Sicherheit

Deutsche Forscher finden 56 Millionen ungeschützt Datensätze in Cloud-Datenbanken

cloud-computing (Bild: Shutterstock)
1 0 Keine Kommentare

Entdeckt haben sie Wissenschaftler der Technischen Universität Darmstadt und Experten des Fraunhofer-Institut für Sichere Informationstechnologie SIT. Die Daten landeten dort – etwa in Facebooks Parse und Amazons AWS – weil App-Entwickler Authentifizierungen für Cloud Services falsch verwenden. Betroffen sind E-Mail-Adressen, Passwörter, Gesundheitsdaten und andere persönliche Informationen von App-Nutzern.

Wissenschaftler der Technischen Universität Darmstadt und das Fraunhofer-Institut für Sichere Informationstechnologie SIT haben mehrere Cloud-Datenbanken untersucht und dabei rund 56 Millionen ungeschützte Datensätze gefunden. Dazu gehören neben E-Mail-Adressen auch Passwörter, Gesundheitsdaten und andere persönliche Informationen. Den Experten zufolge sind dadurch viele Nutzerkonten durch Identitätsdiebstahl und andere Internetverbrechen bedroht.

Deutsche Forscher finden 56 Millionen ungeschützt Datensätze in Cloud-Datenbanken (Grafik: Fraunhofer SIT).
Das Problem: App-Entwickler nutzen zwar Angebote für Backend-as-a-Service in der Cloud um Daten zu speichern und synchroinisierbar zu machen, setzen die Sicherheitsempfehlungen der Anbieter aber nicht um (Grafik: Fraunhofer SIT).

Wie die TU Darmstadt heute mitgeteilt hat, stammen die Daten von App-Benutzern. Sie landeten in den Cloud-Datenbanken, etwa Facebooks Parse und Amazons AWS, weil diese gerne von App-Entwicklern als Backend-as-a-Service (BaaS) verwendet werden, um Nutzerdaten zu speichern. Aus ihrer Sicht ist das praktisch, da dies eine günstige, leicht ausbaubare, flexible und im Vergleich zu selbst betriebenen Plattformen stabile Möglichkeit darstellt. Außerdem macht es auch die Synchronisation, beispielsweise auch zwischen Android- und iOS-Apps einfacher.

Offenbar berücksichtigen dabei aber viele Entwickler die Sicherheitsempfehlungen der Cloud-Anbieter nicht oder setzen sie nicht korrekt und in vollem Umfang um. Tests der Forscher mit dem von ihnen bereits 2014 vorgestellten Analyse-Framework “Fraunhofer Appicaptor” hätten gezeigt, dass die große Mehrheit der untersuchten 750.000 Apps, die sowohl aus dem Google Play Store als auch dem Apple App Store, stammen keine Zugangskontrollen verwendet.

Facebook verspricht Entwicklern bei Parse die "perfeke App" - dazu sollten die sich aber auch an die Sicherheitsempfehlungen halten (Screenshot: ITespresso).
Facebook verspricht Entwicklern bei Parse die “perfeke App” – dazu sollten die sich aber auch an die Sicherheitsempfehlungen halten (Screenshot: ITespresso).

Wie die Forscher erklären, bieten Cloud-Betreiber mehrere Authentifizierungsmethoden an. Die schwächste Form verwendet ein sogenanntes API-Token, also eine in den App-Code eingebettete Nummer. Dieses Token lasse sich von Angreifern jedoch “einfach extrahieren und dazu nutzen, die gespeicherten Daten nicht nur zu lesen, sondern oft sogar zu manipulieren.”

Das Interesse der Angreifer: Die so gestohlenen E-Mail-Adressen lassen sich zum Beispiel auf dem Schwarzmarkt verkaufen. Wenn mehr kriminelle Energie vorhanden ist, ist auch denkbar, dass Nutzer erpresst, Webseiten verändert oder Schadcprogramme eingeschleust werden, um Malware zu verbreiten oder Botnetze aufzubauen.

Wie Professor Eric Bodden vom Fraunhofer SIT auf einer FAQ-Seite erklärt, haben Benutzer derzeit wenig Möglichkeiten, sich vor Datenverlust auf diesem Weg zu schützen. Die Schlamperei sei bei den App-Entwicklern einfach zu weit verbreitet. Seine Kollegen hätten bislang “tausende von anfälligen Apps” gefunden, das könne aber auch nur die Spitze eines Eisbergs sein. Aus Sicht der Endbenutzer schwierig sei es auch zu entscheiden, welche Apps oder welche Arten von App bedenklich sind, da es keine einfach erkennbaren Anhaltspunkt gebe, ob eine App ein Backend-as-a-Service-Angebot nutzt oder nicht – und falls ja, ob dieser BaaS-Dienst sicher ist und die Datenübergabe korrekt geregelt wurde.

“Aufgrund rechtlicher Einschränkungen und der großen Menge verdächtiger Apps konnten wir nur eine kleine Anzahl detailliert untersuchen”, so Bodden in einer Pressemitteilung. “Allerdings zeigen unsere Forschungsergebnisse und die Problematik an sich, dass eine große Menge App-bezogener Informationen von Identitätsdiebstahl und Manipulation bedroht ist.” Die Cloud-Anbieter seien bereits informiert und dazu aufgefordert worden, ihre Kunden, die App-Entwickler, auf das Problem hinzuweisen. “Sie sind diejenigen, die aktiv werden müssen. Sie dürfen die Gefahr nicht unterschätzen”, so Bodden.

Journalist, Chefredakteur von ITespresso.de. Sucht immer nach Möglichkeiten und Wegen, wie auch kleine Firmen vom rasanten Fortschritt in der IT profitieren können. Oder nach Geschäftsmodellen, die IT benutzen, um die Welt zu verbessern - wenigstens ein bisschen.

Folgen