Zugriff auf Kundendaten: Sicherheitslücke in Amazon-Cloud entdeckt

Deutsche Forscher haben gravierende Sicherheitsmängel in Amazons Cloud-Angeboten aufgedeckt. Sie konnten auf Daten beliebiger Kunden zugreifen, hätten deren Daten manipulieren oder löschen können. Amazon reagierte sofort, mittlerweile sind die Sicherheitslücken gestopft.

Amazon-Chef Bezos vor dem Foto eines Rechenzentrums: Wachstumsmarkt Cloud-Computing Zur Großansicht
DPA

Amazon-Chef Bezos vor dem Foto eines Rechenzentrums: Wachstumsmarkt Cloud-Computing

Bochum/Berlin - Wissenschaftler an der Ruhr-Universität Bochum haben schwere Sicherheitslücken in den Cloud-Angeboten von Amazon entdeckt. Mit verschiedenen Methoden seien Forscher in das System eingedrungen und hätten Daten manipulieren können, berichtete Jörg Schwenk vom Lehrstuhl für Netz- und Datensicherheit. Die Schwachstellen seien aber inzwischen behoben. "Anhand unserer Forschungsergebnisse bestätigte Amazon die Sicherheitslücke und schloss sie umgehend", sagte Schwenk. Das Unternehmen war zunächst für eine Stellungnahme nicht zu erreichen.

Sogenannte Cloud-Dienste wie die Amazon Web Services (AWS) bieten Speicherplatz, Rechenleistung oder auch Software übers Netz an, so dass Firmen die Kapazitäten nicht mehr auf eigenen Rechnern vorhalten müssen. Amazon ist einer der Pioniere unter den Anbietern solcher Internet-Dienste. Zu den Kunden des weltgrößten Online-Einzelhändlers und Internet-Dienstleisters zählen unter anderem Webangebote wie Twitter, Second Life und Foursquare.

Den Forschern an der Ruhr-Universität war es gelungen, die Behandlung von Signaturen in der Programmiersprache XML so zu manipulieren, dass sie sich administrativen Zugriff auf die Daten eines beliebigen Kunden verschaffen konnten. "Somit konnten wir etwa in der Cloud des Opfers neue Instanzen anlegen, Images erstellen oder auch löschen", sagte Juraj Somorovsky aus dem Forscherteam der Ruhr-Universität.

Sicherheitslücken fanden die Forscher auch in Amazons Online-Shop. Es wäre ihnen möglich gewesen, ausführbaren Skriptcode auf Amazons Seiten einzuschleusen, der für so genannte Cross Site Scripting-Angriffe hätte genutzt werden können. Zudem hätten sie ungehinderten Zugang zu allen Daten der Kunden, darunter Authentifizierungsdaten, Tokens und selbst Passwörtern im Klartext, gehabt.

Ähnliche Lücken seien auch in der weit verbreiteten Software-Lösung Eucalyptus, die von vielen Firmen zum Aufbau interner Cloud-Angebote genutzt wird, gefunden und nach Meldung durch die Forscher abgestellt worden. "Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück", sagte Somorovsky. Der Umsatz mit Cloud-Diensten werde allein in Europa bis 2012 auf rund 148 Milliarden Euro steigen. "Deswegen ist es dringend notwendig, die Sicherheitslücken zu erkennen und dauerhaft zu vermeiden."

mak/dpa

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
zum Forum...
Sagen Sie Ihre Meinung!
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Cloud Computing
RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren
Stichwort: Cloud Computing
Prinzip
Das Endgerät ist beim Cloud Computing nur ein Fenster auf einen stets aktuellen Datenbestand. Wer am Rechner einen Termin einträgt, sieht ihn später auch beim Blick in den Handy-Kalender, wer mobil einen Kontakt einträgt, kann ihn später am PC abrufen - immer nur online, versteht sich. Das Gleiche gilt für Adressbücher, E-Mails, online abgelegte Fotos, Dokumente und so weiter.
Anbieter
Viele Anbieter versuchen derzeit, sich als erste Adresse für den Zugang zur Datenwolke zu positionieren. Dazu gehören beispielsweise Google, Microsoft, der Hardware-Hersteller Apple mit MobileMe und der Handy-Produzent Nokia mit seinem Dienst Ovi. Auch Vodafone will künftig stärker auf Netzdienste setzen.
Business-Funktionen
Für Unternehmen hat Cloud Computing eine weitere Bedeutung: Sie können rechen- oder datenintensive Aufgaben an Datenzentren auslagern, gewissermaßen Rechner - oder Speicherkapazität in der Wolke nach Bedarf für bestimmte Aufgaben anmieten. Vorreiter ist hier Amazon mit seinen Web Services (AWS), etwa dem Speicherdienst S3. Es gibt aber auch zahlreiche andere Anbieter, etwa die Plattform Force.com von Salesforce.

Fotostrecke
Cloud-Dienste: Musik aus der Datenwolke
Musik: Die Cloud-Konkurrenz
Worum geht es?
Die eigene Musiksammlung im Internet, immer und überall verfügbar, mit angeschlossenem Online-Shop: Klingt einfach, ist aber immer noch keine Selbstverständlichkeit. Vor allem die Musiklabels sperren sich gegen die neuen Online-Angebote, zudem behindert internationales Lizenzchaos innovative Angebote. Die EU-Kommission plant deswegen nun einen gemeinsamen europäischen Online-Binnenmarkt.
Amazon Cloud Drive
Der Online-Händler Amazon hat als erster Internetriese einen Online-Musikdienst gestartet. Auf die Online-Festplatte Cloud-Drive lassen sich bei Amazon eingekaufte Werke kopieren. Eine spezielle Genehmigung für das Streaming-Angebot hat sich Amazon nicht eingeholt.
Dropbox
Der Online-Speicherdienst Dropbox synchronisiert automatisch Dateien und Ordner zwischen Computern, außerdem kann über ein Webinterface und eine App auf die eigenen Daten zugegriffen werden. Auch die eigene Musiksammlung lässt sich in den Webspeicher verlegen - und auf das iPhone streamen.
iTunes in the Cloud
Bei Apple eingekaufte Musik steht künftig über "iTunes in the Cloud" automatisch auf allen registrierten Geräten bereit. US-Nutzer können für eine Jahresgebühr von rund 25 Dollar außerdem über das Netzwerk auf Musikstücke zugreifen, die sie als Datei auf ihrem Rechner liegen haben, ohne sie bei Apple (oder anderswo) gekauft zu haben. Vorausgesetzt, der iTunes Store führt das Lied im Angebot.
Music Beta by Google
Im Mai hat Google auf einer Konferenz einen eigenen Online-Musikdienst vorgestellt - zunächst aber nur als Beta-Version und nur für US-Nutzer. Die können ihre eigene Musiksammlung auf die Google-Server laden, einen eigenen Online-Musikladen bietet Google bisher nicht an.
Simfy
Über Werbung und kostenpflichtige Premium-Angebote finanziert sich der Streaming-Dienst Simfy - bisher stehen im deutschsprachigen Raum rund acht Millionen Lieder zur Verfügung. Bisher ist die iPad-App des Unternehmens nicht von Apple genehmigt worden.
Spotify (und Facebook)
Bisher in sieben Ländern nutzbar ist der Musik-Streamingdienst Spotify. Deutschland und die USA fehlen allerdings. Für die mobile Spotify-App wird eine Gebühr fällig. Für Aufsehen sorgten Meldungen, wonach eine enge Integration in Facebook geplant sein soll.

Schad- und Spähsoftware
Klicken Sie auf die Stichworte, um mehr zu erfahren
Trojaner
Wie das Trojanische Pferd in der griechischen Mythologie verbergen Computer-Trojaner ihre eigentliche Aufgabe (und Schädlichkeit!) hinter einer Verkleidung. Meist treten sie als harmlose Software auf: Bildschirmschoner, Videodatei, Zugangsprogramm. Sie werden zum Beispiel als E-Mail-Anhang verbreitet. Wer das Programm startet, setzt damit immer eine verborgene Schadfunktion ein: Meist besteht diese aus der Öffnung einer sogenannten Backdoor , einer Hintertür, die das Computersystem gegenüber dem Internet öffnet und durch die weitere Schadprogramme nachgeladen werden.
Virus
Computerviren befallen vorhandene Dateien auf den Computern ihrer Opfer. Die Wirtsdateien funktionieren – zumindest eine Zeit lang - weiterhin wie zuvor. Denn Viren sollen nicht entdeckt werden. Sie verbreiten sich nicht selbständig, sondern sind darauf angewiesen, dass Computernutzer infizierte Dateien weitergeben, sie per E-Mail verschicken, auf USB-Sticks kopieren oder in Tauschbörsen einstellen. Von den anderen Schad- und Spähprogrammen unterscheidet sich ein Virus allein durch die Verbreitungsmethode. Welche Schäden er anrichtet, hängt allein vom Willen seiner Schöpfer ab.
Rootkit
Das kleine Kompositum führt die Worte "Wurzel" und "Bausatz" zusammen: "Root" ist bei Unix-Systemen der Benutzer mit den Administratorenrechten, der auch in die Tiefen des Systems eingreifen darf. Ein "Kit" ist eine Zusammenstellung von Werkzeugen. Ein Rootkit ist folglich ein Satz von Programmen, die mit vollem Zugriff auf das System eines Computers ausgestattet sind. Das ermöglicht dem Rootkit weitgehende Manipulationen, ohne dass diese beispielsweise von Virenscannern noch wahrgenommen werden können. Entweder das Rootkit enthält Software, die beispielsweise Sicherheitsscanner deaktiviert, oder es baut eine sogenannte Shell auf, die als eine Art Mini-Betriebssystem im Betriebssystem alle verdächtigen Vorgänge vor dem Rechner verbirgt. Das Gros der im Umlauf befindlichen Rootkits wird genutzt, um Trojaner , Viren und andere zusätzliche Schadsoftware über das Internet nachzuladen. Rootkits gehören zu den am schwersten aufspürbaren Kompromittierungen eines Rechners.
Wurm
Computerwürmer sind in der Praxis die getunte, tiefergelegte Variante der Viren und Trojaner. Im strengen Sinn wird mit dem Begriff nur ein Programm beschrieben, das für seine eigene Verbreitung sorgt - und der Programme, die es transportiert. Würmer enthalten als Kern ein Schadprogramm , das beispielsweise durch Initiierung eines eigenen E-Mail-Programms für die Weiterverbreitung von einem befallenen Rechner aus sorgt. Ihr Hauptverbreitungsweg sind folglich die kommunikativen Wege des Webs: E-Mails, Chats, AIMs , P2P-Börsen und andere. In der Praxis werden sie oft als Vehikel für die Verbreitung verschiedener anderer Schadprogramme genutzt.
Drive-by
Unter einem Drive-by versteht man die Beeinflussung eines Rechners oder sogar die Infizierung des PC durch den bloßen Besuch einer verseuchten Web-Seite. Die Methode liegt seit einigen Jahren sehr im Trend: Unter Ausnutzung aktueller Sicherheitslücken in Browsern und unter Einsatz von Scripten nimmt ein auf einer Web-Seite hinterlegter Schadcode Einfluss auf einen Rechner. So werden zum Beispiel Viren verbreitet, Schnüffelprogramme installiert, Browseranfragen zu Web-Seiten umgelenkt, die dafür bezahlen und anderes. Drive-bys sind besonders perfide, weil sie vom PC-Nutzer keine Aktivität (wie das Öffnen einer E-Mail) verlangen, sondern nur Unvorsichtigkeit. Opfer sind zumeist Nutzer, die ihre Software nicht durch regelmäßige Updates aktuell halten - also potentiell so gut wie jeder.
Botnetz
Botnets sind Netzwerke gekidnappter Rechner - den Bots. Mit Hilfe von Trojaner-Programmen, die sie beispielsweise durch manipulierte Web-Seiten oder fingierte E-Mails auf die Rechner einschleusen, erlangen die Botnet-Betreiber Zugriff auf die fremden PC und können sie via Web steuern. Solche Botnets zu vermieten, kann ein einträgliches Geschäft sein. Die Zombiearmeen werden unter anderem genutzt, um millionenfache Spam-Mails zu versenden, durch eine Vielzahl gleichzeitiger Anfragen Web-Seiten in die Knie zu zwingen oder in großem Stile Passwörter abzugrasen. (mehr bei SPIEGEL ONLINE)
Fakeware, Ransomware
Das Wort setzt sich aus "Fake", also "Fälschung", und "Ware", der Kurzform für Software zusammen: Es geht also um "falsche Software" . Gemeint sind Programme, die vorgeben, eine bestimmte Leistung zu erbringen, in Wahrheit aber etwas ganz anderes tun. Häufigste Form: angebliche IT-Sicherheitsprogramme oder Virenscanner. In ihrer harmlosesten Variante sind sie nutzlos, aber nervig: Sie warnen ständig vor irgendwelchen nicht existenten Viren und versuchen, den PC-Nutzer zu einem Kauf zu bewegen. Als Adware-Programme belästigen sie den Nutzer mit Werbung.

Die perfideste Form aber ist Ransomware : Sie kidnappt den Rechner regelrecht, macht ihn zur Geisel. Sie behindert oder verhindert das normale Arbeiten, lädt Viren aus dem Netz und stellt Forderungen auf eine "Reinigungsgebühr" oder Freigabegebühr, die nichts anderes ist als ein Lösegeld: Erst, wenn man zahlt, kann man mit dem Rechner wieder arbeiten. War 2006/2007 häufig, ist seitdem aber zurückgegangen.
Zero-Day-Exploits
Ein Zero-Day-Exploit nutzt eine Software-Sicherheitslücke bereits an dem Tag aus, an dem das Risiko überhaupt bemerkt wird. Normalerweise liefern sich Hersteller von Schutzsoftware und die Autoren von Schadprogrammen ein Kopf-an-Kopf-Rennen beim Stopfen, Abdichten und Ausnutzen bekanntgewordener Lücken.
Risiko Nummer eins: Nutzer
Das größte Sicherheitsrisiko in der Welt der Computer sitzt vor dem Rechner. Nicht nur mangelnde Disziplin bei nötigen Software-Updates machen den Nutzer gefährlich: Er hat auch eine große Vorliebe für kostenlose Musik aus obskuren Quellen, lustige Datei-Anhänge in E-Mails und eine große Kommunikationsfreude im ach so informellen Plauderraum des Webs. Die meisten Schäden in der IT dürften von Nutzer-Fingern auf Maustasten verursacht werden.
DDoS-Attacken
Sogenannte distribuierte Denial-of-Service-Attacken (DDoS) sind Angriffe, bei denen einzelne Server oder Netzwerke mit einer Flut von Anfragen anderer Rechner so lange überlastet werden, bis sie nicht mehr erreichbar sind. Üblicherweise werden für solche verteilten Attacken heutzutage sogenannte Botnetze verwendet, zusammengeschaltete Rechner, oft Tausende oder gar Zehntausende, die von einem Hacker oder einer Organisation ferngesteuert werden.

Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.