Anwendungen – Apps

Anbieter von Cloud-Diensten ignorieren Sicherheitslücke DROWN

Anbieter von Cloud-Diensten ignorieren Sicherheitslücke DROWN

Daniel Wolf, Regional Director DACH, Skyhigh Networks (Quelle: Skyhigh Networks)

Das Resultat: In Unternehmen finden sich durchschnittlich 56 unsichere Cloud Services + Am 1. März haben IT-Sicherheitsforscher gezeigt, wie sie mit der sogenannten DROWN-Attacke ("Decrypting RSA with Obsolete and Weakend eNcryption") verschlüsselte SSL/TLS-Verbindungen knacken konnten. Angeblich soll jeder dritte Server davon betroffen sein - darunter auch viele Anbieter von Cloud Services. Eine Analyse von Skyhigh Networks zeigt, dass tatsächlich 653 Cloud-Dienste betroffen waren.

Problematischer jedoch ist, dass auch sieben Tage danach noch 620 davon anfällig waren. Innerhalb einer Woche haben also nur 33 Service-Anbieter die Sicherheitslücke beseitigt. Verglichen mit den Reaktionen auf andere SSL-Schwachstellen mit ähnlicher Tragweite - beispielsweise Heartbleed oder POODLE - überrascht dieses Desinteresse. Das bedeutet nichts Gutes für Unternehmen. Laut der Skyhigh-Analyse sind pro Unternehmen durchschnittlich 56 anfällige Cloud-Dienste im Einsatz und nahezu jedes Unternehmen (98,9 Prozent) nutzt mindestens einen.

Die Lücke ist gravierend, aber eigentlich leicht zu beheben

DROWN nutzt eine Schwäche im veralteten SSLv2-Protokoll aus. Dadurch können Angreifer verschlüsselte Verbindungen knacken, selbst wenn diese mit dem neueren und sicheren TLS-Protokoll verschlüsselt wurde. Dadurch lassen sich scheinbar verschlüsselte Informationen (beispielsweise Passwörter, Kreditkartennummern oder vertrauliche Unternehmensdaten) abgreifen oder der Traffic von und zu Cloud-Diensten verändern. Jeder Service-Anbieter, der weiterhin SSLv2 in irgendeiner Form nutzt, ist anfällig.

Das Problem ließe sich schnell beheben: Die Anbieter müssten einfach nur den SSLv2-Support deaktivieren. Dennoch haben bislang nur wenige reagiert. Bei der Heartbleed-Sicherheitslücke vor gut zwei Jahren war das noch anders. Damals haben 92,7 Prozent der betroffenen Service-Provider die Schwachstelle innerhalb einer Woche ausgebessert - bei DROWN hingegen nur 5,1 Prozent.

"Diese Ignoranz ist ein Unding. Heutzutage sind Cloud-Dienste aus Unternehmen nicht mehr weg zu denken. Das ist das Ergebnis intensiver Vertrauensarbeit. Viele Branchen, etwa die Finanzdienstleister, haben sich lange gegen die Cloud gesträubt - vor allem wegen Sicherheitsbedenken", kommentiert Daniel Wolf, Regional Director bei Skyhigh Networks. "Auf Heartbleed haben die Anbieter der Cloud-Dienste vorbildlich reagiert. Das Gleiche erwarten wir nun für DROWN. Aber offenbar gibt es auch bei Sicherheitslücken einen Promi-Bonus."

to drown - jdn. ertränken

Diesen Artikel empfehlen

Autor: pat

Dell Security vereinfacht das Management von konvergenten Netzen

SonicOS 6.2.5 macht das Netzwerk-Management leichter und effizienter. Für Dell-Security-Partner wird der Support einfacher, weil sie jetzt nur noch eine Firmware-Version für die Mehrzahl der Produkte von Dell SonicWALL betreuen müssen. Das neue SonicOS erhöht außerdem die Anzahl von Verbindungen...

Neue Studie zur Datensicherheit

Für die aktuelle Data-Security-Studie von Dell befragte das Marktforschungsunternehmen Penn Schoen Berland Ende 2015 über 1.300 IT- und Geschäftsentscheider mittelständischer Unternehmen in den USA, Europa und der Asien-Pazifik-Region. Ein wesentliches Ergebnis: Die Führungskräfte der C-Ebene –...

TÜV Süd & IT Sicherheit

Für alle gilt aber, dass sie sich bewusst sein müssen, welche Gefahren durch die Digitalisierung unserer Welt bestehen, was ihre Folgen sind und wie sie ihnen begegnen können. Außerdem ist es gerade für global tätige Firmen und insbesondere für jene aus dem Bereich Critical Infrastructure wichtig,...

Red Hat zu IT-Sicherheit 2016

Die Umfrage hat jede Menge Daten generiert, einige überraschend, einige erwartet. Die Ergebnisse können in drei Bereiche aufgeteilt werden.1. Wenige "neue" IT-Anbieter kümmern sich um Sicherheitshygiene: Es hört sich etwas harsch an, aber mit dem Aufkommen des Internet of Things (IoT)...

Das Gefahrenpotenzial von SAP Cyber-Angriffen wird unterschätzt

Das Ponemon Institute hat die Ergebnisse der industrieweit ersten, von Onapsis gesponserten Studie zum Thema SAP Cyber-Security vorgestellt. Sie zeigt, dass mehr als die Hälfte der befragten Unternehmen, nämlich 56 Prozent, einen Datenverlust aufgrund unsicherer SAP-Applikationen für möglich hält....

Chefetage wiegt sich häufig in falscher IT-Sicherheit

In der aktuellen IT-Security-Studie von IBM  geht es um die C-Suite. Das sind die Top-Führungskräfte in Unternehmen mit einem „C“ im Titel, also etwa der CEO (Chief Executive Officer) oder der CFO (Chief Financial Officer). Über 700 von ihnen hat IBM weltweit zum Thema Cybersicherheit befragt....