Das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI) warnt in einer aktuellen Pressemeldung die Administratoren und Nutzer von Owncloud und Nextcloud (einem Fork von Owncloud) vor einer kritischen Sicherheitslücke. Über 20.000 Installationen in Deutschland sind potentiell verwundbar. Betroffen sind u.a. große und mittelständische Unternehmen, öffentliche und kommunale Einrichtungen, Energieversorger, Krankenhäuser, Ärzte, Rechtsanwälte und private Nutzer.
Bereits im Februar hat das BSI die Betreiber auf das Sicherheitsrisiko hingewiesen. Sehr viel ist seither nicht passiert, wie man der aktuellen Meldung entnehmen kann. Lediglich ein Fünftel der informieren Einrichtungen hat reagiert und die Schwachstelle geschlossen.
Ob die eigene Cloud-Installation betroffen ist, kann mit dem Security-Scanner von Nextcloud online geprüft werden. Der BSI-Präsident redet nicht um den heißen Brei herum:
“Der Betrieb von Clouds mit veralteten Software-Versionen, für die bereits seit langer Zeit Updates der Hersteller bereitstehen, ist fahrlässig und macht es Kriminellen viel zu leicht, sensible Daten zu stehlen oder Geschäftsprozesse zu beeinflussen.”
Sollten Sie in Ihrer Organisation oder privat eine Instanz von Owncloud oder Nextcloud betreiben, so prüfen Sie bitte zeitnah unter dem og. Link oder mittels des Owncloud Vulnerability Scanners, ob Ihre Installation betroffen ist. Generell sollte eine regelmäßige Prüfung auf Updates und deren Installation selbstverständlich und ein fester wiederkehrender Termin im Kalender sein.