Sie sind hier: Startseite » Markt » Nachrichten

Empfehlungen für mehr Cloud-Sicherheit


Tausende Clouds in Deutschland anfällig für Cyber-Attacken
Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen


Über 20.000 in Deutschland betriebene Clouds, die veraltete Versionen der Software ownCloud und Nextcloud einsetzen, weisen zum Teil kritische Sicherheitslücken auf. Angreifer können durch diesen unsicheren Betrieb auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen. Betroffen sind u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer.

Bereits seit Anfang Februar benachrichtigt das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik (BSI) deutsche Netzbetreiber über diese dem BSI bekannten betroffenen Cloud Computing-Systeme. Provider sind aufgerufen, ihre Kunden, die die Clouds in Eigenverantwortung betreiben, entsprechend zu informieren. Bislang hat jedoch nur rund ein Fünftel der bekannten betroffenen Unternehmen, Institutionen und Privatnutzer reagiert und die Sicherheitslücken durch bereits längere Zeit verfügbare Updates geschlossen.

Hierzu erklärt BSI-Präsident Arne Schönbohm: "Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen. Empfehlungen des BSI für mehr Cloud-Sicherheit sind verfügbar, als nationale Cyber-Sicherheitsbehörde stehen wir Cloud-Anwendern gern mit Rat und Tat zur Seite."

Unabhängig vom Hersteller der Cloud Computing-Software rät das BSI Cloud-Betreibern, den Versionsstand der von ihnen eingesetzten Cloud-Software regelmäßig zu überprüfen und bereitgestellte Updates schnellstmöglich zu installieren. Die Hersteller der weit verbreiteten Cloud-Software ownCloud und Nextcloud bieten unter https://scan.owncloud.com bzw. https://scan.nextcloud.com kostenfreie Dienste an, mit denen Betreiber den Sicherheitsstatus von Clouds auf Basis dieser Software überprüfen können.

Das BSI bietet zudem hilfreiche Empfehlungen für Cloud-Betreiber und Cloud-Nutzer (https://www.bsi.bund.de/cloud). Cloud-Diensteanbieter haben zudem die Möglichkeit, die Sicherheit ihrer Cloud Computing-Dienste nach dem BSI-Anforderungskatalog Cloud Computing (C5) testieren zu lassen (https://www.bsi.bund.de/C5). So erhalten auch Kunden einen wichtigen Hinweis auf das Sicherheitsniveau der angebotenen Cloud-Dienstleistung.

Cloud-Systeme ermöglichen einen einfachen Austausch bzw. eine Synchronisation von Daten. Viele Tausend der in Deutschland betriebenen Cloud-Systeme laufen jedoch mit veralteten Software-Versionen, die von den Herstellern der Cloud-Software nicht mehr unterstützt werden und daher kritische Sicherheitslücken aufweisen. Angreifer können diese Schwachstellen ausnutzen, um unberechtigt auf die in der Cloud gespeicherten Daten zuzugreifen.

Dabei können die Angreifer sensible Informationen wie Kundendaten, Unternehmensdaten oder persönliche Dokumente ausspähen und diese für kriminelle Zwecke nutzen. Weitere Schwachstellen ermöglichen Angreifern die Ausführung beliebigen Programmcodes auf dem Cloud-Server. Dies kann zu einer vollständigen Kompromittierung des Systems und dessen Missbrauch für weitere kriminelle Aktivitäten führen. (BSI: ra)

eingetragen: 16.03.17
Home & Newsletterlauf: 27.03.17

Meldungen: Nachrichten

  • Firewall-Regeln umgehen

    Das Cloud Research Team von Tenable, Unternehmen für Exposure Management, hat eine kritische Schwachstelle in Azure entdeckt, die mehr als zehn Azure Services betrifft - darunter Azure Application Insights, Azure DevOps, Azure Machine Learning, Azure API Management und Azure Logic Apps.

  • Bundesregierung zur KI-unterstützen Schul-Cloud

    Die KI-unterstütze Schul-Cloud ist ein länderübergreifendes Vorhaben, das mit Mitteln aus dem Digitalpakt Schule finanziert wird. Mit der Schul-Cloud soll ein "intelligentes tutorielles System für die Erstellung und Nutzung von adaptiven Lernmedien im Unterricht für alle Fächer und Klassenstufen" entwickelt werden. Das geht aus einer Antwort (20/9685) der Bundesregierung auf eine Kleine Anfrage (20/9289) der mittlerweile aufgelösten Fraktion Die Linke hervor.

  • Gaia-X-Erprobungsphase startet für GXFS und SCS

    Die beiden durch das Bundesministerium für Wirtschaft und Klimaschutz geförderten Gaia-X-Projekte Sovereign Cloud Stack (SCS) und Gaia-X Federation Services (GXFS) werden in der nun beginnenden Implementierungsphase gemeinsam auf offener Infrastruktur erprobt. Ziel der beiden im vergangenen Jahr gestarteten Fördervorhaben ist die Schaffung eines Open-Source-basierten Werkzeugkastens für eine souveräne, standardisierte und föderierbare Cloud-Infrastruktur.

  • Aufbau einer Europäischen Cloud-Föderation

    Die Europäische Union hat laut Bundesregierung während der zurückliegenden deutschen Ratspräsidentschaft "große Fortschritte beim Aufbau einer Europäischen Cloud-Föderation gemacht". In der Gemeinsamen Erklärung der 27 Mitgliedstaaten zur nächsten Generation einer europäischen Cloud (European Cloud Federation) sei der Überbau für Investitionen, Standardisierung und Interoperabilität im Bereich Cloud und Daten geschaffen worden, schreibt die Bundesregierung in ihrer Antwort (19/25762) auf eine Kleine Anfrage der FDP-Fraktion (19/25173). Mit der Gründung der "European Alliance for Industrial Cloud and Data" werde der Startschuss für umfangreiche öffentliche und private Investitionen gegeben.

  • Sicherheit von KI-Systemen bewerten

    Der Einsatz von Künstlicher Intelligenz (KI) eröffnet neue Möglichkeiten und Anwendungen und beeinflusst schon jetzt viele kritische Prozesse und Entscheidungen, zum Beispiel in der Wirtschaft oder im Gesundheitsbereich. Gleichzeitig sind auf KI basierende Systeme neuen Sicherheitsbedrohungen ausgesetzt, die von etablierten IT-Sicherheitsstandards nicht abgedeckt werden. Mit dem neuen Kriterienkatalog für KI-basierte Cloud-Dienste (Artificial Intelligence Cloud Services Compliance Criteria Catalogue, AIC4) schafft das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine wichtige Grundlage, um die Sicherheit von KI-Systemen bewerten zu können. Der AIC4 des BSI definiert erstmals ein Basisniveau an Sicherheit für KI-basierte Dienste, die in Cloud-Infrastrukturen entwickelt und betrieben werden. Ein vergleichbarer einsetzbarer Prüfstandard für sichere KI-Systeme existiert derzeit nicht.

  • Verbundvorhaben "OpenEduHub"

    Zur Öffnung der HPI Schul-Cloud für die Dauer der Coronapandemie stellt die FDP-Fraktion eine Kleine Anfrage (19/25175). Die Fraktion möchte wissen, was genau das Verbundvorhaben "OpenEduHub" umfasst und welche Erwartungen die Bundesregierung an das Verbundvorhaben "OpenEduHub" vor der Initiation hatte. Ferner interessiert die Abgeordneten, inwiefern die Erwartungen der Bundesregierung an das Verbundvorhaben "OpenEduHub" erfüllt wurden und mit welcher Nutzerzahl die Bundesregierung gerechnet hat. Auch fragen die Abgeordneten, welche Kosten die Bundesregierung pro Schüler/Schülerin pro Dauer der Öffnung für den OpenEduHub kalkuliert hat.

  • Cloud-Nutzung und Datenschutz

    Die AfD-Fraktion will wissen, ob die Deutsche Bundesregierung gewährleisten kann, dass die an externe Anbieter von Cloud-Diensten in der EU übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) entsprechen. Auch erkundigt sie sich in einer Kleinen Anfrage (19/17833) unter anderem danach, ob die Bundesregierung gewährleisten kann, "dass die von ihr an externe Anbieter von Cloud-Diensten außerhalb der EU im Sinne eines internationalen Datentransfers übermittelten beziehungsweise übergebenen Daten den datenschutzrechtlichen Maßgaben der DSGVO" entsprechen.

  • Nutzung externer Cloud Computing-Anbieter

    Die Nutzung externer Anbieter für Cloud Computing-Dienste durch die Bundesregierung ist ein Thema ihrer Antwort (19/10826) auf eine Kleine Anfrage der FDP-Fraktion (19/10307). Die darin enthaltene Übersicht der genutzten Cloud-Dienste macht der Regierung zufolge deutlich, "dass die Bundesverwaltung vollwertige Dienste nutzt, die über die Bereitstellung einer bloßen Speicher-Infrastruktur hinausgehen". Der Nutzung von Cloud-Services gehe ein fachlicher Bedarf einer Behörde voraus. Dieser Bedarf solle nach dem Beschluss des IT-Rats "Kriterien für die Nutzung von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung" nach Möglichkeit zuerst durch bundeseigene Dienstleister gedeckt werden. Ist dies nicht oder nicht wirtschaftlich möglich, könne unter bestimmten Voraussetzungen ein externer Cloud-Service beschafft werden.

  • Bundesförderung für Entwicklung von Schul-Clouds

    Cloud Computing verbreitet sich immer mehr. Auch der Einsatz von Clouds in Schulen hat ein großes Potenzial. Bislang greifen vor allem zahlreiche Onlinedienstleistungen auf Cloudlösungen zurück, indem sie Speicherplatz, Rechenleistung und Software aus einem Rechnernetzwerk nutzen, anstatt eine entsprechende Infrastruktur vor Ort aufzubauen. Das schreibt die FDP in ihrer Kleinen Anfrage (19/7681).

  • Kundendaten insolventer Cloud-Dienst-Anbieter

    Die Zugriffsmöglichkeiten von Kunden insolventer Cloud-Dienst-Anbieter auf ihre Daten sind Thema einer Kleinen Anfrage der FDP-Fraktion (19/7808). Die Lage sei unklar, und der Verlust der Daten von Privatpersonen und Unternehmen nicht auszuschließen, heißt es in der Anfrage, in der auf vertragliche Dateneigentumsklauseln, die sich in den USA etabliert hätten, verwiesen wird. Die Fragesteller wollen daher unter anderem wissen, wie die Bundesregierung die Zugehörigkeit von Kundendaten zur Insolvenzmasse eines Cloud-Dienst-Anbieters als Vermögenswert beurteilt.


Meldungen: Kommentare und Meinungen

  • Weg zur echten Cloud-Souveränität

    Europäische Unternehmen haben die Cloud als einen Gamechanger erkannt, für viele steht sie sogar im Mittelpunkt ihrer Strategie. In einer sich schnell wandelnden Geschäftswelt bietet die Cloud enorme Vorteile, insbesondere in Bezug auf Flexibilität und Reaktionsfähigkeit. Regulierte Branchen wie der Finanzsektor, das Gesundheitswesen oder der öffentliche Dienst müssen jedoch gleichzeitig komplexe Anforderungen in Bezug auf Datenkontrolle und rechtliche Rahmenbedingungen erfüllen.

  • Backups in der Cloud

    Egal wo sich geschäftskritische Daten und Workloads befinden - sie müssen entsprechend geschützt werden, um einen kontinuierlichen Betrieb sicherzustellen. Im Rahmen der gängigen 3-2-1-Backup-Regel, die von den meisten Unternehmen genutzt wird, werden immer mehr Backups in der Cloud gespeichert.

  • Vorteile der Multi-Cloud-Arbitrage nutzen

    Die im Januar 2024 in Kraft getretene EU-Datenverordnung, die den Wettbewerb fördern soll, indem sie Cloud-Kunden den Anbieterwechsel erleichtert, wirbelt den Markt für Cloud-Dienste kräftig durcheinander - zum Vorteil von Unternehmen, meint Jamil Ahmed, Director und Distinguished Engineer bei Solace. Offener Datentransfer zwischen den großen Cloud-Plattformen ist damit Wirklichkeit geworden.

  • eco zur AI Act-Abstimmung im EU-Parlament

    Im Europäischen Parlament fand die finale Abstimmung über den Artificial Intelligence Act (AI Act) statt, der wegweisende Regelungen für den Einsatz von Künstlicher Intelligenz in der EU vorsieht.

  • Cloud-Kunden den Anbieterwechsel erleichtern

    Die im Januar 2024 in Kraft getretene EU-Datenverordnung, die den Wettbewerb fördern soll, indem sie Cloud-Kunden den Anbieterwechsel erleichtert, wirbelt den Markt für Cloud-Dienste kräftig durcheinander - zum Vorteil von Unternehmen, meint Jamil Ahmed, Director und Distinguished Engineer bei Solace.

  • Kriterien im Umgang mit KI-Systemen

    eco - Verband der Internetwirtschaft e.V. forderte anlässlich der Abstimmung über den AI Act im Ausschuss der ständigen Vertreter der EU-Mitgliedsstaaten eine praxistaugliche Umsetzung und EU-weit einheitliche Kriterien im Umgang mit KI-Systemen.

  • Trends der Netzwerktechnologie 2024

    Künstliche Intelligenz und Cloud Computing ergänzen sich symbiotisch. Obwohl ML und KI keine neuen Technologien und Konzepte sind, hat die Verfügbarkeit großer Rechen- und Speicherkapazitäten über die Cloud die jüngsten Entwicklungen von KI beschleunigt.

  • Datenmengen häufen sich

    Immer mehr Unternehmen in Deutschland setzen auf Cloud Computing - Tendenz steigend. Dabei nennt sich die Verlagerung von Rechenressourcen wie etwa Daten, Anwendungen oder IT-Prozesse in die Cloud-Migration.

  • Datenflut in der Multi-Cloud-Welt

    Künstliche Intelligenz (KI) markiert aktuell einen wichtigen Wendepunkt für die Technologiebranche. Die in den 1950er Jahren von John McCarthy geprägt Technik hat sich jahrzehntelang hauptsächlich im Hintergrund weiterentwickelt, bis die Veröffentlichung des generativen KI-Tools ChatGPT den Durchbruch brachte.

  • Bitkom zum KI-Aktionsplan

    Bitkom begrüßt den KI-Aktionsplan des BMBF. Schon heute ist Deutschland in der Forschung rund um KI sehr gut aufgestellt und es ist richtig, sie weiter auszubauen. Wie diese Initiative des Forschungsministeriums in die Gesamtstrategie der Bundesregierung zur Künstlichen Intelligenz eingebettet werden soll, bleibt hingegen offen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen