Cloud Computing – Gebrauchtesoftware

OneDrive, Google Drive, Box, Dropbox & Co.: Schadsoftware umgeht Cloud-Malware-Schutz

Foto: Cylance- und Bitglass-Logos | © Hersteller

Sicherheitsexperten von Bitglass und Cylance haben herausgefunden, dass neue Ransomware häufig nicht von den Anti-Malware-Schutzmechanismen einiger Cloud-Dienste erkannt wird. Microsoft OneDrive war mit einer Infektionsrate von 55 Prozent unter den führenden „Software as a Service“-Anwendungen (OneDrive, Google Drive, Box und Dropbox) am anfälligsten.

INFOXBOX: Wichtige Begriffe verständlich erklärt

Ransomware: Malware, welche einen Computer infiziert, sperrt und dann zur Zahlung eines Geldbetrags für die Entsperrung auffordert.

Software as a Service (SaaS): Teilbereich des Cloud Computings – Software und IT-Infrastruktur werden bei einem externen IT-Dienstleister betrieben.

Bitglass: Anbieter einer Cloud-Access-Security-Broker-Lösung (CASB) – Ein CASB fungiert vereinfacht gesagt als eine Art Wächter, der es ermöglicht, dass Sicherheitsrichtlinien einer Organisation auch über die Grenzen der eigenen Infrastruktur hinweg durchgesetzt werden.

Cylance: Bietet Cybersecurity-Lösungen an, die auf künstlicher Intelligenz basieren und proaktiv Bedrohungen und Malware abwehren sollen.

Die Security-Studie zur Verbreitung von Malware in der Cloud, für die Bitglass und Cylance zusammenarbeiteten, beschreibt eine neue Art der Gojdue-Ransomware. Bezeichnet wird diese Schadsoftware als „ShurL0ckr“ – Tests zeigten, dass die integrierten Malware-Schutzmechanismen von Google Suite und Microsoft Office 365 die Bedrohung nicht erkannten, nur sieben Prozent der führenden Antivirus-Engines schafften dies. Für die Verwendung von ShurL0ckr geben Cyberkriminelle übrigens einen Anteil ihrer Erpressungserlöse an den Anbieter ab. Ein Ziel der Studie war auch die Ermittlung der Häufigkeit von Malware in der Cloud, dazu wurden zehn Millionen Cloud-Dateien durch das Bitglass Threat Research-Team gescannt. Microsoft One Drive und Google Drive wiesen auch hier die höchsten Infektionsraten auf.

Speichern in der Cloud ist immer mit einem Risiko verbunden

Die Studie zeigt eindrucksvoll: Malware ist auch in Cloud-Umgebungen eine reale Bedrohung. In lokalen Umgebungen haben User eine direkte Kontrolle über gespeicherte Daten, bei der Auslagerung in die Cloud bleibt nur das Vertrauen in den Anbieter. Dass dieser angreifbar ist und Sicherheitslücken existieren, belegen unter anderem die Erkenntnisse von Bitglass und Cylance. Unsere Empfehlung deshalb: Sensible Daten gehören nicht in die Cloud! Bei der lokalen Speicherung müssen natürlich entsprechende Sicherheitsvorkehrungen getroffen werden – insbesondere, wenn das Endgerät mit dem Internet verbunden ist.

USA und Europa: Neue Gesetze sollen Zugriff auf Cloud-Daten im Ausland erleichtern

Die US-Regierung klagt vor dem Obersten Gerichtshof gegen Microsoft – das Ziel: Die Herausgabe von Daten, die auf europäischen Servern des Ur-Konzerns gespeichert sind. Als Grundlage dient hier der „Stored Communications Act“ von 1986, US-Strafverfolgungsbehörden dürfen demnach einen Dienstleistungserbringer mit Sitz in den Vereinigten Staaten dazu auffordern, Daten auf deren Servern im Ausland für Ermittlungszwecke freizugeben. Eine Entscheidung wird für Juni 2018 erwartet. Allerdings könnte die Entscheidung auch obsolet werden, denn am 6. Februar 2018 wurde dem Kongress ein Entwurf vorgelegt, welcher US-Unternehmen dazu zwingt, Inhalts- und Verkehrsdaten offenzulegen – egal, wo diese gespeichert sind. Das Gesetz wird als „Clarifying Lawful Overseas Use of Data (CLOUD) Act“ bezeichnet und soll auch die Zusammenarbeit mit Behörden der EU-Mitgliedsstaaten regeln. EU-Datenschutzgesetze sollen durch Ausnahmen eingehalten werden können, indem US-Unternehmen nach Beantragung davon ausgenommen werden sollen, Daten von Nicht-US-Staatsbürgern offenzulegen. Damit das umgesetzt werden kann, müsste der Staat, in dem das Unternehmen agiert, als „Partnerstaat des CLOUD Act“ registriert sein.

EU-Legislativvorschlag: Einfacherer Zugang zu Inhalts- und Verkehrsdaten in den USA

Parallel dazu arbeitet die EU-Kommission an einem Legislativvorschlag, sodass der Zugang zu Inhalts- und Verkehrsdaten in den USA vereinfacht werden kann. Betroffen wären alle Unternehmen, die Dienste auf europäischem Hoheitsgebiet erbringen. Im Fokus dürften dabei aber sicherlich US-Unternehmen stehen, darunter Facebook, Google und Microsoft. Richtungsweisend wäre ein entsprechendes Gesetz für den Umgang mit digitalen Beweismitteln – denn eine richterliche Anordnung soll nicht erforderlich sein. Das ist insofern problematisch, weil ein solches Gesetz tief in die Grundrechte eingreifen würde. Die Erleichterung des Zugangs zu „elektronischen Beweismitteln“ („e-evidence“) würde in der Praxis der Strafverfolgung insbesondere in Bezug auf Cloud-Daten, Mailserver, Messengerdienste und VoIP-Anrufe interessant sein. Bisher regeln das EU-US-Rechtshilfeabkommen die Herausgabe elektronischer Beweismittel – dieser internationale Rechtsweg kann bis zu zehn Monate in Anspruch nehmen. Da Kommunikationsdaten mitunter nur wenige Wochen gespeichert werden dürfen, ist ein solches Verfahren in vielen Fällen schlicht zu langsam. Laut EU-Kommission machen die EU-Mitgliedsstaaten nur etwa 4.000 Mal im Jahr davon Gebrauch. Ausnahme: Zur Abwehr einer unmittelbar bevorstehenden Gefahr dürfen Firmen nach US-Gesetzgebung Verkehrsdaten an europäische Behörden weitergeben. Diese Direktanfragen werden jährlich bei etwa 100.000 Vorgängen genutzt.

Sensible Daten gehören nicht in eine Cloud-Umgebung!

Bei Daten, die in Cloud-Umgebungen gespeichert werden, ist man in puncto Sicherheit vollständig vom jeweiligen Anbieter abhängig. Durch die geplanten Gesetzesänderungen in den USA und Europa könnten Behörden noch leichter Einsicht in entsprechende Daten erhalten – teils sogar ohne richterliche Anordnung. Das ist für die Verbrechensbekämpfung zwar mitunter nützlich, bleibt aber ein tiefer Eingriff in die Grundrechte. Es bleibt zu hoffen, dass bei entsprechender Realisierung der Gesetzesänderungen eindeutige Vorgaben beschlossen werden, die den Umgang mit Daten regeln. Die aktuelle Lage verdeutlicht: Vorsicht bei der Datensicherung in der Cloud – insbesondere, wenn es um sensible Daten geht! Die Auslagerung sensibler Daten geht mit einem Kontrollverlust einher und stellt immer ein Risiko dar, schließlich übernimmt ein Unternehmen den Schutz der Daten vor Dritten. Außerdem kann im Zweifelsfall nicht wirklich verhindert werden, dass jemand Zugriff auf die Daten erhält, seien es Behörden, Cyberkriminelle, Mitbewerber oder andere Unbefugte.

Amazon Web Services: Ausfall von Cloud-Dienst legt das halbe Internet lahm

Derzeit leiden die Amazon Web Services unter massiven Störungen, der Clouddienst S3 zeigt stark erhöhte Fehlerraten. Das Problem dabei: Amazon stellt sehr vielen Unternehmen seine Cloud-Dienste zur Verfügung, ist in dieser Branche Weltmarktführer. Das bedeutet auch, dass sehr viele Webseiten Störungen aufweisen.

Welche Webseiten sind betroffen?

Amazon meldet derzeit Probleme mit den eigenen Streaming-Diensten Amazon Prime Video und Amazon Prime Music sowie mit dem Fire TV. Außerdem sind Teile folgender Dienste betroffen:

Adobe Services, Amazon Twitch, Bitbucket, HipChat, Buffer, Business Insider, Carto, Chef, Citrix, Clarifai, Codecademy, Coindesk, Convo, Coursera, Cracked, Docker, Elastic, Expedia, Expensify, FanDuel, FiftyThree, Flipboard, Flippa, Giphy, GitHub, GitLab, Greenhouse, Heroku, Home Chef, iFixit, Imgur, Ionic, Jamf, JSTOR, Kickstarter, Lonely Planet, Mailchimp, Mapbox, Medium, Microsofts HockeyApp, MIT Technology Review, MuckRock, New Relic, News Corp, PagerDuty, Pantheon, Razer, Signal, Sprout Social, StatusPage, Travis CI, Twilio, Unbounce, U.S. Securities and Exchange Commission (SEC), Vermont Public Radio, VSCO, Xero und Zendesk.

Cloud: Fluch und Segen zugleich

Natürlich bieten Cloud-Lösungen unbestreitbare Vorteile. Anwendungen und Dateien können standortunabhängig erreicht werden, das erleichtert das Arbeiten auf mehreren Geräten und die Zusammenarbeit verschiedener Personen. Allerdings zeigt der Fall AWS auch: Die zunehmende Cloud-Abhängigkeit kann zu flächendeckenden Ausfällen führen, insbesondere wenn Dienstleister eine immense Anzahl an Kunden haben und Störungen auftreten.

Windows 10 Cloud: Neues Betriebssystem im Code von Insider Build entdeckt?

Im Code eines Windows-10-Insider-Builds sind offenbar Hinweise auf ein neues Windows-Betriebssystem entdeckt worden, das als Windows 10 Cloud bezeichnet wird. In Windows 10 Insider Build 15019 sollen zwei Versionen von Windows 10 Cloud gelistet sein. Entdeckt wurden die Hinweise vom IT-Blog Petri.com – ohne spezielle Drittanbieter-Tools wäre dies nicht möglich gewesen. Aus den Daten gehen nicht nur die Artikelnummern (SKU = Stock Keeping Unit) hervor, sondern auch Versionsbezeichnungen. Neben Windows 10 Cloud soll es auch Windows 10 Cloud N geben, also eine Variante ohne den Windows Media Player. Microsoft hat bisher keine Angaben zu einem etwaigen Release getätigt.

Cloud-Betriebssystem soll mit Endgerät skalieren und in der Cloud berechnet werden

Spekuliert wird aber über einen Release im Jahr 2017. Möglich scheint eine Veröffentlichung nach dem nächsten größeren Windows-Update, das im Herbst 2017 erwartet wird. Windows 10 Cloud soll eine abgespeckte Windows-Edition werden, die unabhängig vom Endgerät laufen könnte. Ähnlich wie bei Responsive Designs bei Webseiten soll das Cloud-Betriebssystem je nach Endgerät einfach mitskalieren. Eine weitere Besonderheit könnte die Tatsache sein, dass sämtliche Berechnungen in der Cloud vorgenommen werden, was Ressourcen des Endgeräts spart und zu mehr Einsatzmöglichkeiten führt. Das wäre insbesondere für ältere Endgeräte durchaus vorteilhaft, da auch Anwendungen genutzt werden könnten, die ressourcenhungrig sind.

Microsoft-Aktien erreichen Höchstwert: Aktionäre begrüßen Cloud-Fokussierung – viele potenzielle Kunden aber skeptisch

Bild: Der Kursverlauf zeigt, dass sich die Microsoft-Aktie auf einem Allzeithoch befindet. Quelle: google.de, Yahoo! Finanzen, OnVista, wallstreet:online

Die Microsoft-Aktie hat am Donnerstag, 20. Oktober 2016, im nachbörslichen Handel die 60-US-Dollar-Marke geknackt. Damit wird die Microsoft-Aktie so teuer wie nie zuvor gehandelt, der bisherige Rekord lag bei 58,33 US-Dollar (27. Dezember 1999). Der gute Kurs ist überraschend, da Microsoft zuvor einen um zehn Prozent gesunkenen Betriebsgewinn sowie einen stagnierenden Umsatz vermeldete. Der Aktienwert stieg, da Finanzanalysten noch schlechtere Zahlen prognostiziert hatten, außerdem scheint Microsoft gut aufgestellt wie nie. Der zunehmende Fokus auf Cloud-Lösungen scheint bei den Anlegern gut anzukommen. Einzig das Mobiltelefon-Geschäft Microsofts scheint verloren: Ein dramatischer Umsatzrückgang von 72 Prozent zeigt, dass viele Kunden definitiv kein Windows Phone möchten.

Aktionäre zufrieden, NutzerInnen durchaus geteilter Meinung

So gut das Cloud-Geschäft auch läuft, so skeptisch ist noch immer eine breite Nutzerbasis. In einigen Arbeitsumgebungen kommen Cloud-Services nicht in Frage, da es die technische Infrastruktur (sei es durch fehlende Soft- oder Hardwarekompatibilität) nicht zulässt. Viele Unternehmen suchen deshalb gezielt nach Gebrauchtsoftware. Denn bei gebrauchter Software handelt es sich um Kauflizenzen, die sich langfristig buchstäblich bezahlt machen. Cloud-Software von Microsoft (bspw. Office 365) wird kontinuierlich aktualisiert und über ein Mietmodell mit monatlichen Kosten bezogen. Mittel- bis langfristig ist das deutlich teurer. Unternehmen sind oft auf ältere, stabile und ausgereiftere Software angewiesen, da ein Softwareausfall, eine Nichtverfügbarkeit von Daten oder Datenraub dramatische Konsequenzen haben kann. Für eine spezifische Version spricht auch die Wahrung der Kompatibilität, die bei Nutzung eines bestimmten Betriebssystems oder Programms sichergestellt ist. Und außerdem: Mit Ausnahme der Cloud-Features (die bei vielen NutzerInnen Sicherheitsbedenken aufkommen lassen), exklusiven Zusatzfunktionen und optischen Auffrischungen bleiben die Kern-Features der Microsoft-Produkte identisch.

Cloud oder nicht Cloud – das ist hier die Frage

Unternehmen und Privatpersonen müssen jeweils individuell entscheiden, ob der Cloud-Umstieg Sinn ergibt oder nicht. Cloud-Services haben Vorteile und Nachteile, die vor einer Systemumstellung genau abgewägt werden müssen. Neben der Grundsatzentscheidung pro oder contra Cloud sollte berücksichtigt werden, dass viele Cloud-Lösungen nicht als Gebrauchtsoftware erhältlich sind und für viele Anwendungsszenarien unglaublich großes Potenzial verloren geht. Die Entwicklung hin zum Schwerpunkt Cloud hat leider auch einen weiteren Nachteil: Mehr und mehr werden NutzerInnen nicht nur zu Cloud-Diensten gedrängt, irgendwann wird sogar die Option fehlen, sich dagegen zu entscheiden. Ohne Gebrauchtsoftware schauen die User dann in die Röhre, wenn keine Cloud-Leistungen oder Mietmodelle gewünscht sind. Betrachtet man das enorme Wachstum der Gebrauchtsoftware-Branche, was auch durch die geklärten Rechtssituation zu begründen ist, scheint klar: Nicht jeder User liebt die Cloud, auch wenn es die Aktionäre tun.

Cloud-Speicher-Dienst Dropbox: 68 Mio. Datensätze im Jahr 2012 erbeutet

Bild: Dropbox-Logo

Wie erst jetzt bekannt wurde, konnten Hacker vor gut vier Jahren 68 Millionen Datensätze von NutzerInnen des Cloud-Speicher-Dienstes Dropbox erbeuten. Die Angreifer erhielten dabei Zugriff auf Nutzernamen und Passwörter. Zwar sind die Passwörter verschlüsselt, etwa die Hälfte allerdings per SHA1-Hash mit Salt – diese Verschlüsselungsmethode ist mittlerweile als Sicherheitsrisiko eingestuft, da es möglich ist, diese zu entschlüsseln. Die mit bcrypt verschlüsselten Datensätze gelten als sicher.

Dropbox-Mitarbeiter handelte fahrlässig

Möglich wurde der Angriff durch die Fahrlässigkeit eines Dropbox-Mitarbeiters, der ein identisches Passwort beim sozialen Netzwerk LinkedIn und am Arbeitsplatz nutzte. Die Hacker kopierten die fünf Gigabyte großen Datensätze, nachdem sie Zugriff auf den Mitarbeiter-Account erhielten.

In der vergangenen Woche informierte Dropbox seine NutzerInnen und forderte dazu auf, das Passwort zu ändern. Sollte fahrlässig auch bei anderen Diensten das gleiche oder ein ähnliches Passwort genutzt werden, sollte dies dort auch geändert werden. Bisher hatte Dropbox lediglich von einem Datenleck gesprochen, das ganze Ausmaß ist erst jetzt öffentlich gemacht worden. Sicherheitsexperte Troy Hunt betreibt die Seite „Have I been pwned“, wo in die Suchmaske eingegebene E-Mail-Adressen mit Listen bekannter Hacks abgeglichen werden. So sollen NutzerInnen erkennen können, welche Datensätze mit Sicherheit entwendet wurden. Allerdings bedeutet es nicht zwangsläufig, dass ein Account sicher ist, falls kein Treffer angezeigt wird. Grundlegende Regeln zum Erstellen sicherer Passwörter sollten ebenso beachtet werden wie ein regelmäßiges Ändern selbiger.

Sicherheitsrisiko Cloud-Software

Cloud-Dienste sind in aller Munde – insbesondere in den Marketing-Abteilungen vieler Konzerne. Das bedeutet aber auch, dass diese Dienste zunehmend von Kriminellen angegriffen werden, da die stärkere Verbreitung ein lohnenswerteres Ziel schafft. Immer wieder liest man in der Vergangenheit von Angriffen auf Cloud-Dienste, in jüngster Zeit neben Dropbox beispielsweise auch LinkedIn, Opera oder Apple. NutzerInnen sollten abwägen, in welcher Relation Nutzen und Risiko stehen. Sicherlich mag das Arbeiten in der Cloud Vorteile mitbringen, allerdings ist es auch eine Vertrauenssache. Sind die Daten auf fremden Servern abgelegt und nicht lokal gespeichert, können Dritte – sofern Sicherheitsmechaniken umgangen und Verschlüsselungen geknackt werden – potenziell Zugriff auf diese Datensätze erhalten, ohne dass User dies sofort bemerken. Lokal gespeicherte Daten hingegen können besser geschützt und überwacht werden. Sensible Daten sind deshalb nur sehr bedingt für die Speicherung in der Cloud geeignet. Für viele NutzerInnen kann die Kaufversion einer Software wesentlich besser geeignet sein als eine Miet- und/oder Cloud-Version mit monatlichen Folgekosten, externer Sicherung von Daten, automatischen Updates und einer erhöhten Chance auf Probleme in der Live-Version.

Verbraucherzentrale NRW klagt gegen Microsoft

Bild: Logo Verbraucherzentrale NRW

Die Verbraucherzentrale Nordrhein-Westfalen klagt gegen Microsoft. Dem Redmonder Softwarekonzern wird vorgeworfen, Anwendern nicht ausreichend darzustellen, welche Informationen gesammelt und ausgewertet werden.

Lizenzbedingungen von Windows 10 stehen in der Kritik

Schon seit der Veröffentlichung von Windows 10 kritisieren Verbraucherschützer den Cloud-Ansatz des Betriebssystems. Wird ein kostenloses Upgrade von Windows 7 oder Windows 8.1 auf Windows 10 vorgenommen, müssen Anwender die Lizenzbedingungen akzeptieren. Und diese beziehen sich nicht nur auf das Betriebssystem selbst, sondern auch pauschal auf Funktionen wie die Sprachassistenz Cortana oder den Webbrowser Edge. Außerdem wird kritisiert, dass bei Standardeinstellungen und bei Verwendung eines Microsoft-Benutzerkontos eine Vielzahl an Nutzerdaten erfasst wird.

Datenschutzeinstellungen sollen transparenter werden

Die Verbraucherzentrale NRW fordert, dass „brisante Klauseln“ in den Lizenzbedingungen optisch hervorgehoben werden. So sollen Anwender besser erkennen können, welchen Bedingungen genau zugestimmt wird. Insgesamt sei die Datenschutzerklärung „zu lang, unübersichtlich und unbestimmt“, heißt es weiter.

Datenschutzerklärungen unzulässig?

Nach Auffassung der Verbraucherschützer seien die Windows-10-Datenschutzerklärungen unzulässig. Nach einer Abmahnung und der Aufforderung, eine Unterlassungserklärung zu unterschreiben, folgt jetzt die Klage vor dem Landgericht München. Microsoft weigerte sich, die Unterlassungserklärung abzugeben. Der Fall wird unter dem Aktenzeichen Az.: 12 O 909/16 geführt und ist nicht die erste Klage einer Verbraucherzentrale gegen Microsoft. Parallel klagt die Verbraucherzentrale Baden-Württemberg wegen des Windows-10-„Zwangsupdates“.

Adobe Creative Cloud: Update 3.5.0.206 löscht Daten von Mac-Anwendern

Das Update mit der Versionsnummer 3.5.0.206 für die Adobe Creative Cloud hat für Probleme gesorgt. Einige Mac-Anwender werden bemerkt haben, dass nach dem Update Daten von der Festplatte verschwunden sind. Adobe ist das Problem bekannt, die Fehlfunktion wurde mittlerweile bestätigt, die Auslieferung der Aktualisierung wurde gestoppt.

Erster Ordner im Root-Verzeichnis wird gelöscht

Bei der ersten Anmeldung bei Adobe nach dem Update werden alle Daten gelöscht, die sich in einem Ordner im Root-Verzeichnis befinden. Die im ersten Ordner in diesem Verzeichnis befindlichen Dateien werden gelöscht (es gilt die alphabetische Reihenfolge). Backblaze, ein US-Unternehmen für Backup-Lösungen, entdeckte den Fehler zuerst. Denn die Backblaze-Software speichert die Daten in einem Ordner namens „.bzvol“ – bei vielen Anwendern ist der Ordner bei alphabetischer Reihenfolge ganz oben gelistet. Dies führte mitunter zu Problemen, weshalb der Fehler entdeckt wurde.

Adobe verspricht Lösung

Adobe hat die Auslieferung des Updates gestoppt und arbeitet an einer Lösung. Es wird davon abgeraten, das Update manuell zu installieren. Wer das Update bereits installiert hat, muss die Datenlöschung umgehen. Das funktioniert beispielsweise, indem ein leerer Ordner im Root-Verzeichnis angelegt wird, der den Namen „.aaaaa“ trägt. Wichtig ist, dass der Ordner im Root-Verzeichnis ganz oben angezeigt wird (alphabetische Reihenfolge) – dann wird der Inhalt dieses Ordners gelöscht und kein wichtiger Ordner. Ansonsten hilft nur warten, bis Adobe ein optimiertes Update veröffentlicht.

Cloud-Software sorgt für Probleme: Skepsis von Anwendern scheint gerechtfertigt

Immer wieder gibt es Berichte über Fehler bei Cloud-Diensten unterschiedlichster Anbieter. Adobe ist nicht der einzige Anbieter von Cloud-Services, der durch fehlerhafte Funktionen oder temporäre Nichtverfügbarkeit auf sich aufmerksam gemacht hat. In den letzten Wochen machten auch die Telekom-Cloud und der Microsoft Cloud-Speicher OneDrive auf sich aufmerksam. Viele Anwender bevorzugen Software, die ohne Cloud-Funktionalität oder Abonnement-Modell aufgebaut ist. Die Software soll stets verfügbar, ausfallsicher und ohne Internetverbindung genutzt werden können. Auch die Möglichkeit, sich für oder gegen die Installation eines Updates zu entscheiden, wollen sich viele User nicht nehmen lassen.

Update vom 16. Februar 2016, 17:32 Uhr: Adobe hat eine Aktualisierung für die Adobe Creative Cloud bereitgestellt. Der Installer für die Creative Cloud Desktop wurde heute von Adobe freigegeben, nachdem das zuvor veröffentlichte Update (Versionsnummer 3.5.0.206) wegen Problemen bei Mac-Anwendern zurückgezogen werden musste.

Ein kurzes Statement und Download-Links für Mac und Windows finden sich im Adobe-Blog.