Konzept der Cloud nicht generell unsicher
Risiko durch "Dirty Disks": Datensicherheit in der Cloud fraglich
Generell ist das Sicherheitsrisiko auf die Art und Weise zurückzuführen, wie manche Cloud Computing-Anbieter neue virtuelle Server automatisch einrichten, Betriebssysteme initialisieren und neuen Speicherplatz vergeben
(03.05.12) - Context Information Security hat potenziell schwerwiegende Sicherheitslücken in den Implementierungen von Cloud Computing-Infrastrukturdienstleistungen einiger Anbieter identifiziert. Schwachstelle ist die nicht ausreichende serverseitige Trennung von Kundendaten, die dadurch ernsthaft gefährdet sein können. So gelang es den Analysten, auf die Daten früherer Nutzer zuzugreifen, da diese noch auf den Festplatten gespeichert waren – sie waren durch die Systeme nur überschrieben und nicht gelöscht worden. Auf diesen "Dirty Disks" lagen Teile von Kundendatenbanken sowie Systeminformationen. In Kombination mit anderen Daten könnten Hacker die Kontrolle über andere Hosted Server übernehmen.
"In der Cloud haben wir es nicht mit einer Infrastruktur aus physisch getrennten Speicherboxen zu tun. Ein Angreifer kann vielmehr ein Node (Netzwerkknoten) von einem Anbieter erwerben und eine Attacke auf das Zielunternehmen von derselben physischen Maschine aus starten, mit denselben physischen Ressourcen", erklärt Michael Jordon, Research und Development Manager bei Context.
Das Konzept der Cloud sei damit nicht generell unsicher und die Vorteile blieben überzeugend, betont Jordon. "Dass Angriffe jedoch so einfach möglich sind, wirft die Frage auf, ob die entsprechenden Technologien wirklich schon ausgereift und ob in manchen Fällen die Sicherheitsvorkehrungen sowie die vorgenommenen Tests umfangreich genug sind".
Generell ist das Sicherheitsrisiko auf die Art und Weise zurückzuführen, wie manche Cloud Computing-Anbieter neue virtuelle Server automatisch einrichten, Betriebssysteme initialisieren und neuen Speicherplatz vergeben. Aus Performance-Gründen oder wegen Fehlern werden Sicherheitsmaßnahmen für die Trennung zwischen verschiedenen Nodes auf Multi-User-Plattformen manchmal nicht implementiert. Dadurch können Teilbereiche von anderen virtuellen Festplatten gelesen und damit Zugang zu Daten erlangt werden, die auf physischen Speichermedien des Providers liegen.
Die Sicherheitsexperten von Context testeten insgesamt vier Cloud Computing-Anbieter unter Einhaltung ihrer Vertraulichkeitsverpflichtungen und Haftungsgrundsätze zur Offenlegung. Dabei wurde festgestellt, dass zwei von ihnen ihre virtuellen Server oder Nodes nicht durchgängig über gemeinsam genutzte Hard Disks und Netzwerkressourcen hinweg trennten. Sobald die Möglichkeit zum Datenzugriff bestand, informierte Context beide Provider.
Ein Unternehmen entschied sich umgehend, die bestehende Schwachstelle gemeinsam mit Context weiter zu analysieren und zu beheben. Dabei wurde deutlich, dass die Defizite bei manchen Nutzern der jetzigen Legacy-Plattform für Linux Cloud Server zu finden waren.
Es war jedoch kein Fall bekannt, in dem Kundendaten durch Unberechtigte eingesehen oder sogar missbraucht wurden. Zwischenzeitlich hat Context die aktuelle Cloud Computing-Plattform des Unternehmens sowie die neue Lösung für "Next Generation Cloud"-Computing auf der Basis von OpenStack erneut getestet. Dabei konnte bestätigt werden, dass die Sicherheitsrisiken erfolgreich behoben wurden. Context warnt jedoch vor Sicherheitsrisiken bei anderen Anbietern, die wie populäre Hypervisor-Software einsetzen und in derselben Weise implementiert haben. (Context Information Security: ra)
Context Information Security: Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.