Schwachstellen bekannt
ownCloud und Nextcloud: Sicherheits-Check für private Cloud-Lösungen
Die Open-Source-Anwendungen ownCloud und Nextcloud erlauben das Einrichten von Cloud-Lösungen auf eigenen Servern. Besonders ownCloud wird auch im privaten Umfeld eingesetzt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt nun vor teils kritische Sicherheitslücken in beiden Systemen.
Die vom BSI angesprochenen Sicherheitslücken sind nicht neu und in den aktuellen Versionen der Anwendungen bereits behoben, allerdings hätte es ein Großteil der Betreiber bislang versäumt, die entsprechenden Updates einzuspielen. Bei lediglich eine Fünftel der bekannten betroffenen Systeme seien die entsprechenden Updates eingespielt, obwohl erstmals vor mittlerweile vier Wochen auf die Sicherheitslücken hingewiesen wurde. Angreifer haben dem BSI zufolge die Möglichkeit, auf die in der Cloud gespeicherten Daten zugreifen, sie manipulieren oder veröffentlichen.
Für einen schnellen Sicherheitscheck bieten die beiden Anbieter unter scan.owncloud.com und scan.nextcloud.com Online-Tools und für nicht aktuelle Systeme entsprechende Updates an. Zudem verweist das BSI auf eine unter dem Titel Empfehlungen für Cloud-Betreiber und Cloud-Nutzer Sammlung von unterstützenden Dokumenten.
kann nur folgende Seite in Sachen owncloud oder nextclod empfehlen, super alles beschrieben.
https://decatec.de
Ist auch ne Update Anleitung vorhanden.
http://www.seafile.com
Gerade gecheckt – alles Safe – mache allerdings immer zeitnah die Updates mit ….
Sascha
Auf die gespeicherten Daten zuzugreifen, sie zu manipulieren oder zu veröffentlichen.
So muss es heißen
Dies ist wie vermutet.
Ein paar Male hörte ich, dass gerade ich OwnCloud betreiben können sollte, da ich ja Informatiker bin. Zudem betreibe ich nebenher einen Server kommerziell (Webhosting) einen Server, weshalb ich es doch wunderbar problemlos machen könne. Es kam immer der Vorwurf, ich sei doch Informatiker. Und ich sagte, weil ich Informatiker bin, mache ich dies nicht. Seit Snowdens Leaks ist jetzt alles endlich ruhiger geworden, aber sehen mich immer noch so an, als sei ich zu pessimistisch den Server die ganze Zeit ohne Probleme zu betreiben, obwohl ich nur ein Realist bin (die leider natürlixh eine gewisse Ähnlichkeit zu Pessimisten haben (müssen)). Dieser Artikel ist daher super, weil es meine realistische Befürchtung bestätigt. Ich weiß, dass ich den Server zwar mit mehr Leuten benutzen würde, aber ich ihn einrichten und betreiben müsste. Schon beim Einrichten gibt es viele Möglichkeiten gravierende Fehler zu implementieren. Bei meiner Kenntnis bin ich mir sicher, dass ich das System weitestgehend fehlerlos einrichten könnte. Aber das reicht nicht zum Betrieb eines solchen Servers. Ich weiß, der Server sollte möglichst zu 24/7 aktiv betreut werden können, man zu jeglicher Zeit problemlos viel Zeit aufwenden kann und bei Kenntnissen von Löchern die Fixes möglichst zeitnah einrichten zu können. Genau das ist bei mir das Problem. Viele vertrauenscheinbar darauf, die die Löcher nicht schlimm sind oder nie ausgenutzt werden. Dieser Artikel bestätigt aber genau das Gegenteil und meine Befürchtung. Als Informatiker weiß ich auch, umso komplexer ein System ist, desto mehr Fehler tauchen potentiell im Code auf (& durch fehlerhafte Einrichtung – ein Informatiker kann dies nicht unbedingt fehlerlos einrichten – Ausgebildete mit Erfahrung sind in der Regel besser als fast jeder Informatiker, weil Informatiker sich damit nicht beschäftigen.
Das ist keine Selbstbeweihräucherung und ich sage nun explizit, dass so etwas Einrichten durch Kenntnis vonm kommerziellen Betrieb eines Servers ich vermutlich die fehlerlos einrichten könnte, aber nur vermutlich! In Wahrheit mache ich vielleicht riesige Schnitzer bei der Einrichtung. Ich weiß es nicht. Aber der Text klärt hoffentlich auf, dass die Erwartungen von Informatikern durchaus oft sogar unsinnig sind. Eine Nachberin, die Immobilienmaklerin ist, meinte, dass ich ihr Netzwerk in der Firma verbessern könnte. Das können Informatiker oft nicht besser als Arbeiter vom Internetbetreiber, wenn sie sich nicht in diesem Bereich spezialisiert haben. Und selbst dann ist es fraglich,, weil dann die Spezialisierung eines Informatikers im Netzwerk dann manchmal so speziell ist, dass man nicht alle Anforderungen erfüllen kann.
Nun mein Tipp: Zuhause kann man im „Breitbandrouter“ durchaus VPN einrichten. Dann kann man Zuhause den OwnCloud-Server einrichten. Über VPN kann man dann den Server problemlos auch aus dem Internet erreichen (man muss nur ein DynDNS einrichten und in diesem Router eine Portweiterleitung konfigurieren). Dann läuft man keine so große Gefahr, dass bei Bekanntwerden von Lücken man diese Lücken möglichst schnell schließen sollte. Eine weitere Gefahr in evtl. ein anderer Rechner im Heimnetz, der evtl. infiziert ist. Dafür würde es sich eignen im Heimnetz für den Server ein eigenes Subnetz einzurichten. Wenn man eine Portweiterleitung eingerichtet hatte, kann man auch aus dem Heimnetz heraus per VPN problemlos auf die OwnCloud zugreifen. Aber schon alleine diese Server nicht lange Zeit unbetreut im Netz der Netze laufen zu lassen, würde schon viel helfen und diese Feststellng vom BSI verhindern.
Nochmal…Was bist du? :D 10 Mal das Wort Informatiker in dem Text :D
+1 – Vielleicht ist er… Informatiker? :D
Keine Ahnung welche Art von „Informatiker“ du bist, aber als „Informationsmanager“ (Studium) war es mir problemlos möglich ownCloud am eigenen Server einzurichten – immerhin gibts ja auch ne man-page.
Zu deinem Beitrag: bevor ich mir eine Intranet-Cloud einrichte und auf diese per VPN zugreife spare ich mir den Aufwand und verwende Samba-shares. Dein Zugriffsszenario macht das Cloud-Konzept sinnlos.
Man braucht zum Einrichten von OwnCloud, so dass es benutzbar ist, überhaupt kein Studium, sondern nur ein klein bisschen Erfahrung, mehr nicht.
Aber darum geht es nicht. Aber vor allem Informatiker (Richtige! Mind. eine Hochschule, und nicht, die es von sich behaupten!) wissen dann, dass eine ganze Menge Fehler möglich sind. Die verhindern dann nicht, dass man es benutzen kann, sondern lassen das System unsicher werden! Schwierig ist es nicht. Lies meinen Kommentar lieber ganz, bevor du mir dämliche Dinge unterstellst.
Dein kommentar hinkt fachlich nur leider hinten und vorne, wie auch bereits andere hier erwähnt haben. Meine Intention war nicht ein Studium als Vorraussetzung aufzustellen, sondern einige deiner Bwhauptungen zu widerlegen, aber lies dir am besten die weiteren kommentare hier durch, da ist das bereits mehrfach beschrieben. Außerdem ist dein Kommentar ziemlich „wirr“ verfasst.
@Novo: Was hängt denn? Das ist falsch. Ich hatte es nachts geschrieben. Dabei zeigt sich, dass ich in müdem Zustand grammatikalisch und im Ausdruck etwas bei mir hakt, aber das war es schon. Und was meinst du, weshalb nichts Sprachliches studiert habe? Und jetzt im Nachhinein meinen Kommentar lesend, stelle ich fest, dass ich aus Versehen zu oft gesagt habe, dass ich ein richtiger Informatiker bin (wie die vielen Universitätsabsolventen – es sollte nicht überheblich klingen, was aus Versehen geschah!). Dabei wollte ich für alle richtige Informatiker sprechen, dass der Artikel wunderbar zeigt, wie richtig die Befürchtung ist. Über richtige Informatiker wurde geschimpft, dass sie keine richtigen Informatiker seien, weil sie kein OwnCloud nutzen. Es sollte nur eine Verteidigung sein, dass gerade richtige Informatiker sich oft nicht daran wagen dieses System zu betreiben, weil sie wissen, dass komplexere Systeme eher wahrscheinlich Fehler enthalten und den Server nicht 24/7 betreuen können (nein, nicht ständig anwesend sein – man muss evtl. monatelang nichts ändern, aber wenn eine schwere Sicherheitslücke bekannt wird, sollte man es zeitnah einspielen können – und genau diese Zeit fehlt oft – und richtige Informatiker beschäftigen sich eigentlich nicht mit diesem Zeug – dafür ist ein Studium nutzlos, weil dann die gelernten Grundlagen fast überhaupt nicht Anwendung finden – dafür ist ein Studium unsinnig, sondern eine Ausbildung besser).
Es wird genau keine Behauptung widerlegt. @Bendr sagt im Prinzip das aus, was ich vermitteln wollte. Lediglich beim VPN hatte ich mich geirrt, dass eine Portweiterleitung nicht unbedingt nötig sei, außer der VPN-Server ist im Heimnetzwerk.
Wenn man sich aber mit meinen Text nicht auseinandersetzt und Leseprobleme hat, dann glaube ich dir, dass dir der Text verwirrend vorkommt.
@Novo: Zudem ist dein erster Kommentar unsinnig. OwnCloud stellt nicht einfach ein Samba-Share bereit (womöglich auch nur unverschlüsselt). OwnCloud ist auch dazu gedacht, dass es standardisierte APIs bereitstellt wie Synchronisation des Adressbucher, der Kalendereinträge u.s.w.. Wenn es im internen Netz steht, kann man von außen aus dem Netz der Netze (Internet) am praktischsten per VPN zugreifen. Ist der VPN-Server fehlerlos konfiguriert, ist dies die sicherste Art mit dem Server zu kommunizieren (damit du außer Haus auch das Adressbuch kit anderen Geräten leicht synchronisieren kannst). Einfach wäre dann nur für die gebrauchte Wervices entsprechende Portweiterleitungen einzurichten, aber dann läuft man je nach Anzahl an Portfreigaben ungefähr die gleiche Gefahr, wie wenn OwnCloud auf einem Internet-Server eingerichtet wurde. Man muss sich ständig am Laufenden halten, ob schwerwiegende Sicherheitslücken (oder auch einfache, wenn man zusätzlichen Nutzer hat) und möglichst schnell den Fix einspielen. Und OwnCloud hat schon durch diverse Sicherheitslücken gezeigt, dass die Lücken teilweise schon ausgenutzt werden, bevor sie bekannt werden.
Wenn du also nicht ständig kontinuierlich 24/7 auf den Server aufpassen kann & dich nicht ständig auf dem Laufenden hältst bei der Sicherheit des Servers (und dich nicht gesondert informiert hast, was wichtig für die Sicherheit ist und der Server entsprechend konfiguriert hast), dann ist das von dir extrem verantwortungslos. D.h. nicht, dass auf jeden Fall bei dir etwas nicht mehr geht, sondern evtl. können die andere wegen Sicherheitslücken oder fehlerhafte Konfigurationen dich und evtl. weitere Benutzer problemlos ausspionieren.
So viel Text und so wenig Inhalt. Komm mal zum Punkt. Deine ständigen Wiederholungen ermüden einfach nur beim Lesen.
Fakt ist, „Informatiker“ ist ein sehr weitgefächerter Begriff, der viele Bereiche abdeckt und noch lange nicht bedeutet, dass dieser auch Expertise in Netzwerken oder Clouddiensten besitzt.
Das kommt vielleicht darauf an, in welchem Bereich er sich befindet. Ich hätte näher eeläutern sollen, dass Informatiker inzwischen eigentlich nur noch die, mit akdemischem Abschluss sind. Informatiker mit Abschluss aus einer Fachhochschule konnten früher nicht anschließend in die Forschung. Es kann sein, dass diese Leute nun eine Prüfung einer Universität abschließen können, um evtl. dann auch in die Forschung gehen zu können. Ich habe nur einen tieferen Einblick aus dem akademischen Bereich, weshalb ich von dort sagen kann, dass nur die wenigsten Informatiker ein komplexere System wie OwnCloud sicher betreiben können. Ein dämliches Einrichten, Hauptsache, dass es funktioniert und man nicht darauf achtet, ob es sicher genug eingerichtwt und betrieben werden kann, ist nicht schwer. Das kann fast jeder. Und dieser Artikel weist nun wie befürchtet darauf hin, dass es zu viele gibt, die so etwas betreiben und überhaupt nicht auf Sicherheit achten.
Hey „Informatiker:“ Wer VPN einsetzt, braucht kein Portforwarding am Router sein Netzwerk zuzugreifen … aber gut, dass Dein Server auch ohne VPN erreichbar ist … *kopfschüttel*
Stimmt, es war spät. Die Portweiterleitung ist bei VPN natürlich notwendig.
(Weil es so spät war, dachte ich nur an einen internen Host, der von außen erreichbar sein muss, was aber bei VPN nicht der Fall ist.)
(Damit es verständlicher wird: Von Außen muss natürlich der „Router“ sein, aber nicht die privaten Hosts im Heimnetzwerk, weil dies in der Regel der VPN-Server im Router übernimmt.)
Jaja, dann wird das am Ende eine G-cloud
unter dem Aspekt Sicherheit auf jeden Fall.
Erstens: Cloud ist was anderes als ownCloud. Grob gesagt ist “die eigene Cloud” sogar völliger Schwachfug, weil Cloud bedeutet, dass man gerade nicht sich was eigenes hinstellt.
Zweitens: Cloud ist nicht gleich File-Storage. ownCloud ist auch in diesem Aspekt eher ownStorage.
Drittens: Selbst-gehostete Lösungen sind in 99,9% der Fälle deutlich unsicherer als Lösungen auf Clouds wie AWS oder Azure, die 24/7 betreut werden.
OwnCloud ist nicht nur Storage und Cloud ist lediglich ein Buzzword für extrem skalierbare Systeme wie AWS wodurch technisch je nach geforderte Keistung sich das System auf mehrere Hosts verteilen können und somit gemeinsam mehr Anfragen performant genug antworten können, aber für die Nutzer sieht es nur wie ein Host aus, der extrem performant sein kann. OwnCloud wird aber auf auf den privaten Host installiert, der nicht skaliert werden kann, weshalb das Wort Clowd irreführend ist.
Aber zu Drittens gebe ich dir uneingeschränkt recht! Es gibt leider sehr viele naive Leute, die anderen einfach so vertrauen und daherin naher Zukunft extrem unsere Systeme bereiben.
… „extrem unsichere Systeme“ gemeint (blödes Autocorrect)
Die Cloud an sich ist ganz und gar kein Buzzword, sondern bezeichnet groß zusammengefasst, dass man IT vom virtuellen Server bis zu schlüsselfertigen Applikationen als On-Demand-Dienstleistung bezieht. Ähnlich wie Strom aus der Steckdose.
Ergo: Sobald Du ownCloud auf einen AWS Server spielst, läuft ownCloud zwar in der Cloud, aber trotzdem ist die ownCloud-Installation in diesem Fall ebenfalls keine Cloud, weil nur der IaaS-Teil tatsächlich ein Cloud-Dienst ist, während die ownCloud-Installation weiterhin nur selbst-gewartete Software ist. Erst, wenn ownCloud von einem Dienstleister bezogen wird, wird auch ownCloud zur Cloud-Lösung (wobei es zugegebenermaßen hier akademisch wird, denn man könnte sowas auch als managed Service bezeichnen)
Als Buzzword wird „Cloud“ am meisten von den Anbietern verwendet, die keine Cloud-basierten Angebote haben und sich so einen modernen Anstrich für ihre in Produkte geben wollen.
Als der Begriff Cloud aufkam, war es hauptsächlich ein Buzzword. Mittlerweile ist inzwischen eine Definition davon entstanden. Einige Firmen hatten nämlich schon Clouds, ohne dass sie wussten, dass sie unter dieser neuen Definition fällt. Es wurde oft für Werbung gemeint. Inzwischen ist jetzt ein Sinn entstanden, was eine Clowd sein soll, so wie du es definierst. Aber den Begriff gab es vor ca. 7 Jahren nicht und es gab keine Definition. Es ist somit falsch, dass es nie ein Buzzword war am Anfang. Was es mittlerweile genau bedeutet, weiß ich nicht genau, weil ich mich nicht darin eingearbeitet habe. Das weißt du evtl. besser.Erstens ist nach deinem letzten Kommentar nun verständlich, wenn man sich mit Clowds nur sehr grob auskennt. Bei Zweitens habe ich etwas anderes gehört. Es kann sein, dass es falsch war, was ich darüber las, und tatsächlich nur Storage ist, was ich jetzt nicht erwartet hatte.
@Bendr: Bevor es untergeht: Danke für deine Informationen. Was das ehemalige Buzzword Clowd inzwischen bedeutet und inzwischen nicht mehr ein Buzzword ist (außer wie du sagst, nur manchmal in Werbung falsch erwähnt, damit die kleine Firma irgendwie erhabener klingt). Es ist interessant zu erfahren, dass OwnCloud bei einer Cloud betrieben laut Definition keine Cloud ist, da es vom Anbieter nicht auch betrieben wird. Das klingt plausibel, weshalb ich deiner Aussage vertraue. Danke noch einmal für die Information! :)
Unnütze Wortklauberei … der Begriff Cloud Storage ist sehr wohl üblich – sowohl für ownCloud als auch kommerzielle Services a la Dropbox oder Amazon http://lmgtfy.com/?q=Cloud+sto.....rage … Zudem ermöglichen die Lösungen Nextcloud/ownCloud nicht nur File-Storage sondern auch die Bereitstellung anderer Dienste. Und in Bezug auf Nextcloud/ownCloud ist der Begriff Cloud auch nicht zwingend „Schwachfug“, sondern durchaus berechtigt, weil darauf basierende Dienstbereitstellungen ja nicht nur im Home-Bereich anzutreffen sind. Aus Sicht des Endnutzers ist das dann sehr wohl eine Cloud-Lösung…
… und was „völliger Schwachfug“ betrifft: Vielleicht gewöhnst Du Dir in Foren etc. doch mal eine etwas weniger drastische und verletzende Sprache an…
@Bendr hat mit Zweitens zwar Unrecht, da es nicht nur ein Speicher bereitstellt, aber sonst hat er grob gesagt Recht. Bei Ersrens müsste man aufpassen, wie man dieses Buzzword Clowd interpretiert. Clouds sind eigentlich zumindest zu einem gewissen Grad skalierbare Systeme (so wie bei AWS – wenn das System mehr leisten muss, verteilen sich die Systeme auf mehr Hosts, die dann gleichzeitig die enormere Anzahl an Fragen performant genug beantworten können, aber für den Benutzer sieht alles aus dem Internet heraus diese Clowd als ein einziges System). Bei Drittens hat er absolut recht. Alleine aus Erfahrung, wenn man sich etwas mehr mit Sicherheit und Server beschäftigt, dann erfährt man aus sicheren Quellen, dass z.B. Rechenzentren, die die Server für Kunden betreiben, oft sehr unsichere Server betreiben müssen, wenn der Host vom Kunden administriert wird (für 4€ gibt es schon selbst administrierbare Server, zwar Vhost, aber immerhin per SSH awlbst administrierbar).
Cloud ist doch nur ein anderes Wort für „Fremdrechner“ :-). Bei ownCloud ist es manchmal halt der eigene Fremd- bzw. Fern-Rechner.
Im allgemeinen Sprachgebrauch, also in dem Raum in dem nicht nur studierte Informatiker (ab Master oder auch schon Bachelor?) verkehren, ist Cloud doch der Begriff für „die Daten die woanders herkommen und/oder hingehen“, speziell Daten ausserhalb meines physischen Endgerätes.
@Complaciente :Und ob ein Sysadmin (speziell für ownCloud) ein Informatiker nach obiger Definition sein muss …
Nichts für ungut :-)
@Techniker: Lies doch bitte meinen Text richtig, bevor irgendwelche Dinge unterstellst. Genau da habe ich gesagt, dass gerade richtige Informatiker sich nicht rauen so ein System einzurichten und zu betreiben, weil sie in der Regel wissen, dass sie das System nicht 24/7 betreiben können gerade aus den Artikel geschilderten Gründen. Es war als Verteidigung gemeint gewesen, weil Laien oft über die richtigen Informatiker lästern, dass sie das nicht sein können, weil sie kein OwnCloud betreiben oder nicht wollen.
Zur Cloud: Nein, das ist kein Synonym für Fremdrechner. Was bist du angeblich für ein Techniker? Im Serverbereich bist du es wohl vermutlich nicht (außer evtl. in einer kleinen Stelle). Cloud wurde als Buzzword gerne verwendet. Es geht um möglichst hoch skalierbare Systeme. Also z.B. ein Hosting wird automatisch auf viele Hosts verteilt, um einen Anfragesturm performant genug bewältigen zu können. Aber zu ca. 80% der Zeit wird vor allem in begrenzten Bereichen (in ein paar Ländern maximal) das riesige Serversystem nicht gebraucht. Daher eignen sich diese Clouds. Sie sind zwar teuer, wenn man sie für die gleiche geringe Leistung als festes System nutzen würde, aber sie sind viel billiger, wenn bei Anfragespitzen das System für diese Zeit hochskaliert werden kann. Der Hoster der Cloud ist dann gerne praktischerweise international, wodurch in 80% der Zeit für das Hosting kaum Hosts gebraucht werden und der Anbieter auf die freigewordenen Hosts die anderen Kunden mit hohen Anfragespitzen verlegen können.
Wie dies genau geschieht, weiß ich nicht, weil ich nicht in diesem Bereich spezialisiert bin und mich dort auch nicht einarbeiten muss. Das ist etwas, was viele falsch verstehen, dass richtige Informatiker dies angeblich auf jeden Fall wissen müssen. Genau darauf weise ich hin, dass das falsch ist.
@Rechniker: Ich habe mir den verlinkten Artikel (Link folgt) zwar nicht ganz gelesen, aber nach erstem Überblick scheint Wikipedia mein Wissen detaillierter zu vermitteln:
https://de.wikipedia.org/wiki/Cloud_Computing
@Techniker: Cloud bezeichnet externe On-Demand-Ressourcen. Ein Fremdrechner ist noch lange keine Cloud.
@Techniker: Falls du etwas wissen willst, frage bitte @Bende. Er scheint sich recht gut auszukennen was Clouds inzwischen sind.
Cloud Storage ist in der Tat üblich. Eben für Cloud-Storage-Dienste. ownCloud ist gerade aber kein Cloud-Storage. Das kann man drehen und wenden wie man will.
Etwas, was ich mir selber installieren und auf eigener oder auch angemieteter Hardware laufen kann ist nie „Cloud“. Da können Marketingabteilungen und Presse noch so sehr Falschbezeichnungen verwenden. Fakt ist Fakt.
Bitte sieh es mir nach, wenn ich Schwachfug als solchen bezeichne.
PS: Die anderen Dienste, die ownCloud bereitstellen kann sind meist ebenfalls schnöde Plugins, auch das hat nichts mit der Cloud zu tun.
Cloud, Clowd: Wer kannte den Unterschied? Damals hattw ich als Form Clowd gelern. Dass es jetzt anscheinend Cloud ist, ist für mich neu (habe wohl nicht bemerkt, dass ich ab und Cloud oder Clowd schreibe).
http://www.yourdictionary.com/.....clowd