EU/D: Technische Risiken beim Cloud Computing
Rubrik: NachrichtenR. Olschewski - 2B Advice GmbH - the privacy benchmark
Immer mehr Unternehmen greifen auf Cloud Computing zurück. Laut Branchenschätzungen soll sich der Umsatz europäischer Clouddienste in den nächsten vier Jahren mehr als verdoppeln – von rund 68 Milliarden Euro in 2010 auf ca. 148 Milliarden im Jahr 2014.
Daher sollten Datenschutzbeauftragte neben den rechtlichen auch die technischen Risiken im Auge behalten und die Projektteams mit dem nötigen Risikobewusstsein begleiten.
Bisher galt die zentrale Aufmerksamkeit der Datenschützer dem Risiko die rechtlichen Rahmenbedingungen zu erfüllen. Nun haben Forscher der Ruhr-Universität Bochum beim Cloud-Anbieter Amazon wohl auch erhebliche Sicherheitslücken gefunden. Amazon hat offenbar reagiert und zwischenzeitlich die bekannten Lücken geschlossen.
Dessen ungeachtet sollten die möglichen Angriffsszenarien den Verantwortlichen bekannt sein, um eine angemessene Risikoeinschätzung vornehmen zu können. Dies sind insbesondere das sog. (XML) Signature Wrapping und (XSS) Cross Site Scripting.
Bei sogenannten Signature Wrapping Angriffen wird die Cloud-Kontrollschnittstelle ausgetrickst, indem der Angreifer sich an der Schnittstelle über eine ausspionierte Signatur als angemeldeter Kunde ausweist. Es wird vermutet, dass viele Cloud-Angebote anfällig gegen solche Signature Wrapping-Attacken sind. Dies wird unter anderem mit Performanceerfordernissen der Cloudstruktur erklärt.
Hinter dem Begriff Cross-Site Scripting verbergen sich dagegen verschiedene Angriffsstrategien. Der Angreifer schleust Steuerzeichen und Code in einer Skriptsprache, wie z. B. JavaScript, in eine Webseite bzw. in den Cloud-Dienst ein, die dann ausgeführt wird. Diese Angriffsform nutzt dabei Sicherheitslücken bei der Ausführung der Skripte auf den Servern des Cloudanbieters bzw. im Browser aus.
Die Folgen sind durchaus brisant, da der ungehinderten Zugang zu allen Daten des Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörter im Klartext denkbar ist. Eine Sicherheitslücke kann dabei zu einer komplexen Kettenreaktion führen, so dass eine Sicherheitslücke bei einem Cloud Dienst die gesamte IT-Struktur kompromittieren kann.
Die Meinung, Private Cloud-Angebote seien uneingeschränkt sicher, kann daher nicht mehr aufrechterhalten werden. Ein umfassende Sicherheitsanalyse und ein entsprechendes Datenschutzkonzept sind daher von besonderer Wichtigkeit, um den datenschutzrechtlichen Erfordernissen nachzukommen.
Weitere Informationen:
aktuell.rub.de/meldung/2011/10/meld00421.html.de
aktuell.ruhr-uni-bochum.de/pm2011/pm00336.html.de
(395 mal gelesen)
