Forscher warnen vor „Man-in-the-Cloud“-Angriffen auf Online-Speicherdienste

Das Sicherheitsunternehmen Imperva hat auf der Konferenz Black Hat in Las Vegas Details zu einer Sicherheitslücke präsentiert, die in Diensten wie Google Drive, Box, Microsoft OneDrive und Dropbox steckt. Hacker können mit einem sogenannten Man-in-the-Cloud-Angriff ohne Wissen eines Nutzers und ohne Passwort auf online gespeicherte Dateien zugreifen und unter Umständen Nutzern sogar Malware unterschieben.

Der Angriff unterscheidet sich den Forschern zufolge von klassischen Man-in-the-Middle-Angriffen, die darauf basieren, dass Dritte Datenkommunikation zwischen zwei Servern abfangen. Er wird durch einen Designfehler in vielen Dateisynchronisationsdiensten ermöglicht und stellt nicht nur eine Gefahr für Verbraucher dar, sondern auch für Unternehmen, die vermehrt cloudbasierte Lösungen einsetzen, um vertrauliche Personen- und Unternehmensdaten bereitzustellen.

Für den Diebstahl online gespeicherter Daten benötigt ein Hacker lediglich einen Passwort-Token. Dabei handelt es sich um eine kleine Datei auf dem Gerät eines Nutzers, in der die Anmeldedaten hinterlegt sind, damit nicht bei jedem Aufruf des Diensts Benutzername und Passwort erneut eingegeben werden müssen. Den beispielsweise per Phishing oder von einer per Drive-by-Download untergeschobenen Malware entwendeten Token kann der Angreifer anschließend nutzen, um von einem anderen Rechner aus das Konto des Nutzers zu übernehmen. Ab dann hat der Angreifer lauft Imperva Zugriff auf alle online abgelegten Dateien und kann zudem von der Cloud aus in die lokal synchronisierten Ordner Malware einschleusen, die dann für weitere Angriffe benutzt werden kann.

Der Kontoinhaber ist dem Angriff nahezu wehrlos ausgeliefert. Da der Token mit dem Gerät des Nutzers verknüpft ist, kann der Angreifer durch eine Änderung des Passworts nicht aus dem Konto ausgesperrt werden.

„Das sollte uns wirklich beunruhigen“, sagte Amichai Schulman, Chief Technology Officer von Imperva, im Gespräch mit ZDNet.com. „Angreifer suchen nach Methoden, die kaum erkannt werden können. In Wirklichkeit haben sie die schon gefunden.“

Die Anbieter der Cloudspeicherdienste nahm Schulman jedoch in Schutz. „Diese Dienste sind nicht gefährlich oder unsicher.“ Man müsse zwischen Sicherheit und Nutzbarkeit abwägen. Viele Dienste böten inzwischen zudem eine Authentifizierung in zwei Schritten an oder benachrichtigten ihre Kunden über Anmeldungen, die von neuen Geräten aus erfolgten. Viele Nutzer ignorierten jedoch diese Meldungen.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

HIGHLIGHT

Wie Samsung Knox das S6 und S6 Edge mit My Knox sicherer macht

Android-Smartphones werden immer häufiger auch in Unternehmen genutzt. Das ist auch einer der Gründe, warum Samsung seine Geräte besonders absichern will. Mit der Zusatzumgebung „Knox“ lassen sich Container im Betriebssystem des Smartphones erstellen und die private Daten von geschäftlichen trennen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

8 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago