Gefahr für den Datenschutz
Anbieter von Cloud-Diensten ignorieren Sicherheitslücke DROWN
Das Resultat: In Unternehmen finden sich durchschnittlich 56 unsichere Cloud Computing-Services
(11.04.16) - Am 1. März haben IT-Sicherheitsforscher gezeigt, wie sie mit der sogenannten DROWN-Attacke ("Decrypting RSA with Obsolete and Weakend eNcryption") verschlüsselte SSL/TLS-Verbindungen knacken konnten. Angeblich soll jeder dritte Server davon betroffen sein - darunter auch viele Anbieter von Cloud Computing-Services. Eine Analyse von Skyhigh Networks zeigt, dass tatsächlich 653 Cloud-Dienste betroffen waren.
Problematischer jedoch ist, dass auch sieben Tage danach noch 620 davon anfällig waren. Innerhalb einer Woche haben also nur 33 Service-Anbieter die Sicherheitslücke beseitigt. Verglichen mit den Reaktionen auf andere SSL-Schwachstellen mit ähnlicher Tragweite - beispielsweise Heartbleed oder POODLE - überrascht dieses Desinteresse. Das bedeutet nichts Gutes für Unternehmen. Laut der Skyhigh-Analyse sind pro Unternehmen durchschnittlich 56 anfällige Cloud-Dienste im Einsatz und nahezu jedes Unternehmen (98,9 Prozent) nutzt mindestens einen.
Die Lücke ist gravierend, aber eigentlich leicht zu beheben
DROWN nutzt eine Schwäche im veralteten SSLv2-Protokoll aus. Dadurch können Angreifer verschlüsselte Verbindungen knacken, selbst wenn diese mit dem neueren und sicheren TLS-Protokoll verschlüsselt wurde. Dadurch lassen sich scheinbar verschlüsselte Informationen (beispielsweise Passwörter, Kreditkartennummern oder vertrauliche Unternehmensdaten) abgreifen oder der Traffic von und zu Cloud-Diensten verändern. Jeder Service-Anbieter, der weiterhin SSLv2 in irgendeiner Form nutzt, ist anfällig.
Das Problem ließe sich schnell beheben: Die Anbieter müssten einfach nur den SSLv2-Support deaktivieren. Dennoch haben bislang nur wenige reagiert. Bei der Heartbleed-Sicherheitslücke vor gut zwei Jahren war das noch anders. Damals haben 92,7 Prozent der betroffenen Service-Provider die Schwachstelle innerhalb einer Woche ausgebessert - bei DROWN hingegen nur 5,1 Prozent.
"Diese Ignoranz ist ein Unding. Heutzutage sind Cloud-Dienste aus Unternehmen nicht mehr weg zu denken. Das ist das Ergebnis intensiver Vertrauensarbeit. Viele Branchen, etwa die Finanzdienstleister, haben sich lange gegen die Cloud gesträubt - vor allem wegen Sicherheitsbedenken", kommentiert Daniel Wolf, Regional Director bei Skyhigh Networks. "Auf Heartbleed haben die Anbieter der Cloud-Dienste vorbildlich reagiert. Das Gleiche erwarten wir nun für DROWN. Aber offenbar gibt es auch bei Sicherheitslücken einen Promi-Bonus." (Skyhigh Networks: ra)
Skyhigh Networks: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.