Konzept der Cloud nicht generell unsicher


Risiko durch "Dirty Disks": Datensicherheit in der Cloud fraglich
Generell ist das Sicherheitsrisiko auf die Art und Weise zurückzuführen, wie manche Cloud Computing-Anbieter neue virtuelle Server automatisch einrichten, Betriebssysteme initialisieren und neuen Speicherplatz vergeben

(03.05.12) - Context Information Security hat potenziell schwerwiegende Sicherheitslücken in den Implementierungen von Cloud Computing-Infrastrukturdienstleistungen einiger Anbieter identifiziert. Schwachstelle ist die nicht ausreichende serverseitige Trennung von Kundendaten, die dadurch ernsthaft gefährdet sein können. So gelang es den Analysten, auf die Daten früherer Nutzer zuzugreifen, da diese noch auf den Festplatten gespeichert waren – sie waren durch die Systeme nur überschrieben und nicht gelöscht worden. Auf diesen "Dirty Disks" lagen Teile von Kundendatenbanken sowie Systeminformationen. In Kombination mit anderen Daten könnten Hacker die Kontrolle über andere Hosted Server übernehmen.

"In der Cloud haben wir es nicht mit einer Infrastruktur aus physisch getrennten Speicherboxen zu tun. Ein Angreifer kann vielmehr ein Node (Netzwerkknoten) von einem Anbieter erwerben und eine Attacke auf das Zielunternehmen von derselben physischen Maschine aus starten, mit denselben physischen Ressourcen", erklärt Michael Jordon, Research und Development Manager bei Context.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Das Konzept der Cloud sei damit nicht generell unsicher und die Vorteile blieben überzeugend, betont Jordon. "Dass Angriffe jedoch so einfach möglich sind, wirft die Frage auf, ob die entsprechenden Technologien wirklich schon ausgereift und ob in manchen Fällen die Sicherheitsvorkehrungen sowie die vorgenommenen Tests umfangreich genug sind".

Generell ist das Sicherheitsrisiko auf die Art und Weise zurückzuführen, wie manche Cloud Computing-Anbieter neue virtuelle Server automatisch einrichten, Betriebssysteme initialisieren und neuen Speicherplatz vergeben. Aus Performance-Gründen oder wegen Fehlern werden Sicherheitsmaßnahmen für die Trennung zwischen verschiedenen Nodes auf Multi-User-Plattformen manchmal nicht implementiert. Dadurch können Teilbereiche von anderen virtuellen Festplatten gelesen und damit Zugang zu Daten erlangt werden, die auf physischen Speichermedien des Providers liegen.

Die Sicherheitsexperten von Context testeten insgesamt vier Cloud Computing-Anbieter unter Einhaltung ihrer Vertraulichkeitsverpflichtungen und Haftungsgrundsätze zur Offenlegung. Dabei wurde festgestellt, dass zwei von ihnen ihre virtuellen Server oder Nodes nicht durchgängig über gemeinsam genutzte Hard Disks und Netzwerkressourcen hinweg trennten. Sobald die Möglichkeit zum Datenzugriff bestand, informierte Context beide Provider.

Ein Unternehmen entschied sich umgehend, die bestehende Schwachstelle gemeinsam mit Context weiter zu analysieren und zu beheben. Dabei wurde deutlich, dass die Defizite bei manchen Nutzern der jetzigen Legacy-Plattform für Linux Cloud Server zu finden waren.

Es war jedoch kein Fall bekannt, in dem Kundendaten durch Unberechtigte eingesehen oder sogar missbraucht wurden. Zwischenzeitlich hat Context die aktuelle Cloud Computing-Plattform des Unternehmens sowie die neue Lösung für "Next Generation Cloud"-Computing auf der Basis von OpenStack erneut getestet. Dabei konnte bestätigt werden, dass die Sicherheitsrisiken erfolgreich behoben wurden. Context warnt jedoch vor Sicherheitsrisiken bei anderen Anbietern, die wie populäre Hypervisor-Software einsetzen und in derselben Weise implementiert haben. (Context Information Security: ra)

Context Information Security: Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>



Meldungen: Hintergrund

  • ray ebnet Weg in hybride Cloud-Welt

    proAlpha, Anbieterin von ERP- und Softwarelösungen für die mittelständische Fertigungsindustrie, kündigt die allgemeine Verfügbarkeit seiner webbasierten ERP-Lösung "proAlpha ray" an. Damit erhalten Nutzer über den Browser einfachen und mobilen Zugriff auf das ERP, jederzeit und über nahezu jedes beliebige Endgerät.

  • Viel Potenzial in der neuen "Sales Cloud"

    Es ist die neue Vertriebslösung der SAP: Die "Sales Cloud V2". Sie verspricht vor allem eines: intelligente, automatisierte und user-freundliche Prozesse. Wie viel Erleichterung verschafft die neue Lösung den Vertriebs-Teams? Und was sind die Unterschiede zur Vorgängerversion?

  • Dell RMAD beschleunigt Disaster Recovery

    Dell liefert ab sofort das neue Release des "Dell Recovery Manager for Active Directory" und des "Recovery Manager for Active Directory Forest Edition 8.7" aus. Unternehmen, die eine hybride Active-Directory-Umgebung mit Azure AD Connect betreiben, sind so in der Lage, AD-Objekte in Echtzeit zu sichern, zu analysieren und wiederherzustellen - und dies sowohl in On-Premises-Umgebungen als auch in der Cloud. Damit ist Dell der erste Anbieter im Markt, der eine vollständige Suite von AD-Backup- und Recovery-Lösungen bereitstellt, die Item-Level Recovery, vergleichende Berichte und Attribute-Rollback-Funktionalitäten unterstützen. Unternehmen erhalten die vollständige Kontrolle, die sie für eine erfolgreiche, hybride AD-Verwaltung benötigen. Sie sind damit in der Lage, in ihrem Rechenzentrum eine automatische Wiederherstellung auf Forest-Ebene vorzunehmen sowie eine voll funktionsfähige Virtual-Lab-Umgebung aufzubauen.

  • Fortschrittlicheres IT-Management

    Kaseya, Anbieterin von Software für Cloud-basiertes IT-Management, stellt ein Fünf-Schritte-Model von, mit dem Unternehmen fortschrittlicheres IT-Management haben können. Im Gegensatz zur gängigen Annahme haben mittelständische Unternehmen einen großen Vorteil, wenn sie ihre IT voranbringen wollen. Der Schlüssel dafür heißt Flexibilität, weil Mittelständler ihre IT mit einem geringen finanziellen Aufwand weiterentwickeln können.

  • HR-Management aus der Cloud

    Das Personalwesen und das Human Capital Management (HCM) haben in den letzten Jahren deutlich und vielerorts auch nachhaltig an Bedeutung gewonnen. Mit den wachsenden Funktionsumfängen betriebswirtschaftlicher Lösungen hat sich das Personalwesen vom Verwaltungsapparat bis heute zu einem wertvollen strategischen Instrument zur Umsetzung der Unternehmensziele entwickelt. Nicht nur im personalintensiven Dienstleistungssektor gilt das Human Capital Management heute als kardinale Managementdisziplin, die mit ihren Kernaufgaben wie u.a. Personalauswahl, Talent und Performance Management, Personalentwicklung, Self Services oder Ressourcensteuerung einen gewichtigen Beitrag zum Unternehmenserfolg leistet. Bedarfsgerechte Cloud Computing-Angebote eröffnen mit ihren flexiblen und nutzungsorientierten Betriebsmodellen quasi für jedermann eine schnelle und preisgünstige Transformation der HR-Prozesse zu einem proaktiven Managementwerkzeug.

  • Cloud: Auch WANs können Probleme bereiten

    Cloud Computing bringt einem Unternehmen eine Menge Vorteile, etwa niedrigere Kosten, Rechenleistung und Software nach Bedarf oder Zugriff auf ausgefeilte Funktionen wie Disaster Recovery und Datenreplizierung in einem Cloud-Data-Center. "Doch ein Cloud Computing-Projekt kann schnell in einem Debakel enden", warnt Jeff Aaron, Vice President Marketing bei Silver Peak Systems, einem weltweit führenden Anbieter von Software, mit der sich Daten schnell, effizient und sicher über große Entfernungen übermitteln lassen. "Das ist dann der Fall, wenn der Nutzer nicht im Vorfeld prüft, ob seine Netzwerkinfrastruktur für die speziellen Anforderungen von Cloud Computing-Diensten ausgelegt ist."

  • Externe Cloud kann zur Schatten-IT führen

    Laut den Analysten von Gartner wird der Anteil der Mitarbeiter, die im IT-Betrieb tätig sind, von heute bis zu 70 Prozent auf unter 30 Prozent sinken (Gartner: "IT Professional Outlook, 2012 to 2016", Januar 2012). Damit steht die IT-Organisation vor einer drastischen Veränderung: Soll sie den IT-Betrieb weiterhin intern leisten, so muss sie einen hohen Automatisierungsgrad erreichen. Der Druck auf IT-Verantwortliche wird durch die Angebote externer Cloud Service-Provider verstärkt, die IT-Leistungen durch flexibel skalierbare Rechenzentren mit modernster Technik anbieten.

  • Komplexitätsproblem Cloud Computing

    Keine Frage, Cloud Computing ist auf dem Vormarsch. Schon heute hängen 44 Prozent aller Händler-Websites von Amazons Cloud Computing-Plattform "EC2" ab. Dazu steigt der Anteil an Online-Inhalten von Drittanbietern (CDN) stetig weiter an. Und auch Big Data steht nicht mehr zu Wahl, sondern ist bereits Wirklichkeit. Nach Erhebungen von Deloitte werden bis Ende des Jahres schon über 90 Prozent der Fortune 500 Unternehmen Big Data-Initiativen auf den Weg gebracht haben.

  • Cloud Computing braucht Sicherheit

    Die Gefahren beim Cloud Computing müssen beherrschbar sein. Dies forderte die Nifis Nationale Initiative für Informations- und Internet-Sicherheit e.V. anlässlich der diesjährigen it-sa 2012. Laut Nifis ist die Gefahr, beim Nutzen der Daten-Wolke durch Hacker-Angriffe in Mitleidenschaft gezogen zu werden und dabei sensible Daten zu verlieren, sehr groß. Vor allem Datenpannen bei Cloud Computing-Anbietern sorgen immer wieder für ein unkalkulierbares Bedrohungspotential.

  • Was Cloud-Lösungen dem Mittelstand bringen

    Der Vorteil von Cloud Computing-Anwendungen im Mittelstand ist in aller Munde. ProjectHQ bietet mit dem "Cloud-Kompass" nun den direkten Vergleich zwischen klassischer Software und modernen Cloud-Lösungen. Mit dem "ProjectHQ Cloud-Kompass" ist es möglich, den direkten Kostenvergleich zwischen klassischer Software und einer modernen Cloud Computing-Lösung anzustellen. Interessierte Unternehmen können mit nur wenigen Angaben zu bestehenden Systemen eine aussagekräftige Abschätzung der Kosten- und Funktionsvorteile für ihre Ansprüche erhalten.

Schnittstellen sind Angriffsstellen Strategie für den Weg ins Cloud Computing

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen