Categories: Cloud

Nextcloud stellt Online-Sicherheitsscan für Server bereit

Der ownCloud-Fork Nextcloud bietet mit dem Private Cloud Security Scanner einen Online-Sicherheitsscan, mit dem die Betreiber privater Cloud-Server dessen Sicherheit überprüfen können. Bei der Entwicklung des Scanners sah sich das Unternehmen die Sicherheit solcher Server an und stellte fest, dass ein großer Prozentsatz davon nicht sicher war und teilweise kritische Schwachstellen aufwies.

Nach Eingabe der eigenen Server-URL informiert der Scanner darüber, ob es eine neuere Version der Software gibt und welche Sicherheitslücken in der derzeitigen Software enthalten sind. Ein paar einfache Überprüfungen gelten außerdem den Sicherheitseinstellungen des Servers.

Es muss allerdings bei einer einfachen und grundlegenden Prüfung bleiben, da keine Hacking-Versuche unternommen werden und es weitere problematische Umstände geben kann. Der Scan basiert ausschließlich auf öffentlich verfügbaren Informationen. Das ist zunächst die Liste bekannter Schwachstellen in Releases von ownCloud und Nextcloud. Dazu kommen angewandte Härtungen oder Einstellungen, die ohne Zugang zum Server zu überprüfen sind. Für Administratoren gibt Nextcloud außerdem Tipps für die Härtung ihrer Systeme.

Der Sicherheitsscan soll noch weiter verbessert werden. Andere Open-Source-Cloudprojekte wurden zur Zusammenarbeit eingeladen, um auch die Überprüfung ihrer Software zu ermöglichen. ownCloud reagierte inzwischen, indem es einen eigenen Scan schuf.

Bei den Vorarbeiten für den Onlinescan stellten die Entwickler fest, dass von tausenden Servern ganz mühelos der Download von Daten möglich war. Zehntausende weitere Server erforderten etwas mehr Mühe von potentiellen Angreifern. Hunderte wiesen sogar so erhebliche Sicherheitslöcher auf, dass ihre vollständige Übernahme möglich war. Insgesamt waren laut Nextcloud zwei Drittel von angesehenen Servern anfällig. Das rechne sich insgesamt auf geschätzte 200.000 bis 300.000 Server hoch.

Bei näherer Betrachtung von URLs zeigte sich sogar, dass politische Parteien, Universitäten, Kliniken, große Unternehmen und Regierungsorganisationen in der Liste unsicherer Server zu finden waren. Dazu zählten beispielsweise die AfD, die Grünen, Ministerien sowie das UN-Büro in Genf. Nextcloud alarmierte daraufhin Sicherheitsorganisationen wie das deutsche BSI und das schweizerische Switch-Cert, die Warnungen an verantwortliche Administratoren verschickten.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Bernd Kling

Recent Posts

Corona befördert das Wachstum von Cloud-Services

Corona hat sowohl die Bedeutung der IT als auch von Public Cloud Services gesteigert. Die…

3 Tagen ago

ZTNA versus Remote Access VPN – 6 Vorteile

Remote Access Virtual Private Networks (VPN) haben lange gute Dienste geleistet, aber der Trend zum…

3 Tagen ago

AWS nutzt Fedora Linux für sein cloudbasiertes Amazon Linux

Ziel ist die Integration von Red Hat Enterprise Linux. Das Betriebssystem ist für Amazon EC2…

3 Tagen ago

So setzen Ransomware-Verbrecher ihre Opfer unter Druck

Ransomware-Angreifer setzen eine breite Palette von rücksichtslosen Druckmitteln ein, um die Opfer zur Zahlung des…

3 Tagen ago

Kubernetes gegen Ransomware

Container sind mittlerweile nicht mehr vor Attacken gefeit. Veritas verrät sechs Tipps, um Kubernetes-Daten vor…

3 Tagen ago

Storage-Tiering – ein obsoletes Paradigma

Das traditionelle Tiering von Speicherinfrastruktur in verschiedene Klassen je nach Alter der Daten und Zugriffswahrscheinlichkeit…

3 Tagen ago