Cloud Computing: "A town without sheriff" - oder: Wie man für 6 Dollar ein Unternehmen lahmlegt
von , veröffentlicht am 06.08.2010Warnungen vor den Risiken des Cloud Computing gibt es fortlaufend, zB. von der Cloud Security Alliance. Unter anderem davor, dass die mächtige Infrastruktur der Cloud Computing-Anbieter dazu missbraucht werden könnte, von dort aus Angriffe auf Firmennetzwerke zu starten. Wie heise online unter Verweis auf darkREADING berichtet, haben zwei Sicherheitsexperten nachgewiesen, wie man mit der Infrastruktur eines großen Cloud Computing-Anbieters den Server eines Unternehmens von der Aussenwelt abschneiden kann. Für eine Gebühr von 6 Dollar konnten sie ein Programm auf den Servern des Cloud Computing-Anbieters installieren und damit eine Denial-of Service-Attacke auf das System eines Unternehmens starten.
Geschädigt wurde niemand, da es sich nur um einen Sicherheitstest handelte. Allerdings reagierte der Cloud-Computing-Anbieter auf Anfragen offenbar zu langsam. "It is essentially a town without a sherrif" meinte einer der beiden Sicherheitsexperten dazu, weil das betroffene Unternehmen zunächst keine Reaktionen auf seine Beschwerden bekam. Der Cloud Computing-Anbieter bestreitet die Vorwürfe allerdings. Die Expertern warnen davor, dass Cloud Computing Services zur Schutzgelderpressung mißbraucht werden könnten und fordern die Anbieter auf, schnell auf Beschwerden zu reagieren.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
4 Kommentare
Kommentare als Feed abonnierenVielen Dank für den Hinweis. Cloud Computing bietet in der Tat ein reiches Betätigungsfeld für Regulierer und Juristen -- z.B. zur Frage, welches Recht überhaupt anwendbar ist, wenn die Daten hin- und hergeschoben werden. Siehe hierzu in der MMR: http://rsw.beck.de/rsw/shop/default.asp?sessionid=E8EA55A4702A4613B572923516331395&docid=281111&docClass=NEWS&site=MMR&from=mmr.10
Lieber Herr Spies,
danke für das Link zur MMR. Das Territorialitätsprinzip hilft hier in der Tat nicht mehr weiter, wenn die Daten aus der EU heraus exportiert werden. Alle Ansätze, neue und brauchbare Anknüpfungspunkte zu finden (die Diskussion gab es ja schon beim Vorgänger Grid-Computing) sind wohl zum Scheitern verurteilt.
Eine Frage nach Washington: Derzeit wird ja für die USA auch zum Thema Datenschutzrecht diskutiert und es ist wohl ein Gesetzentwurf in der Pipeline (so jedenfalls der Diskussionsstand auf der ITechLaw-Konferenz im Frühsommer 2010). Kann dadurch das Datenschutzniveau in den USA nach "Oben" gezogen werden mit der Folge, dass sich am bisher aus EU-Sicht inadaequaten Schutzniveau etwas ändert? Was ist diesbezüglich der Stand der Dinge? Das würde dann vielleicht auch beim Thema Cloud helfen.
Beste Grüsse aus München
Michael Karger
Hier in Washington sind mehrere Gesetzesentwürfe zum Datenschutz anhängig, aber es ist unwahrscheinlich, dass es in diesem Bereich vor den Kongresswahlen etwas Wesentliches tut. Im übrigen sollte nicht verkannt werden, dass es in den USA ja in manchen Bereichen sehr detaillierte Datenschutzregeln gibt - z.B. im Gesundheits- und in Finanzbereich. Die Grundregel nach diesen Vorschriften ist, dass es das Risiko der verantwortlichen Stelle ist, ob und wie sie Daten um Ausland speichert. In diesen Fällen kann es dann zu einer Kollusion der Rechtsordnungen kommen, wie wir es teilweise schon im Bereich der EU/US Safe Harbor Priciples oder der "E-Discovery" beobachten.
Ob die USA von der EU als Land mit "inadäquatem Schutzniveau" eingestuft wird, ist vielen Gesetzgebern hier in den USA herzlich egal- oder man verweist auf die Safe Harbor Principles. Die Industrie muss mit den unterschiedlichen Ansätzen irgendwie klarkommen.
Viele Grüsse
Axel Spies
Unglaublich! Das hätte ich gar nicht für denkbar gehalten