Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) warnt vor Sicherheitslücken in alten Versionen der Cloud-Software Owncloud und seinem inoffiziellen Nachfolger Nextcloud, die von Dritten für einen unerlaubten Zugriff auf Daten missbraucht werden könnten. 1Pressemitteilung des BSI vom 16.03.2017, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html, zuletzt ...continue Open-Source-Softwarelösungen wie ownCloud und Nextcloud ermöglichen die Unabhängigkeit von großen Cloud-Server-Anbietern, indem sie die kostenfreie Einrichtung einer Cloud-Lösung auf dem eigenen Server des Verwenders erlauben. 2https://www.ifun.de/owncloud-und-nextcloud-sicherheits-check-fuer-private-cloud-loesungen-105216/, zuletzt abgerufen am 29.06.2017.

Konkret warnt das BSI vor der Möglichkeit der Ausführung eines beliebigen Programmcodes durch Angreifer auf dem Cloud-Server, die sogar zu einer umfassenden Kompromittierung des Systems führen könne, sollte alte, von Sicherheitslücken betroffene Software weiterhin ohne Aktualisierung verwendet werden. Konkret drohen die Löschung, Veröffentlichung oder Verwendung sensibler Informationen wie Kundendaten oder Dokumente des Unternehmens zu Erpressungszwecken 3Pressemitteilung des BSI vom 16.03.2017, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html, zuletzt ...continue und die Ausführung von Denial-of-Service (DoS)-Attacken. 4Kurzinfo CERT-Bund, CB-K16/0044, https://www.cert-bund.de/advisoryshort/CB-K16-0044; vgl. auch die ausführliche Risikoanalyse unter ...continue

Laut BSI sind insgesamt über 20.000 deutsche Verwender betroffen, darunter große und mittelständische Unternehmen, öffentliche und kommunale Einrichtungen wie Parteien, Ministerien und medizinische Einrichtungen sowie auch private Nutzer. Bislang habe jedoch lediglich ein Fünftel der Betroffenen das entsprechende Update installiert und die Sicherheitslücke dadurch geschlossen. 5Pressemitteilung des BSI vom 16.03.2017, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html, zuletzt ...continue Die fahrlässige Verwendung veralteter Software-Versionen stellt sich angesichts der dargestellten Angreifbarkeit der in der Cloud gespeicherten Daten von außen auch aus haftungsrechtlicher Sicht problematisch dar. Dem nachzukommen setzt jedoch voraus, dass entsprechende Updates auch von den Software-Anbietern – zeitnah – bereitgestellt werden. 6vgl. zum zivilrechtlichen Haftungsregime ausführlich Raue, NJW 2017, 1841 ff.

Angaben über den Sicherheitsstatus lassen sich direkt bei den Softwareanbietern unter https://scan.owncloud.com bzw. https://scan.nextcloud.com abfragen. Der Anbieter Nextcloud strebt überdies an, zukünftig standardmäßig automatisierte Updates in seine Software einzubinden. 7https://nextcloud.com/blog/nextcloud-releases-security-scanner-to-help-protect-private-clouds/, zuletzt abgerufen am 29.06.2017.

Referenzen   [ + ]

1. Pressemitteilung des BSI vom 16.03.2017, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html, zuletzt abgerufen am 29.06.2017.
2. https://www.ifun.de/owncloud-und-nextcloud-sicherheits-check-fuer-private-cloud-loesungen-105216/, zuletzt abgerufen am 29.06.2017.
3. Pressemitteilung des BSI vom 16.03.2017, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html, zuletzt abgerufen am 29.06.2017.
4. Kurzinfo CERT-Bund, CB-K16/0044, https://www.cert-bund.de/advisoryshort/CB-K16-0044; vgl. auch die ausführliche Risikoanalyse unter https://statuscode.ch/2017/03/why-is-it-important-to-run-nextcloud-to-keep-your-data-safe, beide zuletzt abgerufen am 29.06.2017.
5. Pressemitteilung des BSI vom 16.03.2017, https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/Cloud_unsicher_16032017.html, zuletzt abgerufen am 29.06.2017.
6. vgl. zum zivilrechtlichen Haftungsregime ausführlich Raue, NJW 2017, 1841 ff.
7. https://nextcloud.com/blog/nextcloud-releases-security-scanner-to-help-protect-private-clouds/, zuletzt abgerufen am 29.06.2017.