Cloud-Kunden gefährden sich selbst

Mit dem Boom einer Technologie boomen stets auch die Gefahren durch Nichtbeherrschung der Technik. So auch bei der Public Cloud. Das zeigen die Ergebnisse einer Untersuchung des Darmstädter Forschungszentrums Cased.

Die Forscher untersuchten Webinhalte von Kunden des Cloud-Angebots "Web Services" (AWS) von Amazon. Mit erschreckendem Ergebnis: In mindestens einem Drittel der Fälle war die Konfiguration fehlerhaft. Darüber hinaus gelangten die Forscher ohne grosse Mühe an sicherheitskritische Daten wie Passwörter, kryptographische Schlüssel und Zertifikate.

1'100 virtuelle Maschinen untersucht

Mit diesen Informationen könnten Angreifer etwa kriminelle virtuelle Infrastrukturen betreiben, Webdienste manipulieren oder Sicherheitsmechanismen wie Secure Shell (SSH) aushebeln. Und dies trotz ausführlicher Sicherheitsempfehlungen des AWS auf den Webseiten des Services, wie die Forscher in einer Mitteilung schreiben. Für ihre Studie hat das Team rund 1'100 von Amazons Machine Images auf Schwachstellen untersucht.

"Das Problem liegt klar auf Kundenseite und nicht bei den Amazon Web Services", sagte Prof. Sadeghi von der Ruhr-Universität Bochum zu den Ergebnissen der Studie. Er folgert daraus, dass auch Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden.

In Abstimmung mit dem Sicherheitsteam von Amazon Web Services wurden nach eigenen Angaben die betroffenen Kunden informiert.