Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Erhebliche Bedrohung durch sorglose Cloud-Nutzung

CASED-Wissenschaftler warnen vor Sicherheitslücken

Erhebliche Bedrohung durch sorglose Cloud-Nutzung

20. Juni 2011, 13:56 Uhr | Folker Lück
Boom-Bereich Cloud Computing: Amazon Machine Images von Kunden fehlerhaft konfiguriert (Foto: Rainer Sturm / pixelio.de)

Wissenschaftler des Darmstädter Forschungszentrums CASED haben große Sicherheitsmängel in zahlreichen virtuellen Maschinen in der Amazon-Cloud entdeckt. Schuld sind fehlerhafte Konfigurationen durch die Nutzer.

Von 1.100 untersuchten öffentlichen Amazon Machine Images (AMIs), auf denen Cloud-Dienste basieren, waren rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können. Ursache ist der fahrlässige Umgang von Amazon-Kunden mit AMIs. Zur Prüfung solcher Maschinen haben die CASED-Wissenschaftler einen Schwachstellenscanner entwickelt, der im Web unter http://trust.cased.de/AMID kostenlos heruntergeladen werden kann.

Aufgrund steigender Popularität, einfacher Benutzbarkeit und großen Preisvorteilen bieten immer mehr Firmen und private Nutzer zahlreiche Dienste in der Cloud an. Während Experten die Sicherheitsaspekte der zugrundeliegenden Cloud-Infrastruktur bereits ausgiebig diskutieren, werden die Fehler beim Aufbau solcher Dienste häufig noch stark unterschätzt. Wie schwerwiegend die Folgen mangelnder Sorgfalt von Cloud-Kunden sein können, zeigt eine aktuelle Untersuchung der Forschungsgruppe um Prof. Ahmad-Reza Sadeghi am Center for Advanced Security Research Darmstadt (CASED).

Die Forscher des Fraunhofer SIT in Darmstadt und des System Security Labs der TU Darmstadt untersuchten Dienste, die von Kunden des Cloud-Anbieters Amazon Web Services (AWS) veröffentlicht wurden. Obwohl AWS auf ihren Webseiten ausführliche Sicherheitsempfehlungen geben, fanden die Forscher in mindestens einem Drittel der Fälle fehlerhafte Konfigurationen und sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate. Mit diesen Informationen können Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Webdienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln.

»Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services. Wir gehen davon aus, dass auch Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden«, betont Prof. Sadeghi. In Abstimmung mit dem Sicherheitsteam von Amazon Web Services wurden die betroffenen Kunden informiert.

Lesen Sie mehr zum Thema

Fraunhofer-Institute
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Fraunhofer-Institute

Verbesserung von Lieferketten

30 Millionen Euro für Forschungsprojekt in der Chip-Industrie

Fraunhofer: RealSec5G

Mehr Security für 5G/6G-Kommunikationsnetze

Quantenkommunikation

Ausbau des Quantennetzes zu Forschungszwecken

MariaDB erweitert SkySQL um…

Observability jetzt auch vor Ort

MariaDB erweitert Cloud-Datenbank-Dienst SkySQL

Cloud-Kosten im Blick behalten

Matchmaker+
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH
KONZEPTUM GmbH

KONZEPTUM GmbH
AvePoint Deutschland GmbH

AvePoint Deutschland GmbH
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
Panduit

Panduit

nexspace data centers GmbH

nexspace data centers GmbH