ThemaCloud ComputingRSS

Alle Artikel und Hintergründe

  • Drucken
  • Senden
  • Feedback
 

Zugriff auf Kundendaten Sicherheitslücke in Amazon-Cloud entdeckt

Amazon-Chef Bezos vor dem Foto eines Rechenzentrums: Wachstumsmarkt Cloud-ComputingZur Großansicht
DPA

Amazon-Chef Bezos vor dem Foto eines Rechenzentrums: Wachstumsmarkt Cloud-Computing

Deutsche Forscher haben gravierende Sicherheitsmängel in Amazons Cloud-Angeboten aufgedeckt. Sie konnten auf Daten beliebiger Kunden zugreifen, hätten deren Daten manipulieren oder löschen können. Amazon reagierte sofort, mittlerweile sind die Sicherheitslücken gestopft.

Bochum/Berlin - Wissenschaftler an der Ruhr-Universität Bochum haben schwere Sicherheitslücken in den Cloud-Angeboten von Amazon entdeckt. Mit verschiedenen Methoden seien Forscher in das System eingedrungen und hätten Daten manipulieren können, berichtete Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Die Schwachstellen seien aber inzwischen behoben. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücke und schloss sie umgehend", sagte Schwenk. Das Unternehmen war zunächst für eine Stellungnahme nicht zu erreichen.

Sogenannte Cloud-Dienste wie die Amazon Web Services (AWS) bieten Speicherplatz, Rechenleistung oder auch Software übers Netz an, so dass Firmen die Kapazitäten nicht mehr auf eigenen Rechnern vorhalten müssen. Amazon ist einer der Pioniere unter den Anbietern solcher Internet-Dienste. Zu den Kunden des weltgrößten Online-Einzelhändlers und Internet-Dienstleisters zählen unter anderem Webangebote wie Twitter, Second Life und Foursquare.

Den Forschern an der Ruhr-Universität war es gelungen, die Behandlung von Signaturen in der Programmiersprache XML so zu manipulieren, dass sie sich administrativen Zugriff auf die Daten eines beliebigen Kunden verschaffen konnten. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen", sagte Juraj Somorovsky aus dem Forscherteam der Ruhr-Universität.

Sicherheitslücken fanden die Forscher auch in Amazons Online-Shop. Es wäre ihnen möglich gewesen, ausführbaren Skriptcode auf Amazons Seiten einzuschleusen, der für so genannte Cross Site Scripting-Angriffe hätte genutzt werden können. Zudem hätten sie ungehinderten Zugang zu allen Daten der Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörtern im Klartext, gehabt.

Ähnliche Lücken seien auch in der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, gefunden und nach Meldung durch die Forscher abgestellt worden. "Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück", sagte Somorovsky. Der Umsatz mit Cloud-Diensten werde allein in Europa bis 2012 auf rund 148 Milliarden Euro steigen. "Deswegen ist es dringend notwendig, die Sicherheitslücken zu erkennen und dauerhaft zu vermeiden."

mak/dpa

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.

Auf anderen Social Networks posten:

  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Xing
  • Digg
  • Google Bookmarks
  • reddit
  • Windows Live
Forum
Diskutieren Sie über diesen Artikel
zum Forum...
Sagen Sie Ihre Meinung!
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt Twitter | RSS
alles aus der Rubrik Web RSS
alles zum Thema Cloud Computing RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Verwandte Themen
Alle Themenseiten
Stichwort: Cloud Computing
Das Endgerät ist beim Cloud Computing nur ein Fenster auf einen stets aktuellen Datenbestand. Wer am Rechner einen Termin einträgt, sieht ihn später auch beim Blick in den Handy-Kalender, wer mobil einen Kontakt einträgt, kann ihn später am PC abrufen - immer nur online, versteht sich. Das Gleiche gilt für Adressbücher, E-Mails, online abgelegte Fotos, Dokumente und so weiter.
Anbieter
Business-Funktionen

Fotostrecke
Cloud-Dienste: Musik aus der Datenwolke
Musik: Die Cloud-Konkurrenz
REUTERS
Die eigene Musiksammlung im Internet, immer und überall verfügbar, mit angeschlossenem Online-Shop: Klingt einfach, ist aber immer noch keine Selbstverständlichkeit. Vor allem die Musiklabels sperren sich gegen die neuen Online-Angebote, zudem behindert internationales Lizenzchaos innovative Angebote. Die EU-Kommission plant deswegen nun einen gemeinsamen europäischen Online-Binnenmarkt.
Amazon Cloud Drive
Dropbox
iTunes in the Cloud
Music Beta by Google
Simfy
Spotify (und Facebook)

Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Virus
Rootkit
Wurm
Drive-by
Botnetz
Fakeware, Ransomware
Zero-Day-Exploits
Risiko Nummer eins: Nutzer
DDoS-Attacken




MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP



TOP