Mobilzugänge und „Cloud Computing“ als betriebliche Sicherheitsrrisiken

Der Geschäftsmann aus Kalifornien habe Server-Kapazität gebraucht, also habe er Platz bei acht verschiedenen Cloud-Computing-Anbietern gebucht. Vier der Miet-Server hätten schon nach kurzer Zeit Ausfallerscheinungen gezeigt. Zwei Firmen hätten das Geschäft eingestellt, die Daten des Unternehmers seien weg gewesen; zwei seien Opfer von Hackern geworden, die den Server geknackt hätten - in einem Fall offenbar mit dem Administrator-Passwort des Anbieters. Gut, dass das Ganze nur ein Test gewesen sei - der kalifornische Unternehmer heiße Dave Rand und sei Cheftechnologe der IT-Sicherheitsfirma TREND MICRO. Er habe schauen wollen, wie sicher „Cloud Computing“ sei - das Ergebnis habe ihn schockiert, berichtete die FINANCIAL TIMES DEUTSCHLAND in ihrer Online-Ausgabe am 03.03.2010:
Immer mehr Firmen verlagerten Kernfunktionen ihrer IT ins Netz, ließen Systeme auf Farmen aus Miet-Servern laufen, um Kosten zu senken. Zugleich griffen Mitarbeiter nicht mehr nur vom Schreibtisch im Büro auf die Systeme zu, sondern auch vom PC zu Hause, per Laptop oder mit internetfähigen Handys, über UMTS-Karte und W-LAN, am Flughafen oder im Internet-Café - Unternehmen würden auf diese Weise zu „Hyper-Extended Enterprises“. Die Grenzen der Firmen weiteten sich in den Cyberspace aus. Die Zahl möglicher Angriffspunkte vervielfache sich mit jeder Datenverbindung und jedem zusätzlichen Zugang. Glaube man Experten wie Rand, sei Sicherheit für die Betreiber der zunehmend virtualisierten Netze viel zu selten ein Thema.
Auch Rainer von zur Mühlen, der seit Jahrzehnten Rechenzentren für Großunternehmen plane, fürchte, dass mancher Anbieter nicht den strengen Anforderungen genügten. Unternehmen könnten die Sicherheit ja auch gar nicht mehr überprüfen, wenn sie ihre Daten in fremde Hände gäben. Die „Cloud“ selbst, sage der Chef der Bonner Technologieberatung VZM, sei schon vom Wesen her unübersichtlich. Seien Informationen erstmal im Netz, sei oft nicht mehr zu klären, wo genau sie sich befänden. Es könne sein, dass sie Land oder EU verließen, was zu Problemen mit Datenschutzgesetzen führen könne. Mobile Zugriffe öffneten Eindringlingen Tür und Tor, mahne der Sicherheitsexperte.
Die Schwachstellen lägen offenbar vor allem beim Menschen. Sicherheitsexperten stießen bei Testangriffen immer wieder auf leicht zu erratende Administrator-Passwörter, die wie Generalschlüssel funktionierten. Oft öffneten auch Geschäftsreisende die Tore zur virtuellen Firmen-IT zu weit. Offene Funknetze etwa seien Sicherheitsexperten ein Gräuel - findige Hacker stellten gerne kleine W-LAN-Antennen in Flughafenlobbys, gäben ihr Netz als öffentlichen Einwahlpunkt aus und fischten Daten ab. Manchmal sei so viel Mühe aber nicht mal nötig - allein am Frankfurter Flughafen würden jedes Jahr mehr als 1.500 mobile Rechner von den Besitzern vergessen.
Dave Rand wolle das Übel an der Wurzel packen - statt sich auf die Infrastruktur zu konzentrieren, könnte man doch einfach die Daten selbst schützen. Was immer man irgendwo im Internet speichere und verarbeiten wolle, werde verschlüsselt und erst beim Nutzer wieder decodiert.

Quelle: FTD.de, 03.03.2010
Originalartikel unter: Datensicherheit / Firmen machen es Hackern zu leicht

Weitere Informationen zum Thema:

datensicherheit.de, 20.11.2009
Neuer ENISA-Report liefert detaillierte Checkliste mit Kriterien für Cloud-Computing-Sicherheit / Unabhängige und gründliche Betrachtung sämtlicher Fragen zur Sicherheit und Privatsphäre

HighT3chDad auf YouTube, 29.09.2008

Cloud Computing Explained