeme zahlreiche Fragen: Wie lassen sich damit Finanzdaten, -prozesse und Cashflows zentral kontrollieren? Bieten die Lösungen auch einen tagesaktuellen Zahlenüberblick über alle ausländischen Niederlassungen? Kann ERP im Kontext mit BI angewendet werden? Funktioniert der Cloud-basierte Software-as-a-Service (SaaS)-Ansatz auch in Deutschland?

  • Schnelle Netzverbindung zwischen Cloud-Umgebungen

    Wissenschaftler von AT&T, IBM und Applied Communication Sciences (ACS) haben den Prototypen einer Technologie vorgestellt, die den Aufbau einer Netzverbindung zwischen zwei Cloud Computing-Umgebungen drastisch beschleunigen soll. Durch den Einsatz von neuartigen optischen Netzwerkkomponenten und intelligenter "Cloud Data Center Orchestrator"-Software kann eine so genannte elastische Netzverbindung mit hohen Übertragungsraten zwischen Cloud-Umgebungen aufgebaut werden.

  • Orientierungshilfe auf dem Weg in die Cloud

    Digitaleurope und Deutschland sicher im Netz (DsiN) starteten den "EU Cloud Scout": Der interaktive Online-Check gibt kleinen und mittelständischen Unternehmen Orientierungshilfe auf dem Weg in die Cloud. Das Angebot wurde in Anwesenheit der Vizepräsidentin der EU-Kommission Neelie Kroes in Brüssel präsentiert. Der EU Cloud Scout bietet mittelständischen Unternehmen - basierend auf einem Online-Fragebogen - verständliche Informationen über die Cloud mit einem Schwerpunkt auf Sicherheitsfragen. Er wurde auf Initiative von DsiN entwickelt und erstmalig auf der CeBIT 2013 vorgestellt. Inzwischen verzeichnet der kostenfreie Online-Check mehrere tausend Aufrufe.

  • Messbarer Datenschutz für Clouds

    Wie sicher ist die Cloud? Viele Unternehmen und Behörden haben Bedenken, dass ihre Daten bei externen Cloud Computing-Anbietern nicht ausreichend geschützt sind. Das Projekt VeriMetrix macht deshalb die Sicherheit von Cloud Computing-Daten messbar: Ziel von VeriMetrix ist eine Lösung, mit welcher potenzielle Nutzer Datenschutz und Datensicherheit von Cloud Computing-Angeboten beurteilen, vergleichen und nachprüfen können.

  • Was meinen Sie zu "Trusted Cloud Europe"?

    Die Europäische Cloud-Partnerschaft (ECP) bittet in einer Umfrage um Stellungnahmen zu der Initiative "Trusted Cloud Europe". Es geht um Ideen, wie Europa öffentlichen und privaten Einrichtungen und Unternehmen helfen kann, Cloud-Dienste in einem sicheren und vertrauenswürdigen Umfeld zu nutzen sowie zu kaufen und zu verkaufen.

  • Zusätzliche Flexibilität bei Lizenzen erwirkt

    Im Juli 2013 hatte SAP eine neue Regelung in Bezug auf die SAP-Cloud-Lizenzierung bekannt gegeben. Diese Regelung, mit der On-Premise- in Cloud Computing-Lizenzen verlagert werden können, wurde nun im August um ein weiteres Modell ergänzt. SAP-Anwenderunternehmen können von nun an einen Neukauf von im Unternehmen betriebenen SAP-Anwendungen (On-Premise) mit einer entsprechenden Teilkündigung von Lizenz-Nutzungsrechten und Pflegegebühren verknüpfen. Diese Änderung soll Investitionen in SAP-Innovationen erleichtern. Damit hat SAP die im Juli geänderte Regelung, mit der On-Premise- in Cloud Computing-Lizenzen verlagert werden können, um ein weiteres Modell ergänzt.