„Mach doch deine eigene Cloud“, haben sie gesagt, „mit ownCloud oder Nextcloud ist das ganz einfach“, haben sie gesagt. Was sie aber offenbar nicht sagten: „So eine Installation muss man auch pflegen, da müssen Updates installiert werden“. Nach Informationen des BSI kann man davon ausgehen, dass es in Deutschland sehr viele Menschen mit Verantwortung für IT-Systeme gibt, die die Haltung eines meiner früheren Vorgesetzten teilen: „Eine Software wird einmal installiert, danach macht sie keine Arbeit mehr, sondern läuft einfach und man kann die nächste Software installieren“.
Das BSI entdeckte in Deutschland über 20.000 Systeme mit ownCloud und Nextcloud, die zum Teil kritische Sicherheitslücken aufwiesen, die aber durch Updates ganz einfach zu schließen wären. Kurz: Die Systeme wurden als Einladung an Dritte betrieben, sich doch bitte auf dem System umzusehen, Daten zu kopieren oder zu ändern, anders kann man den Betrieb eines Systems mit bekannten und bereits in neueren Softwareversionen geschlossenen Bugs nicht bezeichnen. Dabei waren es mitnichten nur irgendwelche Privatsysteme, über die die letzten Urlaubsbilder mit der Familie geteilt wurden:
Betroffen sind u.a. die Cloud-Anwendungen großer und mittelständischer Unternehmen, öffentlicher und kommunaler Einrichtungen, von Energieversorgern, Krankenhäusern, Ärzten, Rechtsanwälten und privater Nutzer. BSI
Rechtsanwälte? Ärzte? Da will man lieber gar nicht wissen, welche Daten auf den Systemen gespeichert sind. Für die Zukunft sollte man einen Arzt vielleicht auch nach seiner IT fragen, wer will schon, dass die eigenen Befunde irgendwann in der Öffentlichkeit landen?
Gefunden wurden die Systeme Anfang Februar und zu dem Zeitpunkt informierte das CERT-Bund die Netzbetreiber über die gefundenen, löchrigen Systeme. Normalerweise informieren diese dann ihre Kunden – so zumindest kenne ich das. Nun könnte es einerseits sein, dass 4/5 der Systeme bei Hostern stehen, die ihre Kunden über solche eingehenden Sicherheitswarnungen nicht informieren oder aber diese 4/5 der Systeme werden von Menschen betrieben, die mit der Wartung ihres Systems überfordert sind. Die Wahrheit dürfte irgendwo dazwischen liegen. Man will gar nicht wissen, wie viele dieser Systeme komplett ungewartet sind, weil der Mitarbeiter, der es mal aufgesetzt hat, nicht mehr im Unternehmen ist und so lange alles zu funktionieren scheint, interessiert sich keiner mehr für das Ding.
Dabei machen es die meisten Software-Anbieter doch sehr leicht, Systeme aktuell zu halten: Man erhält Informationen über Updates in der Software selbst, es gibt webbasierte Updater, sowohl ownCloud als auch Nextcloud bieten unter scan.owncloud.com bzw. scan.nextcloud.com einen einfache Möglichkeit, das eigene System auf bekannte Sicherheitslücken testen zu lassen. Und wer sich dann immer noch mit dem Thema überfordert sieht, aber nicht vernünftig genug ist, die Finger davon zu lassen, so ein System selbst zu warten, der kann nicht nur auf den Community-Support zurückgreifen, es gibt auch kommerziellen Support für die Systeme und auch das BSI bietet hier Hilfe an:
Wobei natürlich nicht auszuschließen ist, dass so manche dieser Installationen von einem Dienstleister betrieben wird, der es einfach mal nicht so genau nimmt mit dem Thema Updates. Aber egal, was nun die Ursache ist, die Betreiber der betroffenen Systeme sollten sich ernsthaft die Frage stellen, ob sie nicht vielleicht von der DIY-Cloud auf einen der großen Anbieter umsteigen oder den Dienstleister für ihre ownCloud-/Nextcloud-Installation wechseln sollten.
