Wenn Unternehmen die von Cloud-Anbietern gemieteten Server nicht ordnungsgemäß verwalten, können Angreifer in den Besitz privater Daten gelangen, wie eine von meinen Kollegen und mir durchgeführte Untersuchung gezeigt hat. Cloud Computing ermöglicht es Unternehmen, Server auf die gleiche Weise zu mieten wie Büroräume. Es ist für Unternehmen einfacher, mobile Anwendungen und Websites zu erstellen und zu pflegen, wenn sie sich nicht um den Besitz und die Verwaltung von Servern kümmern müssen. Diese Art des Hostings von Diensten wirft jedoch Sicherheitsbedenken auf.
Jeder Cloud-Server hat eine eindeutige IP-Adresse, die es den Benutzern ermöglicht, eine Verbindung herzustellen und Daten zu senden. Wenn ein Unternehmen diese Adresse nicht mehr benötigt, wird sie an einen anderen Kunden des Dienstanbieters weitergegeben, der vielleicht böswillige Absichten hat. IP-Adressen wechseln bis zu alle 30 Minuten den Besitzer, wenn Unternehmen die von ihnen genutzten Dienste wechseln.
Wenn Unternehmen einen Cloud-Server nicht mehr nutzen, aber die Verweise auf die IP-Adresse nicht aus ihren Systemen entfernen, können Benutzer weiterhin Daten an diese Adresse senden und denken, dass sie mit dem ursprünglichen Dienst verbunden sind. Da sie dem Dienst vertrauen, der die Adresse zuvor verwendet hat, senden Benutzergeräte automatisch sensible Informationen wie GPS-Standort, Finanzdaten und Browserverlauf.
Ein Angreifer kann sich dies zunutze machen, indem er die Cloud „besetzt“: Er beansprucht IP-Adressen, um zu versuchen, den für andere Organisationen bestimmten Datenverkehr zu empfangen. Durch den schnellen Wechsel der IP-Adressen bleibt wenig Zeit, das Problem zu erkennen und zu beheben, bevor Angreifer Daten erhalten. Sobald der Angreifer die Adresse kontrolliert, kann er weiterhin Daten erhalten, bis die Organisation das Problem entdeckt und behebt.
Bei unserer Untersuchung eines kleinen Teils der Cloud-IP-Adressen fanden wir Tausende von Unternehmen, die potenziell Nutzerdaten weitergeben, darunter auch Daten von mobilen Apps und Werbe-Trackern. Diese Apps hatten ursprünglich die Absicht, personenbezogene Daten an Unternehmen und Werbetreibende weiterzugeben, gaben aber stattdessen Daten an denjenigen weiter, der die IP-Adresse kontrollierte. Jeder, der über ein Cloud-Konto verfügt, könnte dieselben Daten von anfälligen Organisationen sammeln.
Smartphone-Nutzer geben über die von ihnen installierten Apps persönliche Daten an Unternehmen weiter. In einer kürzlich durchgeführten Umfrage fanden Forscher heraus, dass die Hälfte der Smartphone-Nutzer mit der Weitergabe ihres Standorts über Smartphone-Apps einverstanden ist. Doch die persönlichen Daten, die Nutzer über diese Apps weitergeben, könnten dazu verwendet werden, ihre Identität zu stehlen oder ihren Ruf zu schädigen.
Persönliche Daten wurden in den letzten Jahren immer stärker reguliert, und die Nutzer können sich darauf verlassen, dass die Unternehmen, mit denen sie interagieren, diese Vorschriften einhalten und ihre Privatsphäre respektieren. Aber diese Vorschriften schützen die Nutzer möglicherweise nicht ausreichend. Unsere Untersuchungen zeigen, dass selbst dann, wenn Unternehmen beabsichtigen, verantwortungsvoll mit Daten umzugehen, schlechte Sicherheitspraktiken dazu führen können, dass diese Daten unzugänglich sind.
Die Nutzer sollten wissen, dass sie, wenn sie ihre privaten oder persönlichen Daten mit Unternehmen teilen, auch den Sicherheitspraktiken dieser Unternehmen ausgesetzt sind. Sie können Maßnahmen ergreifen, um diese Gefährdung zu verringern, indem sie die Menge der Daten, die sie weitergeben, und die Anzahl der Organisationen, mit denen sie sie austauschen, reduzieren.