Das Bundesamt für Sicherheit in der Informationstechnik hat eine dringende Warnung an die Öffentlichkeit abgesetzt. Allein in Deutschland werden derzeit über 20.000 Cloud-Server mit veralteten Softwareversionen betrieben, die kritische Sicherheitslücken aufweisen, die gespeicherte Daten gefährden. Von den Betreibern, die auf dieses Risiko hingewiesen wurden, haben bislang wenige reagiert.
Viele Unternehmen, Freiberufler, öffentliche Institutionen oder auch Privatleute stehen der Nutzung von öffentlichen Cloud-Diensten skeptisch gegenüber und verzichten häufig aus Datenschutzgründen auf diese Angebote, etwa weil sie personenbezogene Daten nicht im Ausland speichern oder Daten generell nicht aus der Hand geben wollen.
Eigener Cloud-Server birgt auch seine Gefahren
Um dennoch nicht auf die Vorteile der Cloud verzichten zu müssen, betreiben viele Anwender eigene Cloud-Server, was mit wenig Aufwand und Know-how möglich ist. Zu den populärsten Lösungen dieser Art gehören etwa ownCloud oder Nextcloud, doch gerade bei dieser Software wurden schon vor einiger Zeit Schwachstellen entdeckt, die es Angreifern ermöglichen, auf die gespeicherten Daten zuzugreifen und diese zu entwenden.
Sicherheitslücken durch unterbliebene Updates
Für diese Sicherheitslücken gibt es zwar schon seit geraumer Zeit Updates der Hersteller, doch viele Cloud-Betreiber haben auf die Installation bislang verzichtet und setzen sich somit überflüssigerweise den Risiken aus. Betroffen sind nach BSI-Angaben allein in Deutschland über 20.000 Cloud-Server, die beispielsweise von
- zahlreichen mittelständischen und größeren Unternehmen,
- öffentlichen und kommunalen Einrichtungen,
- Energieversorgern,
- Krankenhäusern,
- Ärzten,
- Rechtsanwälten
- und auch privaten Nutzern betrieben werden.
Updates werden nicht eingespielt
Bereits seit Anfang Februar hat das CERT über die Netzbetreiber und Provider die Betreiber der betroffenen Cloud-Dienste informiert, doch bislang hat nur etwa jeder fünfte Betreiber reagiert und die angebotenen Sicherheitsupdates aufgespielt. Bei 80 Prozent der Cloud-Lösungen bleibt das Risiko somit trotz der bereits seit längerem verfügbaren Sicherheitsupdates bestehen. BSI-Präsident Arne Schönbohm bezeichnete die geringe Resonanz auf die Warnungen als fahrlässig, da es Kriminellen hierdurch sehr leicht falle, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen.
Empfehlungen zum besseren Schutz
Das BSI empfiehlt allen Nutzern eigener ownCloud- und Nextcloud-Installationen daher dringend, über die von den jeweiligen Herstellern kostenfrei zur Verfügung gestellten Sicherheitstests zu überprüfen, ob die genutzten Softwareversionen ausreichend gesichert sind.
- Für ownCloud ist dieser Test über die Adresse https://scan.owncloud.com/ erreichbar,
- bei Nextcloud lautet die Adresse entsprechend https://scan.nextcloud.com/.
Generell empfiehlt das BSI, alle in Eigenregie betriebenen Cloud-Lösungen regelmäßig auf Aktualität zu überprüfen und angebotene Sicherheitsupdates unmittelbar zu überspielen.
Provider oder Unternehmen, die Cloud-Dienste für Dritte anbieten, sollten die Sicherheit der eingesetzten Lösungen zudem nach dem BSI-Anforderungskatalog Cloud Computing (C5) zertifizieren lassen.
Weitere News zum Thema
Nicht alle Daten in der Cloud sichern
Datenschutzbehörden hinterfragen Cloudnutzung durch Unternehmen