Sicherheitslücke DROWN wird von Service-Providern ignoriert

Gefahr für den Datenschutz: Anbieter von Cloud-Diensten ignorieren Sicherheitslücke DROWN

Das Resultat: In Unternehmen finden sich durchschnittlich 56 unsichere Cloud Services

Am 1. März haben IT-Sicherheitsforscher gezeigt, wie sie mit der sogenannten DROWN-Attacke (“Decrypting RSA with Obsolete and Weakend eNcryption”) verschlüsselte SSL/TLS-Verbindungen knacken konnten. Angeblich soll jeder dritte Server davon betroffen sein – darunter auch viele Anbieter von Cloud Services. Eine Analyse von Skyhigh Networks zeigt, dass tatsächlich 653 Cloud-Dienste betroffen waren.

Problematischer jedoch ist, dass auch sieben Tage danach noch 620 davon anfällig waren. Innerhalb einer Woche haben also nur 33 Service-Anbieter die Sicherheitslücke beseitigt. Verglichen mit den Reaktionen auf andere SSL-Schwachstellen mit ähnlicher Tragweite – beispielsweise Heartbleed oder POODLE – überrascht dieses Desinteresse. Das bedeutet nichts Gutes für Unternehmen. Laut der Skyhigh-Analyse sind pro Unternehmen durchschnittlich 56 anfällige Cloud-Dienste im Einsatz und nahezu jedes Unternehmen (98,9 Prozent) nutzt mindestens einen.

Die Lücke ist gravierend, aber eigentlich leicht zu beheben
DROWN nutzt eine Schwäche im veralteten SSLv2-Protokoll aus. Dadurch können Angreifer verschlüsselte Verbindungen knacken, selbst wenn diese mit dem neueren und sicheren TLS-Protokoll verschlüsselt wurde. Dadurch lassen sich scheinbar verschlüsselte Informationen (beispielsweise Passwörter, Kreditkartennummern oder vertrauliche Unternehmensdaten) abgreifen oder der Traffic von und zu Cloud-Diensten verändern. Jeder Service-Anbieter, der weiterhin SSLv2 in irgendeiner Form nutzt, ist anfällig.

Das Problem ließe sich schnell beheben: Die Anbieter müssten einfach nur den SSLv2-Support deaktivieren. Dennoch haben bislang nur wenige reagiert. Bei der Heartbleed-Sicherheitslücke vor gut zwei Jahren war das noch anders. Damals haben 92,7 Prozent der betroffenen Service-Provider die Schwachstelle innerhalb einer Woche ausgebessert – bei DROWN hingegen nur 5,1 Prozent.

“Diese Ignoranz ist ein Unding. Heutzutage sind Cloud-Dienste aus Unternehmen nicht mehr weg zu denken. Das ist das Ergebnis intensiver Vertrauensarbeit. Viele Branchen, etwa die Finanzdienstleister, haben sich lange gegen die Cloud gesträubt – vor allem wegen Sicherheitsbedenken”, kommentiert Daniel Wolf, Regional Director bei Skyhigh Networks. “Auf Heartbleed haben die Anbieter der Cloud-Dienste vorbildlich reagiert. Das Gleiche erwarten wir nun für DROWN. Aber offenbar gibt es auch bei Sicherheitslücken einen Promi-Bonus.”

Über Skyhigh Networks
Skyhigh Networks, gegründet 2011 in Campbell, USA, unterstützt Unternehmen bei der sicheren Nutzung von Cloud-Diensten sowie der Einhaltung von Sicherheits- und Compliance-Richtlinien. Über 500 Unternehmen weltweit nutzen die Produkte des Dienstleisters, um einen vollständigen Überblick der verwendeten Cloud-Dienste und den damit verbundenen Risiken zu erhalten.
Mit den Lösungen des Cloud-Security-Anbieters können Unternehmen die Cloud-Nutzung in ihrer Organisation analysieren sowie evaluieren und so Schatten-IT, Sicherheitslücken, kompromittierte Accounts und andere Gefahren durch Insider identifizieren und absichern. Dafür stellt Skyhigh Funktionalität für individuelle Verschlüsselungsmethoden, Data Loss Prevention, kontextbezogener Zugriffskontrolle und Aktivitätsüberwachung bereit, wodurch Unternehmen Cloud-Dienste, wie Office 365, Salesforce oder Dropbox, zusätzlich absichern und eine durchgängige Einhaltung von Sicherheitsrichtlinien gewährleisten können.
Weitere Informationen zu Skyhigh Networks finden Sie auch unter www.skyhighnetworks.com.