Netzwelt-Ticker US-Analysten warnen vor Cloud-Speichern

Unternehmen sollten sich nicht auf Sicherheitsvorkehrungen ihrer Cloud-Anbieter verlassen, warnt das Marktforschungsunternehmen Gartner. Außerdem im Überblick: Forscher finden angeblich Hintertüren in chinesischen Chips, Apple sperrt den Bezahldienst Flattr aus.

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen
Corbis

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen


Für besonders schützenswerte Daten sollten Unternehmen ihre eigenen Sicherheitsvorkehrungen treffen statt sich komplett die ihrer auf Cloud-Speicherdienste zu verlassen - das rät das US-Marktforschungsunternehmen Gartner Firmenkunden. Analyst John Pescatore argumentiert, man kaufe ja auch keine Kindersitze vom Autohersteller, sondern vom Spezialisten.

Der Gartner empfiehlt Firmen zum Beispiel, Daten nicht vom Cloud-Dienstleister, sondern von einem Drittanbieterprogramm verschlüsseln zu lassen. Auch den Schutz vor Überlastungsangriffen sollten Unternehmen lieber selbst in die Hand nehmen: Professionelle Produkte lassen sich leicht in eine Cloud integrieren, sagte der Experte. Sie schalten sich auch wie ein Filter zwischen Firmennetz und Cloud, um das Überspringen gefährlicher Inhalte in die Cloud zu verhindern.

Die wichtigsten Sicherheitsmaßnahmen fänden aber auf Unternehmensebene statt. Pescatore: "Tatsächlich ist es viel leichter, Firmen, die einen Cloud-Dienst nutzen, selbst anzugreifen."

Angeblich Hintertüren in chinesischen Chips

Zwei Sicherheitsforscher wollen "erstmals" eine Hintertür in einem als besonders sicher geltenden chinesischen Chip entdeckt haben. Über diese Hintertür könnten Angreifer alle Chip-Funktionen fernsteuern und verändern, heißt es in dem Konzeptpapier der Sicherheitsexperten Sergej Skorobogatow von der University of Cambridge und Christopher Woods von den Quo Vadis Labs (PDF-Datei, 840 Kb): "Durch eine innovative, patentierte Technik konnten wir erstmals auf einem Actel/Microsemi ProASIC3-Chip in dokumentierter Form eine Hintertür entdecken und analysieren." Weil dieser Chip auch in militärischer und industrieller Technik eingesetzt werde, werten die Forscher ihren Fund als "sehr beunruhigend", Angreifer könnten auf diesem Weg Sicherheitsvorkehrungen auf dem Chip deaktivieren, auf unverschlüsselte Konfigurationsdaten zugreifen oder ein Gerät dauerhaft schädigen. Schlimmer noch: Einmal verbaut, lasse sich die Sicherheitslücke in den Chips nicht mehr schließen.

Das Paper wird von Kommentatoren im Netz heftig kritisiert. Der Ton des Dokuments sei sehr werblich, offenbar wollten die Autoren Geld mit der Paranoia des Militärs machen. Viele Chips hätten Hintertüren, aus dem ein oder anderen Grund, erklärt Robert Graham, Sicherheitsexperte bei Errata Security: Die meisten dieser verborgenen Zugänge dienten der Fehleranalyse. In einer sehr interessanten Slashdot-Diskussion erklären gleich mehrere Kommentatoren, dass der im Paper beschriebene Angriff einen Zugriff auf die Hardware voraussetze - der in den wenigsten Angriffsfällen wirklich gegeben sei.

In einer Stellungnahme bei SPIEGEL ONLINE erklärt der Mitautor des Papers Chris Woods, dass durch die Hintertür Angreifer nicht nur in den Chip eindringen, sondern die eigentlich Berechtigten auch aus dem Chip aussperren könnten. Woods wehrt sich gegen Vorwürfe, er habe bei der Darstellung der Risiken übertrieben, weil für einen Angriff direkter Zugriff auf die Hardware nötig sei. Der Forscher verweist darauf, dass in vielen Geräten ein Zugriff aus dem Netzwerk auf die Entwicklerschnittstelle möglich sei, um beispielsweise Firmware-Updates übers Netz einspielen zu können. Ein Angreifer müsste sich also nur in ein Firmennetzwerk vorarbeiten, um gegebenenfalls auf die Chips zugreifen zu können.

Auf die Frage, ob die Hintertür einfach nur ein Versehen oder eine einfache Entwicklerabkürzung gewesen sein könnten, sagt Woods, ein Teil der Hintertür diene klar der Fehlerbeseitigung, aber ein anderer Teil widerspreche den Sicherheitsbehauptungen des Herstellers Actel, wonach auf keinen Fall ein solcher Readback-Zugriff implementiert sei. Diesen Zugriff, mit dem die internen Daten des Chips ausgelesen und verändert werden könnten, habe ihre Untersuchung nun nachgewiesen, sagt Wood. Chip-Hersteller Microsemi hat bis zur Veröffentlichung dieser Meldung nicht auf eine Anfrage von SPIEGEL ONLINE geantwortet.

Wegen Flattr: Apple sperrt Instacast-App aus

Weil die Podcast-App Instacast einen Button für den Bezahldienst Flattr anzeigt, hat Apple die Aufnahme in den App Store verweigert. Die Entwickler der kostenlosen App wollten über den Flattr-Knopf Spenden einsammeln - ein Verstoß gegen die App-Store-Nutzungsbedingungen. In der Begründung von Apple heißt es: Das Einsammeln von Spenden muss entweder über eine Website in Safari erfolgen oder über eine SMS, auch wenn das für die Nutzer umständlich und für die Entwickler "nicht das Nutzungserlebnis ist, das sie anstreben."

Zwar schweigt sich Apple über die eigentlichen Motive aus, doch sie dürften kein Geheimnis sein: Apple will verhindern, dass Entwickler damit die Abschlagspflicht für alle Bezahlvorgänge innerhalb einer App umgehen. Von jedem so genannten In-App-Kauf verlangt Apple 30 Prozent. Dienste wie Flattr sind eine Gefahr für dieses lukrative Geschäftsmodell.

Instacast jedenfalls lenkte bereits ein und veröffentlichte die aktuelle Version der App schließlich ohne Flattr-Button.

Was am Dienstag sonst noch in der Netzwelt wichtig war

Mehr zum Thema


insgesamt 2 Beiträge
Alle Kommentare öffnen
Seite 1
dutchinnz 29.05.2012
1. Opera bei Facebook?
Dann wirdt der meist zuverläsige Browser sofort eine Spionzentrale. In dem Moment, daß Opera an FB geht, wird dieser Browser bei mir gelöscht und installiere ich notfalls noch den Internet Explorer; damit ist man dann immer noch vel sicherer.
Torfkopp 30.05.2012
2. Oha,
US-Analysten warnen vor Cloud-Speichern (http://www.spiegel.de/netzwelt/web/gartner-warnt-vor-cloud-speichern-a-835682.html) ob diese US-Herren das wohl auch mit den ganzen US-Cloud-Größen (I nvestment B raucht M oney, Kleinweich, Gugelhupf, usw. usw.) vorher abgesprochen haben, dass sie Kritik am System üben wollen ?
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.