Open Source und die Update-Resistenz

1879
Nextcloud- und Owncloud-Icons verfremdet von Ludger Schmitz
Nextcloud- und Owncloud-Icons verfremdet von Ludger Schmitz

Nextcloud hat entdeckt, dass hunderte private Cloud-Speicher angreifbar sind, weil sie auf überholten Versionen aufsetzen. Das Drumherum um diese Meldung zeigt viel Gutes – und eine Schwachstelle.
Von Ludger Schmitz*

Diesmal ist nicht ein gefährlicher Bugs in aktueller Open-Source-Software das Problem. Vielmehr hat sich herausgestellt, dass zigtausende private Cloud-Server mit alten Versionen laufen.
Die waren einst vielleicht auf der Höhe der Zeit, haben nach heutigen Ansprüchen und Risiken aber bedenkliche sicherheitsrelevante Lücken.

Nextcloud hatte auf recht einfach zu identifizierende Server mit Nextcloud, Owncloud und Pydio einen nicht einmal gründlichen Scan laufen lassen. Dabei stellte sich heraus, dass „viele Hundert“, so ein Blog-Beitrag von Nextcloud, dieser Server sehr einfach gekapert werden könnten. Insgesamt waren zwei Drittel der Server verwundbar. Nextcloud schätzt, dass es 200.000 bis 300.000 dieser privaten Cloud-Server gibt. Mindestens 100.000 davon lassen sich nicht eindeutig Personen oder Organisationen zuordnen. Darüber hinaus dürfte die Dunkelziffer beträchtlich sein.

Die Entdeckung und Ereignisse in diesem Zusammenhang sind in mehrfacher Hinsicht bemerkenswert. Da wäre erstens das Ausmaß der Gefährdung. Mehr als 100.000 Server sind schon allerhand, auch wenn es sich gerade als wenig ausnimmt gegenüber Vorfällen in der Public Cloud: Dropbox hat im letzten Jahr Daten von 68 Millionen Accounts verloren. Bei Yahoo waren es mindestens eine Milliarde.

Yahoo – und das ist der zweite Unterschied – verheimlichte die Kompromittierung seiner Systeme drei Jahre lang. Es ist nicht nur bei proprietärer Software, sondern auch im Cloud-Business anscheinend die Norm, Gefahrenlagen zu verschweigen. Nur wenn Dinge offensichtlich sind, bei Google, Amazon (letzte Woche gleich „das halbe Internet“ lahmgelegt) ganze Rechenzentren und damit die Services ausfallen, gibt es dürre Stellungnahmen der beschwichtigenden Art: Nichts Gefährliches passiert.

In der Open-Source-Welt hängt man Gefahrenlagen allerdings auch nicht mehr gleich auf die große Glocke. Denn als eine Schwachstelle bei Drupal bekannt wurde, gab es innerhalb von Stunden die ersten Angriffe. Daraus folgernd hat Nextcloud eine interessante neue Strategie vorexerziert. Das Unternehmen bat die Presse um Stillschweigen – die sich daran hielt – und alarmierte Sicherheitsbehörden wie das BSI in Deutschland und Switch in der Schweiz. Die wiederum warnten die Anwender.

Das Ergebnis der Warnung ist ziemlich ernüchternd

Bei lediglich sieben Prozent der betroffenen Server führten Administratoren innerhalb von zehn Tagen ein Update durch. Erst drei Wochen nach der BSI-Warnung ging Nextcloud an die Öffentlichkeit. Da hatten zehn Prozent Updates gemacht, und jetzt waren die Medien als Alarmsirenen notwendig. Das Risiko von Angriffen auf private Cloud-Server war zu groß. Und das hätte letztlich das Image von Nextcloud, Owncloud und Open-Source insgesamt beschädigt.

Nextcloud erzielte ein gewaltiges Medienecho. Dies wiederum zeigt, dass IT-Sicherheit durchaus ein Thema für die allgemeine Publikumspresse ist – zumindest wenn es sich mit Namen zu kräftigen Schlagzeilen aufplustern lässt. Aber auch das ist schon mal etwas im Vergleich zur Situation von zwei, drei Jahren. Aber bleiben wir realistisch: IT Security ist kein in den Medien gern gesehenes Thema, weil es technisch sehr anspruchsvoll ist.

Die Leichtfertigkeit, mit der manche Organisationen die Einbruchsgefahr abtaten, spricht Bände

Die Grünen erklärten beispielsweise, dass es sei nur ein unwichtiger Server mit altem Wahlkampfmaterial betroffen. Das zeigt offenkundige Unwissenheit darüber, wie solche Angriffe ablaufen. Und eine sträflich nachlässige Haltung gegenüber der IT-Sicherheit.
Organisationen und Privatleute verwenden Nextcloud und Owncloud, weil sie den Public-Cloud-Speicherangeboten misstrauen, Datenverluste oder ein Ausschnüffeln ihrer Privatsphäre befürchten. Daraus sollte eigentlich selbstverständlich folgen, dass Anwender auch Maßnahmen treffen, um solche Angriffe auf ihre eigenen Cloud-Speicher zu verhindern. Updates sind dafür unverzichtbar. Allerdings sind da nicht nur die Anwender in der Pflicht.

Wenn das Updating hohen Zeitaufwand oder einige IT-Kenntnisse erfordert, sollte man sich auf Herstellerseite nicht wundern, dass Anwender gerne auch mal mehr als ein Update auslassen. Etwas völlig menschliches scheint in der IT ziemlich unbekannt zu sein: Kein Mensch macht gern, was ihm schwer fällt. Wer Dinge zu kompliziert macht, verhindert eine sachgemäße Ausführung.

Anscheinend haben auch Nextcloud und Owncloud begriffen, dass die bisherigen Update-Verfahren nicht halbwegs komfortabel sind. Beide haben angekündigt, das Updating wesentlich erleichtern zu wollen. Ein Halbsatz von Nextcloud (Blog vom 6. März 2017) zeigt, wie notwendig das ist: „Nextcloud 12 will no longer disable apps when doing a security update.“ Dass dahinter Probleme mit den Apps stecken könnten, wird die Anwender nicht animieren, ihre Update-Unlust zu überwinden.

*Ludger Schmitz ist freiberuflicher Journalist in Kelheim.