Der aspectra-Blog seit 2012

Wenn die Wolke blutet…

Private Daten oder geheime Informationen, die für jedermann öffentlich zugänglich werden, wünscht sich kein Besitzer dieser wertvollen Bits und Bytes – und doch geschieht es immer wieder. Können wir uns überhaupt davor schützen?

Nicht immer sind böse Cracker am Werk, wenn nichtöffentliche Daten auf einmal für die ganze Welt abrufbar sind. Viel öfters ist es gar der Anwender selbst oder ein Mitarbeiter der eigenen Firma, der unwissentlich oder durch eine fehlerhafte Konfiguration den Zugriff darauf freigibt.

Dass niemand davor gefeit ist, zeigt die riesige Bandbreite diverser Fälle. Diese reicht von technisch hochversierten Firmen wie Cloudflare, die durch einen Programmierfehler geheime Verbindungsdaten Ihrer Kunden in die Welt posaunen bis hin zum einfachen Benutzer, der durch eine Fehlkonfiguration seine privaten Daten gleich mit der ganzen Welt teilt, anstatt sie nur für sich über das Internet zugänglich zu machen.

Wie kann sowas geschehen?

Der häufigste Ausgangspunkt bei ungewollt veröffentlichten Daten ist die fehlerhafte Konfiguration einer Applikation, die mit dem Internet verbunden ist. Dabei muss es sich nicht einmal bewusst um einen «Fehler» handeln, sondern es reicht, wenn die rechte Hand nicht weiss, was die linke tut. Der Klassiker schlechthin ist die Unsitte, interne Applikationen ohne Kontakt zum Internet nur unzureichend oder gar nicht abzusichern. Mit der Zeit werden weitere Komponenten hinzugefügt, die auf einmal doch den Zugang zum Internet benötigen. Plötzlich wird das System für jeden erreichbar, ungewollt und – leider – meist auch unbemerkt.

Oft aber ignoriert der unbedarfte Endanwender schlicht und einfach die «lästigen» Sicherheitshinweise des Herstellers. Er geht bei sicherheitskritischen Konfigurationen den Weg des geringsten Widerstandes und schaltet aus Bequemlichkeit einfach mal alles frei. Die Fahrlässigkeit ist jedoch nicht immer dem Anwender zuzuschreiben, liefern doch viele Hersteller, vor allem im günstigen Privatkundenbereich, ihre Produkte bereits in einem ungenügendem Sicherheitszustand oder mit fehlerhafter Software ausgestattet aus.

Wer findet schon meine offene Tür?

Oftmals hört man als Verteidigung, dass ja niemand den Weg zu den ungewollt veröffentlichen Daten kennt und dieser Umstand deshalb gar nicht so schlimm sei. Dabei geht jedoch vergessen, dass Suchmaschinen wie Shodan andauernd das ganze Internet abgrasen und genau solche Funde wie offene IoT-Geräte, Webcams, NAS und dergleichen bequem jedem Suchenden unter die Nase reiben.

Bei Programmierfehlern (wie beispielsweise bei Cloudbleed) ist es tatsächlich so, dass diese häufig unentdeckt bleiben ­– zumindest bis sie ausgenutzt werden und auffliegen, oder bis ein Sicherheitsexperte bei seinen Analysen darüber stolpert.

Was können wir dagegen tun?

Sich 100% zu schützen ist eigentlich unmöglich, da der Mensch nun mal Fehler macht. Man kann jedoch die Chance auf das Eintreffen eines solchen Lapsus extrem minimieren, indem man:

  • jegliche Daten (sowohl intern als auch extern) per se verschlüsselt;
  • jegliche Datenwege (sowohl intern als auch extern) nur verschlüsselt (HTTPS) benutzt;
  • nur das absolute Minimum an Daten freigibt, welche auch wirklich benötigt werden (weniger ist mehr!);
  • mehrstufige Barrieren (Firewalls, Zugriffsrechte, starke Authentisierung, etc.) verwendet;
  • einzelne Netzwerkbereiche (DMZ, private Daten, Backup, etc.) konsequent trennt.

Aktuelle Leaks:
USA: Republikaner stellten Daten aller Wähler online, ohne Passwort
Datenleck bei der Deutschen Post