ETES-Weblog

Kritische Sicherheitslücken bei Cloudlösungen

Gepostet am 24. März 2017 von Sandra Schwarzer in „Know-How“ Kommentare 0

Sandra Schwarzer
Sicherheit bei Cloud Nutzung, stetige Updates sind wichtig

Guter Rat kann teuer werden, wenn man ihn selbst nicht befolgt. Wie Spiegel Online Anfang März berichtete warnen Politiker vor Hackerangriffen, handeln jedoch selbst mitunter fahrlässig.

Die Sorge vor einem Hackerangriff und der Veruntreuung sensibler Daten greift um sich. Nicht nur Privatpersonen sind oftmals ein leichtes Ziel für Hacker sondern wie jetzt bekannt wurde auch Organisationen der Politik und der Privatwirtschaft. Diese weisen trotz der Warnungen seitens des Bundesamts für Sicherheit in der Informationstechnik (BSI) in einigen Fällen weiterhin erhebliche Sicherheitsmängel in ihrer digitalen Infrastruktur auf. Betroffen sind die dort genutzten Cloud-Speicherdienste Nextcloud und ownCloud. Die Cloud-Lösungen zum Selbsthosten ermöglichen es dem Kunden die Sicherheit der Daten selbst in die Hand zu nehmen und auf eigenen Servern zu speichern. Dementsprechend muss der Kunde sich eigenständig um die Updates kümmern. Genau hier entsteht die Sicherheitslücke. Der Hinweis dazu kam durch den Nextcloud-Gründer Frank Karlitschek selbst.

Veraltete Server

Zur Speicherung der Daten verwenden einige der Betroffenen meist völlig veraltete Server, welche durch die reine Erreichbarkeit über das Internet angreifbar sind. Mit nur geringem Aufwand und wenigen Tools aus der Trickkiste können sich Hacker Zugang zu den Inhalten der Cloud verschaffen und möglicherweise noch zu anderen Servern, die in derselben IT-Infrastruktur platziert sind. Das Bewusstsein für die Gefahr eines Hackerangriffs wurde nach dem Vorfall während des US-Präsidentschaftswahlkampfes auch in Deutschland nochmals geschärft. Unternehmen und Organisationen aber auch politische Parteien und Regierungsorganisationen haben begonnen ihre IT-Systeme besser zu schützen, jedoch scheitert es allzu oft an grundlegenden und allgemein geltenden Vorsichtsmaßnahmen. Um eine Sicherheit der Server und somit der Daten garantieren zu können, ist eine stetige Aktualisierung der Software aber auch sicherheitsrelevantes Wissen der Administratoren zwingend notwendig. Dieser Umstand betrifft nicht nur den öffentlichen Bereich, sondern alle Teile der Gesellschaft.

Notwendige und empfohlene Updates werden ignoriert

Deutlich wurde dies durch eine Untersuchung von Nextcloud. Im Zuge der Entwicklung des Security -Scanners wurde der Sicherheitsstand der privaten Online Cloud Server untersucht. Dabei ist aufgefallen, dass viele Kunden eine veraltete Software verwenden. Problem: Sobald die Software einmal installiert ist, werden notwendige und empfohlene Updates mit vollkommener Ignoranz gestraft. In Zeiten des gläsernen Individuums, digitaler Kommunikation und Datenspeicherung lässt sich dieses Verhalten als grobfahrlässig bezeichnen. Mit jedem nicht installierten Update wächst das Risiko für einen Verlust oder Missbrauch der Daten. Insbesondere für Unternehmen oder politische Organisationen kann die Entwendung der Daten einen enormen Schaden zur Folge haben.

Sicherheitsrisiko lässt sich minimieren

Das mit der Zeit wachsende Sicherheitsrisiko lässt sich erheblich minimieren. Beispielsweise bieten wir als IT Systemhaus unseren Kunden sowohl eine gemanagte Lösung innerhalb der Kundeninfrastruktur als auch eine Software as a Service - Lösung (SaaS- Lösung) an.
Mit der SaaS-Lösung erhalten unsere Kunden ein „Rundum-sorglos-Paket“. Das heißt, wir stellen die Software auf einem unserer Server bereit, kümmern uns um die stetige Aktualisierung und stehen den Kunden mit technischem Support zur Seite.
Bei der gemanagten Lösung übernehmen wir die Implementierung auf dem Server des Kunden und unterstützen bei der Migration. Kunden haben dann die Möglichkeit einen Wartungsvertrag mit uns abzuschließen. Damit hat der Kunde die Sicherheit, dass Updates gemanagt eingespielt werden. Oder er entscheidet sich dafür das System selbst zu warten – muss aber dann darauf achten, dass die notwendigen Updates zeitnah installiert werden, um die Systemlandschaft gegenüber Angriffen zu härten. Durch diese angepassten und individuellen Lösungen bleiben die Kunden stets Herr ihrer Daten. Die Aktualität des Servers mit der Cloud kann unter scan.nextcloud.com geprüft werden.

Tags dieses Beitrages: Cloud, Sicherheit, Stuttgart
Trackback-URL: https://www.etes.de/system/modules/trackback/trackback.php?id=2760

Einen Kommentar schreiben

Bitte addieren Sie 9 und 7.