Sicherheitslücke in Amazons Cloud-Diensten behoben
Bochum/Berlin (dpa) - Wissenschaftler an der Ruhr-Universität Bochum haben schwere Sicherheitslücken in den Cloud-Angeboten von Amazon entdeckt. Mit verschiedenen Methoden seien Forscher in das System eingedrungen und hätten Daten manipulieren können.
Das berichtete Prof. Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Die Schwachstellen seien aber inzwischen behoben. „Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücke und schloss sie umgehend“, sagte Schwenk.
Die von den Forschern gefundene potenzielle Schwachstelle sei umgehend geschlossen worden, bestätigte Amazon-Manager Kay Kinton der dpa. Keiner der Kunden sei davon betroffen gewesen. Sogenannte Cloud-Dienste wie die Amazon Web Services (AWS) bieten Speicherplatz, Rechenleistung oder auch Software übers Netz an, so dass Firmen die Kapazitäten nicht mehr auf eigenen Rechnern vorhalten müssen. Amazon gehört unter den Anbietern zu den Pionieren. Zu den Kunden des weltgrößten Online-Einzelhändlers zählen unter anderem Dienste wie Twitter, Second Life und Foursquare.
Den Forschern an der Ruhr-Universität war es gelungen, die Behandlung von Signaturen in der Programmiersprache XML so zu manipulieren, dass sie sich administrativen Zugriff auf die Daten eines beliebigen Kunden verschaffen konnten. Sicherheitslücken fanden die Forscher auch in Amazons Online-Shop sowie in privaten Cloud-Diensten, die Firmen oft für den internen Datenverkehr nutzen. Hier soll es den Angaben zufolge möglich gewesen sein, ausführbaren Skriptcode einzuschleusen und sich Zugang zu Kudendaten zu machen.
Die potenzielle Lücke bei den Web Services sei lediglich bei einem sehr kleinen Prozentsatz an authentifizierten Nutzungszugängen aufgetreten, bei der die Kommunikation nicht mit dem SSL-Protokoll verschlüsselt ablief, erklärte Kinton. Amazon arbeite mit Sicherheitsforschern weltweit zusammen und informiere seine Cloud-Kunden stets darüber, wie wichtig es sei, starke Sicherheitsprozesse zu gewährleisten.
„Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück“, sagte Juraj Somorovsky aus dem Forscher-Team der Ruhr-Universität. „Deswegen ist es dringend notwendig, die Sicherheitslücken (...) zu erkennen und dauerhaft zu vermeiden.“
Häufige Berichte über Sicherheitslücken seien allerdings kein Indiz dafür, dass ein bestimmter Cloud-Dienstleister tatsächlich nachlässig wäre, sagt Udo Schneider vom IT-Sicherheitsdienstleister Trend Micro. „Denn "Löcher" in der Cloud wird es immer geben.“ Viel mehr gehe es in Anbetracht der wachsenden Nutzung solcher Dienste um „Stärkung der Immunabwehr durch Selbstverteidigung“, so Schneider. Der Sicherheitsspezialist rät deshalb zum Beispiel dazu, die Schlüssel für die Daten auf anderen Systemen zu speichern und damit vor dem Zugriff Unbefugter zu schützen.