- Anzeige -


Sie sind hier: Startseite » Markt » Nachrichten

Empfehlungen für mehr Cloud-Sicherheit


Tausende Clouds in Deutschland anfällig für Cyber-Attacken
Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen

- Anzeigen -





Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzen, weisen zum Teil kritische Sicherheitslücken auf. Angreifer können durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Betroffen sind u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer.

Lesen Sie zum Thema "IT-Security" auch: IT SecCity.de (www.itseccity.de)

Bereits seit Anfang Februar benachrichtigt das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) deutsche Netzbetreiber über diese dem BSI bekannten betroffenen Cloud Computing-Systeme. Provider sind aufgerufen, ihre Kunden, die die Clouds in Eigenverantwortung betreiben, entsprechend zu informieren. Bislang hat jedoch nur rund ein Fünftel der bekannten betroffenen Unternehmen, Institutionen und Privatnutzer reagiert und die Sicherheitslücken durch bereits längere Zeit verfügbare Updates geschlossen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen. Empfehlungen des BSI für mehr Cloud-Sicherheit sind verfügbar, als nationale Cyber-Sicherheitsbehörde stehen wir Cloud-Anwendern gern mit Rat und Tat zur Seite."

Unabhängig vom Hersteller der Cloud Computing-Software rät das BSI Cloud-Betreibern, den Versionsstand der von ihnen eingesetzten Cloud-Software regelmäßig zu überprüfen und bereitgestellte Updates schnellstmöglich zu installieren. Die Hersteller der weit verbreiteten Cloud-Software ownCloud und Nextcloud bieten unter https://scan.owncloud.com bzw. https://scan.nextcloud.com kostenfreie Dienste an, mit denen Betreiber den Sicherheitsstatus von Clouds auf Basis dieser Software überprüfen können.

Das BSI bietet zudem hilfreiche Empfehlungen für Cloud-Betreiber und Cloud-Nutzer (https://www.bsi.bund.de/cloud). Cloud-Diensteanbieter haben zudem die Möglichkeit, die Sicherheit ihrer Cloud Computing-Dienste nach dem BSI-Anforderungskatalog Cloud Computing (C5) testieren zu lassen (https://www.bsi.bund.de/C5). So erhalten auch Kunden einen wichtigen Hinweis auf das Sicherheitsniveau der angebotenen Cloud-Dienstleistung.

Cloud-Systeme ermöglichen einen einfachen Austausch bzw. eine Synchronisation von Daten. Viele Tausend der in Deutschland betriebenen Cloud-Systeme laufen jedoch mit veralteten Software-Versionen, die von den Herstellern der Cloud-Software nicht mehr unterstützt werden und daher kritische Sicherheitslücken aufweisen. Angreifer können diese Schwachstellen ausnutzen, um unberechtigt auf die in der Cloud gespeicherten Daten zuzugreifen.

Dabei können die Angreifer sensible Informationen wie Kundendaten, Unternehmensdaten oder persönliche Dokumente ausspähen und diese für kriminelle Zwecke nutzen. Weitere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server. Dies kann zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen. (BSI: ra)

eingetragen: 16.03.17
Home & Newsletterlauf: 27.03.17

Meldungen: Nachrichten

  • Bundesförderung für Entwicklung von Schul-Clouds

    Cloud Computing verbreitet sich immer mehr. Auch der Einsatz von Clouds in Schulen hat ein großes Potenzial. Bislang greifen vor allem zahlreiche Onlinedienstleistungen auf Cloudlösungen zurück, indem sie Speicherplatz, Rechenleistung und Software aus einem Rechnernetzwerk nutzen, anstatt eine entsprechende Infrastruktur vor Ort aufzubauen. Das schreibt die FDP in ihrer Kleinen Anfrage (19/7681).

  • Kundendaten insolventer Cloud-Dienst-Anbieter

    Die Zugriffsmöglichkeiten von Kunden insolventer Cloud-Dienst-Anbieter auf ihre Daten sind Thema einer Kleinen Anfrage der FDP-Fraktion (19/7808). Die Lage sei unklar, und der Verlust der Daten von Privatpersonen und Unternehmen nicht auszuschließen, heißt es in der Anfrage, in der auf vertragliche Dateneigentumsklauseln, die sich in den USA etabliert hätten, verwiesen wird. Die Fragesteller wollen daher unter anderem wissen, wie die Bundesregierung die Zugehörigkeit von Kundendaten zur Insolvenzmasse eines Cloud-Dienst-Anbieters als Vermögenswert beurteilt.

  • Strategie zur Künstlichen Intelligenz

    Die Deutsche Bundesregierung will die Künstliche Intelligenz (KI) als Schlüsseltechnologie intensiv und in der Breite fördern. Deutschland soll führender Standort für die Entwicklung und Anwendung von KI-Technologien werden, auch um die Wettbewerbsfähigkeit des Landes zu sichern, heißt es in der Antwort (19/6327) auf eine Kleine Anfrage der Fraktion der FDP (19/5634). Die Bundesregierung trete für eine verantwortungsvolle und gemeinwohlorientierte Entwicklung und Nutzung von KI ein und wolle die Nutzung verantwortungsvoll in Zusammenarbeit mit Wissenschaft und Wirtschaft und im Dialog mit der Gesellschaft voranbringen. Dazu habe das Kabinett am 15. November 2018 eine Strategie Künstliche Intelligenz beschlossen, die für die kommenden sieben Jahre Investitionen in Höhe von drei Milliarden Euro vorsehe.

  • Leitsysteme der Bahn in der Cloud

    Für die Möglichkeit der Auslagerung von Leitsystemen der Bahnen (U-Bahn, S-Bahn, Straßenbahn, Zahnradbahn sowie andere Bahnsysteme) in eine Cloud interessiert sich die AfD-Fraktion. In einer Kleinen Anfrage (19/5695) verweisen die Abgeordneten darauf, dass in der Schweiz die Gornergratbahn als erstes Bahnunternehmen ihr gesamtes Leitsystem in eine Cloud ausgelagert habe.

  • Einheitlich: Ansatz in Bezug auf Interoperabilität

    IoT-Geräte-Ökosystem, Cloud-Managementfunktionen, IoT-Standardtechnologie, Open Connectivity Foundation, IoT-Kompatibilitätskluft, IoT-Standardtechnologie, OCF-Rahmenwerk,

  • Zugriff auf Cloud-Daten

    Vor dem Hintergrund der von der EU geplanten Erweiterung eines geplanten Rechtsaktes, um direkt auf Daten von Internet-Dienstleistern auch aus den USA zugreifen zu können, fragt die Fraktion Die Linke nach der Haltung der Bundesregierung dazu. In einer Kleinen Anfrage (19/2941) wollen die Abgeordneten wissen, wie sie die Frage der Notwendigkeit eines Direktzugriffs europäischer Behörden auf Daten bei international tätigen Internetdienstleistern beurteilt. Ferner fragen sie unter Verweis auf Drucksache 19/1493, welche Möglichkeiten der grenzüberschreitenden Datenherausgabe unter Wahrung des geltenden Grundrechtsschutzniveaus überhaupt infrage kämen.

  • Empfehlungen für mehr Cloud-Sicherheit

    Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzen, weisen zum Teil kritische Sicherheitslücken auf. Angreifer können durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Betroffen sind u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer.

  • Damit Datenfluss nicht ins Stocken gerät

    Der Einzug moderner computergestützter Technologien hat die Lebenswissenschaften grundlegend verändert. In biomedizinischen Laboren werden heute in kurzer Zeit große Datenmengen erhoben, etwa bei der Sequenzierung des menschlichen Genoms. Die intelligente Verknüpfung und Nutzung dieser wachsenden Datenmengen eröffnen große Chancen für Wissenschaft und Gesellschaft. Gleichzeitig stellt Big Data Forscher vor neue Herausforderungen: Wie können die heterogenen Datenpakete sinnvoll verwaltet und ausgewertet werden? Was tun, wenn passende IT-Systeme zur Datenanalyse im eigenen Labor fehlen? Wie lässt sich die Sicherheit der Inhalte gewährleisten?

  • Europäische Cloud Computing-Initiative

    Die Europäische Kommission präsentierte ihre Pläne, damit Wissenschaft, Unternehmen und der öffentliche Sektor mit Hilfe Cloud-gestützter Dienste und erstklassiger Infrastrukturen besser von der Big Data-Revolution profitieren können. Europa gehört zu den weltweit größten Produzenten wissenschaftlicher Erkenntnisse, kann aber die gewaltige Menge an Daten, die es generiert ("Big Data"), aufgrund unzureichender und fragmentierter Infrastrukturen nur bedingt nutzen.

  • Schneller Blick auf Finanzdaten und Cashflows

    Viele mittelständische Unternehmen besitzen zwar ein in Deutschland passendes ERP-System, doch vor allem bei internationaler Expansion benötigen sie eine effiziente Lösung zur Kontrolle von Finanzdaten und Cashflows. Exact gibt Empfehlungen, welche Aspekte dabei zu beachten sind. Dem Mittelstand stellen sich in Bezug auf ERP-Systeme zahlreiche Fragen: Wie lassen sich damit Finanzdaten, -prozesse und Cashflows zentral kontrollieren? Bieten die Lösungen auch einen tagesaktuellen Zahlenüberblick über alle ausländischen Niederlassungen? Kann ERP im Kontext mit BI angewendet werden? Funktioniert der Cloud-basierte Software-as-a-Service (SaaS)-Ansatz auch in Deutschland?


Meldungen: Kommentare und Meinungen

  • Cloud-Sicherheit: Geteilte Verantwortung

    Wer übernimmt beim Cloud Computing die Verantwortung für die IT-Sicherheit? Vielen Unternehmen scheint weiterhin nicht umfangreich genug bewusst zu sein, dass es zwei verantwortliche Parteien gibt - und zwei Bereiche, die hier unabhängig voneinander geschützt werden: Zum einen ist da die Cloud selbst, für deren Schutz der Anbieter die Verantwortung übernimmt. Zum anderen sind da die gespeicherten Daten und aufgesetzten Anwendungen eines Unternehmens, das die Cloud nutzt. Deren Schutz - und hier liegt oft das Missverständnis - hat das Unternehmen zu verantworten, nicht der Anbieter. Shared Responsibility, also geteilte Verantwortung, beschreibt häufig das Verhältnis der beiden Beteiligten, doch scheitern noch viele Cloud-Projekte an dieser Idee.

  • Imageschaden für das Cloud-Konzept

    Schon wieder ein Datenvorfall: mehrere Millionen Patientendaten waren ungeschützt via Internet erreichbar. Das fanden der Bayerische Rundfunk und das US-Rechercheportal ProPublica heraus. Den Tipp gab ein IT-Sicherheitsspezialist. Ihm gelang es mühelos, Adressen und Röntgenbilder von Patienten, in Deutschland mehr als 13.000, anzusehen. Sinnentsprechend meinte der Security-Fachmann, dass er die Bilder wohl im Internet früher als die Ärzte gesehen habe. Wie konnte das passieren? Florian van Keulen, Solution Architect & Head of Product Design for Cloud und Cloud Security beim IT-Dienstleister Trivadis, kommentiert.

  • Compliance mit hiesigen Verordnungen

    Wie die Frankfurter Allgemeine Zeitung unter Berufung auf die Deutsche Bundesregierung berichtete, strebt Bundeswirtschaftsminister Peter Altmaier ein europäisches Cloud-Netzwerk an. Konkret sollen sich hier kleinere Anbieter aus dem Bereich Cloud verbünden, indem sie ein offenes Netzwerk bilden und somit Europa mit Rechenkraft versorgen. Als Quelle für diese Informationen nannte die FAZ ein internes Papier des Ministers, nach dem eine europäische Dateninfrastruktur das Ziel sei. Die Bundesregierung plane weiterhin, als Nutzer der europäischen Cloud eine zentrale Rolle zu übernehmen. Die Entscheidung, ob das vorerst auf "Gaia-X" getaufte Projekt als Unternehmen, Stiftung oder Verein gegründet werden solle, stehe derzeit noch aus.

  • SD-WAN und UCaaS

    Viele CIOs migrieren ihre Geschäftsanwendungen und Infrastrukturen in die Cloud, einschließlich Echtzeit-Sprachanruf-, Videokonferenz- und Kollaborationsanwendungen. Sie setzen zunehmend Unified Communications als Service (UCaaS) ein, um Sprach-, Video- und Webkonferenzen über Cloud-basierte Software zu optimieren. Gartner prognostiziert, dass 90 Prozent der IT-Verantwortlichen bis 2021 keine neue Unified Communications (UC)-Infrastruktur mit gehosteten Räumlichkeiten kaufen werden. Der Trend geht hin zu in der Cloud gehostete UCaaS-Angebote hinsichtlich Features, Funktionen, Analysen und Dashboards.

  • Sensible Daten nicht an US-Konzerne übergeben

    Aufgrund von Sicherheitsbedenken gegenüber US-Konzernen will die Bundesregierung aktiv werden und eine sog. "Europa-Cloud" aufbauen. Wirtschaftsminister Peter Altmaier und Innenminister Horst Seehofer treiben die Pläne voran. Dass man gegen US-Konzerne Sicherheitsbedenken haben sollte, ist in der IT-Branche seit jeher bekannt. Wir haben die Verschlüsselungssoftware "Boxcryptor" bereits vor acht Jahren in dem Bewusstsein entwickelt, dass man sensible Daten nicht einfach so US-Konzernen übergeben kann. Das Hauptargument für eine Europäische Cloud ist, dass keine Daten in andere Länder abfließen sollen. Stattdessen sollen sie in Europa bleiben wo sie vermeintlich besser geschützt sind. Doch das ist zu kurz gedacht. In der Folge hätte statt einem US-Anbieter ein Europäischer Anbieter Zugriff auf die Daten und damit ist niemandem geholfen. Der Grund für Ende-zu-Ende-Verschlüsselung ist genau der, dass wirklich niemand - außer der Eigentümer selbst - Zugriff auf die Daten hat - egal wo sie gespeichert sind. Anders gesagt: Man sollte sensible Daten auch nicht unverschlüsselt in irgendeiner schwäbischen, bayrischen, deutschen oder europäischen Cloud ablegen.

  • Sorgen rund um Cloud Act unbegründet

    Die Deutsche Bundesregierung will den Aufbau deutscher und europäischer Cloud-Plattformen forcieren. Dazu äußert sich Ralf Sürken, CEO Europe des IT-Dienstleisters Syntax: "Es ist begrüßenswert, dass die Bundesregierung das fehlende Angebot von europäischen Cloud Computing-Plattformen erkannt hat und etwas dagegen unternehmen möchte. Ich bin überzeugt davon, dass ein großer europäischer oder deutscher Public-Cloud-Anbieter auch in den USA Kredit genießen würde - aufgrund der anerkannt hohen Datenschutzrichtlinien in der EU. Außerdem belebt Konkurrenz das Geschäft.

  • ADC-Markt im grundlegenden Umbruch

    Der ADC-Markt ist heute eine Industrie, die 4-Milliarden US-Dollar pro Jahr umsetzt und bis 2021 soll der Markt sogar auf über 6 Milliarden US-Dollar anwachsen. Dieses Wachstum überrascht wenig, da sich Anwendungen bei vielen Unternehmen zu einem der wichtigsten Aspekte ihres Geschäfts entwickelt haben. Entsprechend sind Application Delivery Controller eine sehr wichtige Komponente, um die wachsende Zahl von Anwendungen in Rechenzentren und in Clouds sicher und hochverfügbar zu halten. Public- und Multi-Cloud-Umgebungen sowie containerbasierten Architekturen haben jedoch dazu geführt, dass Unternehmen dringend grundlegende architektonische Neuerungen für Load Balancer benötigen. All dies fördert Innovation und Wettbewerb - und zwingt traditionelle Anbieter nachzuziehen - oder unterzugehen."

  • Coopetition: Ein Hoch auf die Konkurrenz

    Oracle, IBM, Salesforce, Google, SAP - diese Liste ließe sich noch endlos verlängern. Kaum ein IT-Unternehmen kommt heute noch ohne Partnerschaften aus. Freudig werden neue Zusammenarbeiten angekündigt, Partnerprogramme ausgebaut und Netzwerke erweitert. Was dahinter steckt, weiß Peter Wüst, Senior Director Cloud Infrastructure and Cloud Data Services EMEA bei NetApp.

  • Digitalisierung: Mega-Trend der Gegenwart

    Was sagt die deutsche Digitalwirtschaft zur Gründung des Digitalrates? Dr. Jörg Haas ist digitaler Vordenker und Gründer der Bonner Scopevisio AG. Als Vorstand der Bonner Hightech-Holding HW Partners AG und als Mitinitiator des Digital Hub Region Bonn will er zudem die Region NRW zu einem innovativen Digitalstandort und -netzwerk ausbauen. "Digitalisierung ist der Mega-Trend der Gegenwart. Digitalisierung ist nicht regional oder national - Digitalisierung ist vernetzt und global. Werden wirklich Staaten künftig die Erde beherrschen, oder werden künftig gesellschaftliche Werte und Normen vielmehr in digitalen Communities begründet?"

  • Aufgewacht - die KI-Zukunft schläft nicht!

    Der Wettstreit um den Spitzenplatz im Bereich künstliche Intelligenz (KI) ist in vollem Gange. Nachdem Frankreich im März eine KI-Strategie vorlegte, zog die Bundesregierung vor wenigen Wochen nach. Es wird auch höchste Zeit, dass wir Europäer aus unserem Dornröschenschlaf erwachen. Denn bereits im Juli 2017 hat China in seinem "Next Generation Artificial Intelligence Development Plan" angekündigt, bis zum Jahr 2030 zur führenden KI-Nation aufsteigen zu wollen. Noch liegen die USA zwar vorn. Aber erstmals erscheinen in China mehr wissenschaftliche Publikationen zur künstlichen Intelligenz als in irgendeinem anderen Land.