Kostenloser Schwachstellen-Scanner
Amazon-Kunden sind fahrlässig
Der Amazon-Service „Elastic Compute Cloud“ basiert auf virtuellen Maschinen (VM), die der User als Cloud Dienst in Anspruch nimmt. Diese VMs werden mit Hilfe von Images (Templates) erzeugt, die der Nutzer selbst anlegt – oder sich aus einer Liste schon einmal von anderen Nutzern vorkonfigurierten Templates auswählt. Wie die Untersuchung des Fraunhofer SIT jetzt zeigt, sind viele Amazon-Nutzer erstaunlich sorglos beim Umgang mit diesen Templates: Die Wissenschaftler fanden reihenweise zurückgelassene Passwörter, kryptographische Schlüssel und Zertifikate.
Amazon trifft keine Schuld
„Wir haben den Fakt als solchen festgestellt und das dann nicht weiter untersucht“, sagt Professor Michael Waidner, Direktor des Fraunhofer SIT, „das dürfen wir aus rechtlichen Gründen auch gar nicht.“ Aber er nimmt an, dass sich bei genauerer Nachprüfung in vielen Fällen nicht nur herausfinden ließe, welche Unternehmen die Templates angelegt oder genutzt haben, sondern sich wohl auch weitere sensible Informationen finden ließen. “Ich vermute, dass mit ein bisschen Aufwand und entsprechender krimineller Energie möglicherweise auch das eine oder andere Passwort für die Backend-Systeme der Amazon-Nutzer finden ließe“, sagt der Fraunhofer-Direktor.
Den Anbieter AmazonAmazon träfe dabei aber keine Schuld, im Gegenteil: „Amazon verhält sich hier sehr korrekt und hat genaue Richtlinien veröffentlicht, welche Sicherheitsvorkehrungen zu treffen sind“, sagt Sicherheitsexperte Waidner. Es sei allein die Schuld der Nutzer, wenn diese nicht eingehalten würden und deshalb gewaltige Sicherheitslücken klafften. Dabei handelte es sich um eine gefährliche Mischung aus Sorglosigkeit und Unkenntnis: „Der Zugang zum Amazon-Service erfolgt üblicherweise über Secure Shell – aber es sieht so aus, dass viele Nutzer das Sicherheitsprotokoll nicht verstanden haben und sogar ihre privaten Schlüssel in den Templates zurücklassen.“ Alles zu Amazon auf CIO.de
Von den 1100 untersuchten öffentlichen Amazon Machine Images, auf denen die Cloud-Dienste basieren, waren jedenfalls rund 30 Prozent so verwundbar, dass Angreifer teilweise Webservices oder virtuelle Infrastrukturen hätten manipulieren oder übernehmen können. Über Passwörter und kryptographische Schlüssel hinaus haben die Fraunhofer-Wissenschaftler keine weiteren sensiblen Daten vorgefunden – allerdings haben sie auch nicht gezielt danach gesucht. Offenbar handelte es sich zum Großteil um Testsysteme, auf denen keine Kreditkarteninformationen oder personenbezogene Daten verarbeitet wurden.