Cloud Computing

Kostenloser Schwachstellen-Scanner

Amazon-Kunden sind fahrlässig

13.07.2011, von

Fraunhofer und die TU-Darmstadt haben schwerwiegende Sicherheitsmängel bei öffentlichen Amazon Machine Images gefunden. Doch Amazon verhält sich korrekt.

Der Amazon-Service "Elastic Compute Cloud" basiert auf virtuellen Maschinen (VM), die der User als Cloud Dienst in Anspruch nimmt. Diese VMs werden mit Hilfe von Images (Templates) erzeugt, die der Nutzer selbst anlegt – oder sich aus einer Liste schon einmal von anderen Nutzern vorkonfigurierten Templates auswählt. Wie die Untersuchung des Fraunhofer SIT jetzt zeigt, sind viele Amazon-Nutzer erstaunlich sorglos beim Umgang mit diesen Templates: Die Wissenschaftler fanden reihenweise zurückgelassene Passwörter, kryptographische Schlüssel und Zertifikate.

Amazon trifft keine Schuld

"Wir haben den Fakt als solchen festgestellt und das dann nicht weiter untersucht", sagt Professor Michael Waidner, Direktor des Fraunhofer SIT, "das dürfen wir aus rechtlichen Gründen auch gar nicht." Aber er nimmt an, dass sich bei genauerer Nachprüfung in vielen Fällen nicht nur herausfinden ließe, welche Unternehmen die Templates angelegt oder genutzt haben, sondern sich wohl auch weitere sensible Informationen finden ließen. "Ich vermute, dass mit ein bisschen Aufwand und entsprechender krimineller Energie möglicherweise auch das eine oder andere Passwort für die Backend-Systeme der Amazon-Nutzer finden ließe", sagt der Fraunhofer-Direktor.

Professor Michael Waidner, Direktor des Fraunhofer SIT: Vergrößern
Professor Michael Waidner, Direktor des Fraunhofer SIT: "Man muss wohl davon ausgehen, dass auch die Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden."
Foto: Fraunhofer SIT

Den Anbieter Amazon träfe dabei aber keine Schuld, im Gegenteil: "Amazon verhält sich hier sehr korrekt und hat genaue Richtlinien veröffentlicht, welche Sicherheitsvorkehrungen zu treffen sind", sagt Sicherheitsexperte Waidner. Es sei allein die Schuld der Nutzer, wenn diese nicht eingehalten würden und deshalb gewaltige Sicherheitslücken klafften. Dabei handelte es sich um eine gefährliche Mischung aus Sorglosigkeit und Unkenntnis: "Der Zugang zum Amazon-Service erfolgt üblicherweise über Secure Shell – aber es sieht so aus, dass viele Nutzer das Sicherheitsprotokoll nicht verstanden haben und sogar ihre privaten Schlüssel in den Templates zurücklassen."

Von den 1100 untersuchten öffentlichen Amazon Machine Images, auf denen die Cloud-Dienste basieren, waren jedenfalls rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können. Über Passwörter und kryptographische Schlüssel hinaus haben die Fraunhofer-Wissenschaftler keine weiteren sensiblen Daten vorgefunden – allerdings haben sie auch nicht gezielt danach gesucht. Offenbar handelte es sich zum Großteil um Testsysteme, auf denen keine Kreditkarteninformationen oder personenbezogene Daten verarbeitet wurden.

Jetzt den CIO Exklusiv Newsletter bestellen!
Kommentieren: Kommentieren
Weitere Inhalte zu:
Amazon Web Services, Fraunhofter SIT, Amazon Machine Images, Cloud Computing, Cloud Security