12.04.2017 | Veraltete Softwareversionen

BSI warnt vor Sicherheitslücken bei vielen Cloud-Servern

Vorsicht mit eigenen Cloud-Servern. Ohne regelmäßige Updates sind die Daten nicht sicher
Bild: Corbis

Das Bundesamt für Sicherheit in der Informationstechnik hat eine dringende Warnung an die Öffentlichkeit abgesetzt. Allein in Deutschland werden derzeit über 20.000 Cloud-Server mit veralteten Softwareversionen betrieben, die kritische Sicherheitslücken aufweisen, die gespeicherte Daten gefährden. Von den Betreibern, die auf dieses Risiko hingewiesen wurden, haben bislang wenige reagiert.

Viele Unternehmen, Freiberufler, öffentliche Institutionen oder auch Privatleute stehen der Nutzung von öffentlichen Cloud-Diensten skeptisch gegenüber und verzichten häufig aus Datenschutzgründen auf diese Angebote, etwa weil sie personenbezogene Daten nicht im Ausland speichern oder Daten generell nicht aus der Hand geben wollen.

Eigener Cloud-Server birgt auch seine Gefahren

Um dennoch nicht auf die Vorteile der Cloud verzichten zu müssen, betreiben viele Anwender eigene Cloud-Server, was mit wenig Aufwand und Know-how möglich ist. Zu den populärsten Lösungen dieser Art gehören etwa ownCloud oder Nextcloud, doch gerade bei dieser Software wurden schon vor einiger Zeit Schwachstellen entdeckt, die es Angreifern ermöglichen, auf die gespeicherten Daten zuzugreifen und diese zu entwenden.

Sicherheitslücken durch unterbliebene Updates

Für diese Sicherheitslücken gibt es zwar schon seit geraumer Zeit Updates der Hersteller, doch viele Cloud-Betreiber haben auf die Installation bislang verzichtet und setzen sich somit überflüssigerweise den Risiken aus. Betroffen sind nach BSI-Angaben allein in Deutschland über 20.000 Cloud-Server, die beispielsweise von

  • zahlreichen mittelständischen und größeren Unternehmen,
  • öffentlichen und kommunalen Einrichtungen,
  • Energieversorgern,
  • Krankenhäusern,
  • Ärzten,
  • Rechtsanwälten
  • und auch privaten Nutzern betrieben werden.

Updates werden nicht eingespielt

Bereits seit Anfang Februar hat das CERT über die Netzbetreiber und Provider die Betreiber der betroffenen Cloud-Dienste informiert, doch bislang hat nur etwa jeder fünfte Betreiber reagiert und die angebotenen Sicherheitsupdates aufgespielt. Bei 80 Prozent der Cloud-Lösungen bleibt das Risiko somit trotz der bereits seit längerem verfügbaren Sicherheitsupdates bestehen. BSI-Präsident Arne Schönbohm bezeichnete die geringe Resonanz auf die Warnungen als fahrlässig, da es Kriminellen hierdurch sehr leicht falle, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen.

Empfehlungen zum besseren Schutz

Das BSI empfiehlt allen Nutzern eigener ownCloud- und Nextcloud-Installationen daher dringend, über die von den jeweiligen Herstellern kostenfrei zur Verfügung gestellten Sicherheitstests zu überprüfen, ob die genutzten Softwareversionen ausreichend gesichert sind.

Generell empfiehlt das BSI, alle in Eigenregie betriebenen Cloud-Lösungen regelmäßig auf Aktualität zu überprüfen und angebotene Sicherheitsupdates unmittelbar zu überspielen.

Provider oder Unternehmen, die Cloud-Dienste für Dritte anbieten, sollten die Sicherheit der eingesetzten Lösungen zudem nach dem BSI-Anforderungskatalog Cloud Computing (C5) zertifizieren lassen.


Weitere News zum Thema

Nicht alle Daten in der Cloud sichern

Datenschutzbehörden hinterfragen Cloudnutzung durch Unternehmen

Schlagworte zum Thema:  Cloud Computing, Datenschutz

Aktuell
Meistgelesen