Milliarden vertraulicher Dokumente frei im Netz auffindbar

Das Internet – Fundgrube vertraulicher Dokumente

Die Sicherheit von Daten ist in der IT-Welt eines der zentralen Themen. Ganz offensichtlich besteht bei der Datensicherheit enormer Nachholbedarf, denn Milliarden von Dokumenten, die nicht für die Öffentlichkeit bestimmt sind, lassen sich dennoch problemlos über das Internet aufrufen.

Fehler bei der Administration – die häufigste Ursache für Sicherheitslücken

Vom Grundsatz her sind alle Dokumente, die auf Geräten gespeichert sind, die mit dem Internet verbunden sind, gefährdet. Wenn bei der Administration keine Fehler gemacht werden, ist es für Außenstehende aber nicht ohne Weiteres möglich, an solche Daten zu gelangen. Dennoch zeigen Untersuchungen, wie sie die Sicherheitsfirma Digital Shadows erstellt hat, dass viele Dokumente ohne Hürden abrufbar sind.

Das Unternehmen fand bei Nachforschungen rund 1,5 Milliarden Dokumente, die faktisch für jedermann frei zugänglich waren. Ein Beispiel ist der Amazon Cloud-Speicher S3 Buckets. Wenn der Speicher mit den falschen Einstellungen aufgesetzt wird und Zugangsberechtigungen falsch gesetzt sind, sind ganze Verzeichnisstrukturen öffentlich abrufbar. Ähnlich verhält es sich mit Netzwerkspeichern, den NAS, die bei privaten Anwendern und kleinen Firmen beliebt sind. Viele bieten die Möglichkeit, die Daten auch über das Internet bereitzustellen. Sicherheitslücken, schwache Passwörter oder wiedermal falsch gesetzte Zugriffsberechtigungen öffnen hier Unbefugten Tür und Tor. Alternativ ist die Firewall falsch eingestellt und gibt ungewollt den Zugang zum NAS frei.

Doch auch große Webserver haben das Potenzial, ungewollt Daten preiszugeben. Durch eine falsche Konfiguration wird das sogenannte Path Traversal möglich. Auf diese Weise gelangen Angreifer ohne großen Aufwand an Daten, die sich außerhalb der Verzeichnisstruktur des Webservers befinden. Häufig ist auch hier die Firewall falsch konfiguriert und erlaubt es, dass Angreifer Fehler in Protokollen wie SMB oder FTP ausnutzen, um solche Webserver zu identifizieren und Daten zu entwenden.

Die letzten Urlaubsfotos, Gehaltsabrechnungen oder geheime Baupläne

Es besteht natürlich auch ein Unterschied darin, welche Art von Information ins Netz gelangt. Werden die letzten Urlaubsfotos vom NAS gestohlen, dann ist das ärgerlich. Handelt es sich um persönliche Informationen, wie Gehaltsabrechnungen, sieht dies bereits anders aus. Industriespionage spielt ebenfalls eine Rolle. Firmen, denen ihre Baupläne oder Patentanträge gestohlen werden, verlieren schlimmstenfalls ihre Existenzgrundlage. Die Liste von Informationen sowie die Möglichkeiten der Verwendung sind faktisch unbegrenzt. Werden interne Entwicklungsberichte über Sicherheitslücken von Programmen entwendet, können diese eingesetzt werden, um diese gezielt auszunutzen. Mit konkreten Informationen, wie Lageplänen oder Fotos, lassen sich auch Einbrüche planen. Bei den Nachforschungen von Digital Shadows wurden Daten all dieser Klassen gefunden, die nicht für die Öffentlichkeit bestimmt waren. Dies zeigt wiederum sehr deutlich, wie wichtig eine professionelle Administration ist, um die Datensicherheit zu gewährleisten.