• Folge Uns
    • Facebook
    • Twitter
    • Youtube
    • Flipboard
  • ENG
Mobilegeeks
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
  • Videos
  • Cars
  • Connected Life
  • IoT
  • Smartphones
  • Hardware
  • Tests
  • Podcast
Powered By GDATA
Powered By GDATA
Previous Story
Smartphones, Routern & Co. droht ein EU-weites Ver ...

von Bernd Rubel

Next Story
Assistenzssysteme am Limit - Jaguar Ice Drive Expe ...

von Mark Kreuzer

BSI: Über 20.000 veraltete ownCloud- und Nextcloud-Installationen

Oft wird empfohlen, man möge doch seinen eigenen ownCloud- oder Nextcloud-Server betreiben, wenn man wegen dem Thema Datenschutz den großen Cloud-Anbietern nicht vertraut. Schnell installiert ist so ein System natürlich - aber mit der regelmäßigen Pflege sind offensichtlich sehr viele einfach überfordert.

von Carsten Dobschat am 20. März 2017
  • Email
  • @dobschat

„Mach doch deine eigene Cloud“, haben sie gesagt, „mit ownCloud oder Nextcloud ist das ganz einfach“, haben sie gesagt. Was sie aber offenbar nicht sagten: „So eine Installation muss man auch pflegen, da müssen Updates installiert werden“. Nach Informationen des BSI kann man davon ausgehen, dass es in Deutschland sehr viele Menschen mit Verantwortung für IT-Systeme gibt, die die Haltung eines meiner früheren Vorgesetzten teilen: „Eine Software wird einmal installiert, danach macht sie keine Arbeit mehr, sondern läuft einfach und man kann die nächste Software installieren“.

Das BSI entdeckte in Deutschland über 20.000 Systeme mit ownCloud und Nextcloud, die zum Teil kritische Sicherheitslücken aufwiesen, die aber durch Updates ganz einfach zu schließen wären. Kurz: Die Systeme wurden als Einladung an Dritte betrieben, sich doch bitte auf dem System umzusehen, Daten zu kopieren oder zu ändern, anders kann man den Betrieb eines Systems mit bekannten und bereits in neueren Softwareversionen geschlossenen Bugs nicht bezeichnen. Dabei waren es mitnichten nur irgendwelche Privatsysteme, über die die letzten Urlaubsbilder mit der Familie geteilt wurden:

Betroffen sind u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer. BSI

Rechtsanwälte? Ärzte? Da will man lieber gar nicht wissen, welche Daten auf den Systemen gespeichert sind. Für die Zukunft sollte man einen Arzt vielleicht auch nach seiner IT fragen, wer will schon, dass die eigenen Befunde irgendwann in der Öffentlichkeit landen?

Gefunden wurden die Systeme Anfang Februar und zu dem Zeitpunkt informierte das CERT-Bund die Netzbetreiber über die gefundenen, löchrigen Systeme. Normalerweise informieren diese dann ihre Kunden – so zumindest kenne ich das. Nun könnte es einerseits sein, dass 4/5 der Systeme bei Hostern stehen, die ihre Kunden über solche eingehenden Sicherheitswarnungen nicht informieren oder aber diese 4/5 der Systeme werden von Menschen betrieben, die mit der Wartung ihres Systems überfordert sind. Die Wahrheit dürfte irgendwo dazwischen liegen. Man will gar nicht wissen, wie viele dieser Systeme komplett ungewartet sind, weil der Mitarbeiter, der es mal aufgesetzt hat, nicht mehr im Unternehmen ist und so lange alles zu funktionieren scheint, interessiert sich keiner mehr für das Ding.

Dabei machen es die meisten Software-Anbieter doch sehr leicht, Systeme aktuell zu halten: Man erhält Informationen über Updates in der Software selbst, es gibt webbasierte Updater, sowohl ownCloud als auch Nextcloud bieten unter scan.owncloud.com bzw. scan.nextcloud.com einen einfache Möglichkeit, das eigene System auf bekannte Sicherheitslücken testen zu lassen. Und wer sich dann immer noch mit dem Thema überfordert sieht, aber nicht vernünftig genug ist, die Finger davon zu lassen, so ein System selbst zu warten, der kann nicht nur auf den Community-Support zurückgreifen, es gibt auch kommerziellen Support für die Systeme und auch das BSI bietet hier Hilfe an:

Cloud-Betreiber sind für die Sicherheit ihrer Cloud verantwortlich und sollten mit dieser Verantwortung sorgsam umgehen. Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen. Empfehlungen des BSI für mehr Cloud-Sicherheit sind verfügbar, als nationale Cyber-Sicherheitsbehörde stehen wir Cloud-Anwendern gern mit Rat und Tat zur Seite.

 

Wobei natürlich nicht auszuschließen ist, dass so manche dieser Installationen von einem Dienstleister betrieben wird, der es einfach mal nicht so genau nimmt mit dem Thema Updates. Aber egal, was nun die Ursache ist, die Betreiber der betroffenen Systeme sollten sich ernsthaft die Frage stellen, ob sie nicht vielleicht von der DIY-Cloud auf einen der großen Anbieter umsteigen oder den Dienstleister für ihre ownCloud-/Nextcloud-Installation wechseln sollten.

Trending Cars
  • Tesla Model 3
  • Opel Ampera-e
  • Tesla Model X
  • Porsche Mission E
Automarken
  • Mercedes-Benz
  • Tesla
  • Audi
  • Volkswagen – VW
  • BMW
  • Ford
  • Porsche
  • Opel
Related Video
video
Microsoft Family Safety – Kindersicherung jetzt auch von Microsoft
Die IT-Sicherheitsprognosen für 2017
Security
Ähnliche Artikel
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
18. Februar 2022
Online-Transkriptionen von Gesprächen können in falsche Hände gelangen
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
16. Februar 2022
Farbige Menschen werden durch Überwachungsmaßnahmen öfter benachteiligt
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
3. Februar 2022
Eure Grafikkarte könnte in Zukunft über angezeigte Werbung entscheiden
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
21. Januar 2022
Olympische Spiele: Chinesische Begleitapp versendet ungesichert Daten
Neueste Tests
8.7
Insgesamt bekommt man für den Preis wirklich gut funktionierendes und zuverlässiges Sicherheitssyste ...
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
2. Juli 2018
Smartes Sicherheits-Set – Egardia und Philips Hue im Test
9.1
Für den persönlichen Gebrauch ist Lima Ultra eine hervorragende Lösung, um jederzeit Zugriff auf die ...
Lima Ultra – persönlicher Cloud-Speicher im Test
6. März 2017
Lima Ultra – persönlicher Cloud-Speicher im Test

Fernweh

Wir beschäftigen uns mit den Themen und der Technik von Morgen und Übermorgen - Von Smartcities über Sharing-Economy bishin zur Mobilität der Zukunft

Hubs
  • Laptops
  • Magazin
  • Smart Cars
  • Smartphone
  • Tablets
  • Wearables
Weitere Themen
  • OnePlus 5
  • Samsung Galaxy S8
  • LG G6
  • Microsoft Surface Laptop
  • Amazon Blitzangebote
  • Adblock Plus
  • Testberichte (Archiv)
  • ASUS
  • Microsoft
  • Apple
  • Sitemap
Intern
  • Sponsoring und Werbung
  • Über uns
  • Sponsorenübersicht
  • Impressum
  • Datenschutzerklärung
FOLGE UNS
Copyright © 2022 Mobilegeeks.de, Alle Rechte vorbehalten
 Tweet
 Teilen
 Tweet
 Teilen
 Tweet
 Teilen
 Xing