BSI warnt: Nicht durchgeführte Updates machen Clouds in Deutschland angreifbar
Eigentlich soll die eigene Cloud, so wie sie sich mit ownCloud oder Nextcloud verwirklichen ist, für mehr Sicherheit sorgen. Daten nicht auf fremden Servern, der eigene Herr über die Installation sein. Dumm nur, wenn man dann nicht regelmäßig Updates fährt und veraltete Versionen einsetzt. Dass dies der Fall ist, hat das Bundesamt für Sicherheit in der Informationstechnik festgestellt. Über 20.000 in Deutschland betriebene Clouds setzen auf Versionen von ownCloud oder Nextcloud, die teils kritische Sicherheitslücken aufweisen.
Diese Update-Faulheit zieht sich durch alle Bereiche. Mittelständische Unternehmen sind genauso betroffen wie kommunale und öffentliche Einrichtungen, Energieversorger, Krankenhäuser, Rechtsanwälte und so weiter. Das BSI informierte Anfang Februar die Netzbetreiber, die angehalten sind, ihre Kunden zu informieren, wenn diese eine unsichere Cloudstruktur einsetzen. Bisher reagierten aber nur rund ein Fünftel der Nutzer.
Hierzu erklärt BSI-Präsident Arne Schönbohm: „Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen. Empfehlungen des BSI für mehr Cloud-Sicherheit sind verfügbar, als nationale Cyber-Sicherheitsbehörde stehen wir Cloud-Anwendern gern mit Rat und Tat zur Seite.“
Die Sicherheit ist eine Sache, auf der anderen Seite haben aber private Nutzer und auch Unternehmen vielfach die Erfahrung machen müssen, dass vieles nach einem Update nicht mehr so funktioniert wie vorher. Nicht umsonst gibt es den Spruch: „Never change a running system“. So ist es nicht immer nur Faulheit, sondern auch einfach der Wunsch, ein laufendes Produktivsystem auch weiter nutzen zu können. Und in der Praxis ist gerade im Unternehmensbereich ein laufendes System wichtiger als ein vielfaches eher theoretisches Sicherheitsleck.
Heute dies und morgen jenes. Und übermorgen wieder dies. Und das BSI macht Mimimi. Jedenfalls dann, wenn Sie das Problem nach einigen Wochen mitbekommen haben.
Zumindest unsere oberste IT-Sicherheitsbehörde sollte doch langsam mal dämmern, dass es erhebliche strukturelle Probleme gibt. Sehr viele Unternehmen haben weder ein Problembewusstsein und auch nicht die Bereitschaft, die zwangsläufig anfallenden Wartungsarbeiten durchzuführen oder in Auftrag zu geben.
Für eine virtuelle Präsenz entstehen nun mal Kosten, die einem Büro entsprechen. Wer nicht mal Updates für ownCloud, WordPress usw mitbekommt und durchführt, der bekommt noch ganz andere Sachen nicht mit. Die Lage ist erfahrungsgemäß sehr schlimm.
Man muss ja nicht gleich den Höchstsatz wählen, den das IT-Sicherheitsgesetz seit 2015 ermöglicht. Und vorerst auch keine Privatpersonen ins Visier nehmen. Aber 20.000 Bußgeldbescheide jeweils in Höhe von 1.000 EUR wegen unterlassener Updates an unveranwortliche Unternehmen. Wo ist das Problem? Nur so wird es leider gehen.
Ist nicht nur bei Privat Personen so. Letzt erst von einem Fall in einer Behörde mitbekommen das die halt im Jahr an siemens 400t€ für Software pflege zahlen. Der neue Admin der Behörde hat dann mal den Update stand geprüft da waren sein 5 Jahren keine Updates eingespielt worden. Lustig war auch das von Siemens regelmäßig einer gekommen ist und geprüft hat. Was er allerdings geprüft hat ist nicht ganz klar den letztes mal waren zwei Server aus da die inzwischen in einer VMware gelaufen sind und er hat es nicht gemerkt. Wenn er was geprüft hat dann nur die Anwesenheit der Server.
Das kapieren viele nicht: auf Dropbox sind die Daten viel sicherer als zuhause.
Die haben halt umfangreiche Sicherheitssysteme die man zuhause nicht hat. Da kümmern sich viele Leute den ganzen Tag um das Thema Sicherheit.
Wenn man die Daten bereits auf dem eigenen PC verschlüsselt und dann erst in die Dropbox schickt, ist es natürlich noch viel sicherer. Das funktioniert total einfach z.B. mit Boxcryptor (für Privatanwender kostenlos für eine Cloud). Und Dropbox 2FA sollte natürlich eingeschaltet sein.
Zuhause ist es u.a. aus diesen Gründen unsicher:
– Updates für owncloud etc werden nicht gemacht, oder nur ab und zu
– es gibt keine Sicherheitssysteme wie richtige Firewall, Monitoring etc
– der Router ist nicht abgesichert und bekommt keine oder nur sporadische Updates
– etc etc
Das einzige Zuhausesystem was wirklich sicher ist: das ist offline. Das ist aber auch nicht gegen Einbruch, Vandalissmus, Feuer etc gesichert.
VIele meinen weil das Gerät bei mir ist und die Haustür abgeschlossen ist, dann ist es „wirklich sicher“. Leider ein Trugschluss.
@sunworker: Bevor du soetwas schreibst, musst du definieren, was Sicherheit für dich bedeutet. Sicherheit vor Hackern? Sicherheit vor US-Diensten? Sicherheit vor Datenverlust? In unterschiedlichen Kategorien schneidet jedes System auch anders ab.
Somit muss sich das wohl jeder selbst überlegen. So eine Pauschal-Aussage wie oben von dir hilft aber keinem weiter, auch wenn es natürlich stimmt, dass man davor warnen muss, irgendeine ownCloud oder WD MyCloud zuhause ans Internetzu klemmen und zu glauben, alles sei gut.
Das gilt für jegliche Sicherheit. Selbst lokal verschlüsselt und auf Dropbox ist am sichersten.
Es ist ein Irrglaube das NSA und Co auf Systeme mit Owncloud, Synology etc nicht zugreifen können. Ausnahme ist natürlich , wie beschrieben auf Offline Systeme.
Backupsystem mit mindestens 3 einfachen externe Festplatten über USB3 oder Thunderbolt, wobei jeweils mindestens 1 Festplatte ausserhalb des eigenen Hauses in einem Safe gelagert wird und 1 weitere Festplatte immer offline ist, ist wohl das sicherste System. Allerdings nur wenn man die Festplatten sehr oft tauscht.
Und wenn am besten eine zweite Backuplösung hat die täglich verschlüsselt in die Cloud sichert. Das ist in Deutschland allerdings wegen der lahmen Internetzugänge nicht so einfach. In Spanien habe ich für 65 Euro im Monat einen Upload von 300.000.