Private Cloud-Server: BSI warnt vor alter Software mit kritischen Schwachstellen

Andreas Frischholz 18 Kommentare
Private Cloud-Server: BSI warnt vor alter Software mit kritischen Schwachstellen
Bild: tomshanti | CC BY 2.0

Vor kurzem warnte das BSI noch, dass einige Parteien veraltete Cloud-Software einsetzen und damit die Sicherheit der Daten gefährden. Nun steht der Politikbetrieb mit dem Problem nicht alleine dar, auch Tausende deutschen Firmen sollen ihre privaten Cloud-Server nicht anständig schützen.

Über 20.000 Cloud-Systeme mit kritischen Sicherheitslücken

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind es insgesamt über 20.000 Cloud-Systeme, die Dienste wie ownCloud und Nextcloud nutzen, aber veraltete Software-Versionen mit zum Teil kritische Sicherheitslücken einsetzen. Das ist ein Einfallstor für Angreifer, die auf diese Weise auf die Cloud-Speicher zugreifen können, um sensible Informationen wie etwa Kundendaten und Dokumente eines Unternehmens zu erbeuten. Manche Schwachstellen ermöglichen es zudem noch, Schadcode auf den Cloud-Servern auszuführen. Damit können dann auch weitere Server einer Firma kompromittiert werden, warnt das BSI.

Betroffen sind neben den Cloud-Anwendungen von großen und mittelständischen Unternehmen auch öffentliche und kommunale Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte sowie privater Nutzer. Seit Februar benachrichtigt das BSI betroffene Unternehmen, reagiert habe demnach aber erst rund ein Fünftel.

Updates sind Pflicht

Private Cloud-Dienste wie ownCloud und Nextcloud bieten den Vorteil, dass Unternehmen unabhängig sind von den großen Anbietern wie Amazon oder Dropbox. Dafür müssen sich Betreiber aber auch selbst um die Server kümmern. „Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen“, erklärt BSI-Präsident Arne Schönbohm.

Das betonte etwa auch Nextcloud, als kürzlich über die veralteten Cloud-Server von Parteien und Organisationen berichtet wurde. Ohne Sicherheit wäre Privatsphäre nicht möglich, hieß es in einer Stellungnahme. Deswegen wurde etwa auch der Update-Prozess vereinfacht.

Zudem bieten sowohl Nextcloud als auch ownCloud Online-Dienste an, um den eigenen Cloud-Server zu prüfen. Das BSI hat zusätzlich noch einen Leitfaden für die „Sichere Nutzung von Cloud-Diensten“ erstellt.