Der Amazon-Service „Elastic Compute Cloud“ basiert auf virtuellen Maschinen (VM), die der User als Cloud Dienst in Anspruch nimmt. Diese VMs werden mit Hilfe von Images (Templates) erzeugt, die der Nutzer selbst anlegt – oder sich aus einer Liste schon einmal von anderen Nutzern vorkonfigurierten Templates auswählt. Wie die Untersuchung des Fraunhofer SIT jetzt zeigt, sind viele Amazon-Nutzer erstaunlich sorglos beim Umgang mit diesen Templates: Die Wissenschaftler fanden reihenweise zurückgelassene Passwörter, kryptographische Schlüssel und Zertifikate.
Amazon trifft keine Schuld
„Wir haben den Fakt als solchen festgestellt und das dann nicht weiter untersucht“, sagt Professor Michael Waidner, Direktor des Fraunhofer SIT, „das dürfen wir aus rechtlichen Gründen auch gar nicht.“ Aber er nimmt an, dass sich bei genauerer Nachprüfung in vielen Fällen nicht nur herausfinden ließe, welche Unternehmen die Templates angelegt oder genutzt haben, sondern sich wohl auch weitere sensible Informationen finden ließen. “Ich vermute, dass mit ein bisschen Aufwand und entsprechender krimineller Energie möglicherweise auch das eine oder andere Passwort für die Backend-Systeme der Amazon-Nutzer finden ließe“, sagt der Fraunhofer-Direktor.
Den Anbieter Amazon träfe dabei aber keine Schuld, im Gegenteil: „Amazon verhält sich hier sehr korrekt und hat genaue Richtlinien veröffentlicht, welche Sicherheitsvorkehrungen zu treffen sind“, sagt Sicherheitsexperte Waidner. Es sei allein die Schuld der Nutzer, wenn diese nicht eingehalten würden und deshalb gewaltige Sicherheitslücken klafften. Dabei handelte es sich um eine gefährliche Mischung aus Sorglosigkeit und Unkenntnis: „Der Zugang zum Amazon-Service erfolgt üblicherweise über Secure Shell – aber es sieht so aus, dass viele Nutzer das Sicherheitsprotokoll nicht verstanden haben und sogar ihre privaten Schlüssel in den Templates zurücklassen.“
Von den 1100 untersuchten öffentlichen Amazon Machine Images, auf denen die Cloud-Dienste basieren, waren jedenfalls rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können. Über Passwörter und kryptographische Schlüssel hinaus haben die Fraunhofer-Wissenschaftler keine weiteren sensiblen Daten vorgefunden – allerdings haben sie auch nicht gezielt danach gesucht. Offenbar handelte es sich zum Großteil um Testsysteme, auf denen keine Kreditkarteninformationen oder personenbezogene Daten verarbeitet wurden.
„Allein nach den Images ist es schwer zu sagen, wer die Nutzer dieser Services sind“, sagt der Fraunhofer-Direktor, „nach unserem Gefühl handelt es sich aber eher um kleine Unternehmen oder auch Privatanwender, die den Amazon-Service für Testzwecke verwenden.“ Auf namhafte Unternehmen oder gar öffentliche Einrichtungen sind die Wissenschaftler jedenfalls nicht gestoßen.
Cloud-Kunden unwissend und nachlässig
Wegen der steigenden Popularität, der einfachen Benutzbarkeit und großen Preisvorteilen nutzen immer mehr Unternehmen unterschiedliche Dienste in der Cloud. Aber während in Expertenzirkeln die Sicherheitsaspekte der zugrundeliegenden Cloud-Infrastrukturen ausgiebig diskutiert werden, neigen Cloud-Kunden offenbar dazu, die Gefahren stark zu unterschätzen.
Wie es scheint, halten sich im Falle der untersuchten Amazon-Templates die schädlichen Auswirkungen in Grenzen – dennoch wirft das Ergebnis der Darmstädter Wissenschaftler kein gutes Licht auf die Fachwissen, die Sorgfalt und das Sicherheitsbewusstsein der Kunden. „Man muss wohl davon ausgehen, dass auch die Kunden anderer Cloud-Anbieter sich und andere durch ihre Unwissenheit und Nachlässigkeit gefährden“, resümiert Institutsleiter Waidner.
Um wenigstens bei der Nutzung der Amazon-Cloud die gröbsten Sicherheitsmängel zu beheben, hat das Team am Fraunhofer SIT und der TU-Darmstadt ein Tool entwickelt, mit dem Amazon-Nutzer ihre Templates überprüfen können. Der Schwachstellenscanner steht im Internet kostenlos unter diesem Link zum Download bereit.