Eine neu entdeckte Schwachstelle ermöglicht es Kriminellen und Nachrichtendiensten, auf Informationen in der Cloud Zugriff zu erlangen.

Auf die erste Euphorie über die Möglichkeiten von Cloud-Diensten folgte aufgrund diverser Spionage-Skandale und Datendiebstählen Verunsicherung und Ernüchterung. Als zu unkontrollierbar und angreifbar für den geschäftlichen Gebrauch galten jene Plattformen, die sich zum Austausch und Speichern von Daten bereits zu privaten Zwecken etabliert hatten. Als Reaktion hierauf haben viele der großen Cloud-Anbieter nachgebessert und ihr Angebot um mehr Kontrollmöglichkeiten, bessere Verschlüsselung, mehr Sicherheitsmaßnahmen und Serverstandorte in Ländern mit solider Rechtslage erweitert.

Vor Kurzem jedoch kam im Rahmen eines Forschungsprojektes heraus, dass trotz aller Sicherheitsmaßnahmen die überwiegende Mehrzahl der Cloud-Systeme eine gravierende Schwachstelle haben dürfte. Diese betrifft die virtuelle Infrastruktur, auf der Cloud-Services in aller Regel betrieben werden.

Laut dem Sicherheitsforscher Radu Caragea gibt es eine Möglichkeit, vermeintlich sichere Kommunikation, die über das Transport Layer Security (TLS) Protokoll stattfindet, durch einen Eingriff auf der Virtualisierungsebene zu entschlüsseln. Die Technik wurde kurzerhand ‚Periscope‘ genannt und lässt den Angreifer „verschlüsselte Kommunikation zwischen Endanwender und virtualisierter Umgebung mitlesen“, ohne dass dies bemerkt wird. (Quelle) Betreiber von Cloud-Services haben nun grundsätzlich die Möglichkeit, den vermeintlich verschlüsselten Datenverkehr lesbar zu machen - aus eigenem Antrieb oder auf Druck von staatlichen Ermittlungsorganen. Bis dato existiert kein Gegenmittel gegen das identifizierte Angriffsszenario.

Zwar existiert die Sicherheitslücke auch bei selbst betriebenen, virtualisierten Systemen. Jedoch ist der Angriff nur durch den Betreiber des virtualisierten Systems möglich, nicht jedoch von außen.

Was bedeutet dies für Unternehmen?

Der Einsatz von Cloud-Technologien lässt sich wohl kaum noch aufhalten – und bringt in vielen Bereichen auch bedeutende Vorteile. Lagern Unternehmen Ressourcen in die Cloud aus, sollten sie jedoch äußerst vorsichtig sein. Es sollte nicht nur gründlich erwogen werden, welchem Anbieter die Daten anvertraut werden, sondern auch, welche Daten überhaupt in die Cloud gestellt werden. Im konkreten Fall kann kein Cloud-Anbieter für die Sicherheitslücke verantwortlich gemacht werden und alle sind gleichermaßen betroffen. Dennoch besteht das Problem, dass Unternehmen nur sehr indirekte Möglichkeiten haben, auf die Situation zu reagieren, wenn ihre Daten in der Cloud lagern.

Während bei einem on-site betriebenen System oder auch bei Nutzung eines Infrastructure-as-a-Service Cloud-Angebots notfalls noch die Möglichkeit bestünde, ein System in Eigenregie auf eine physikalische Plattform umzuziehen und die Sicherheitslücke so zu eliminieren, ist dies für Software-as-a-Service (SaaS) Angebote nicht denkbar. Diese werden aufgrund der Anforderungen an Skalierbarkeit in der Regel virtuell betrieben.

Im Hinblick auf die nun bekannt gewordene Schwachstelle ist es daher unbedingt zu bevorzugen, Software in der eigenen Infrastruktur zu betreiben, anstatt sie an externe Drittanbieter auszulagern. Dies gilt besonders, wenn darüber vertrauliche Daten ausgetauscht oder verarbeitet werden. Nur so lässt sich das Risiko minimieren, dass die Kommunikation zwischen Nutzer und Cloud-Dienst abgehört wird.
Darüber hinaus ist das Betreiben von Kommunikationsdiensten (wie z.B. der Versand von Mails und dem Versand von großen Dateien) in der eigenen IT-Umgebung vorzuziehen, da nur so ständige Kontrolle über die Daten sichergestellt werden kann und auch die Rechtslage im Hinblick auf Schutz, Speicherung und Standort der Daten klar ist.

Mit Cryptshare können Sie E-Mailverschlüsselung und sicheren Datenaustausch problemlos in Ihrer eigenen Infrastruktur betreiben. Klicken Sie hier, um zu den verschiedenen Betriebsvarianten von Cryptshare zu gelangen.