Wie war das noch? Daten in der Cloud sind eine tolle Idee?

Kurzfassung: Adobe hat sich persönliche Daten von ein paar Millionen Kunden klauen lassen. Keine Sorge, es sind keine Paßwörter und Kreditkartendaten dabei. Gehen Sie weiter, es gibt nichts zu sehen.

Gestern habe ich Adobe Bridge installiert auf einem Mac, auf dem sonst nichts von Adobe läuft. Bridge lässt sich als Fotoverwaltung kostenlos nutzen. Aber es ist der Wahnsinn, was ich alles an unerwünschten Dreingaben löschen konnte.

Programme, die ich gelöscht habe:


Internet-Verbindungen, die per Little Snitch unterdrückt werden:


Dateien, die ich gelöscht habe - bis auf Bridge 2019:


Und Bridge funktioniert trotzdem

Natürlich sind Daten in der Cloud eine tolle Idee. Fragt sich nur für wen. Für den User eher nicht, außer jemand hat lebenswichtige Daten auf die er überall Zugriff braucht.
Aber vielleicht macht der dann auch grundsätzlich was nicht so ganz richtig.

Die ehemaligen Kunden von Adobe aus Venezuela müssen sich darum keine Gedanken mehr machen. Die haben ehr andere Probleme: https://www.golem.de/news/executive-order-13884-adobe-sperrt -creative-cloud-fuer-kunden-in-venezuela-1910-144346.html

Man sollte nicht aufgrund von einzelnen Vorfällen ein komplettes Thema verteufeln. Klar, richtig doof was bei Adobe passiert ist. Wenn man deswegen nicht mehr Adobe-Kunde sein mag, ist das die Entscheidung eines jeden einzelnen

Nur daher das Thema mit dem Marketing-Buzz-Word "Cloud" komplett zu verteufeln ist doch etwas übertrieben.

Ganz so einfach ist es nicht.

Zum einen sind es ja nicht einzelne, seltene Vorfälle. Es ist eine Serie. Schon allein Adobe hat sich derlei in den letzten Jahren schon zwei Klopfer dieser Art gegönnt. OK, das ist Adobe, aber das Problem ist ja nicht auf Adobe beschränkt.

Das Grundproblem ist ein anderes, und das ist Cloud-immanent. Daten befinden sich in großer Menge auf den Rechnern anderer Leute, und man hat weder Einfluß darauf noch Information darüber, wie gut diese Daten geschützt werden. Und wie Adobe zeigt, lernen die Firmen nicht einmal etwas aus katastrophalen Fehlern und machen den gleichen dann gleich nochmal.

Ein anderes und viel größeres Problem ist technisch bedingt, und das betrifft alle Cloud-Services gleichermaßen. Schnittstellen, die bei "klassichen" IT-Systemen innerhalb des Unternehmens verlaufen, verlaufen jetzt oft und gern außerhalb. In diesem Fall war es Elasticsearch. Für diejenigen, die es nicht wissen: Elasticsearch ist eine sehr leistungsfähige NoSQL-Datenbank mit ausgeprägter Parallelität sowohl bei der Datenhaltung als auch bei der Datenauswertung.

So etwas verteilt man auf viele Rechner. Und wenn die im Internet verteilt stehen, dann hat man Schnittstellen zwischen diesen Rechnern, die - wenn man das Design nicht wirklich durchdenkt - von außen erreichbar sind. Genau das ist im vorliegenden Adobe-Fall der Fall gewesen.

Daß das Geschäftskonzept von Elastic darauf beruht, daß man in der freien Version keine Authentifizierung und Verschlüsselung hat und die nur bei Abschluß von Serviceverträgen (oder bei ziemlich aufwendiger Installation und Anpassung von third party-Produkten) zur Verfügung stehen, hat im vorliegenden Fall dann letztlich zum GAU geführt - da hat sich jemand wohl das Geld oder den Aufwand sparen wollen. Resultat: Ungesicherte, offene Elasticsearch-Instanz mit Kundendaten im Internet. Bingo.

Und das ist kein Einzelfall. Die gefühlt meisten Daten-GAUs dieser Art beruhen auf offenen MongoDB-Instanzen in der Cloud (AWS und Co.). MongoDB kann man auch in der freien Version vernünftig absichern, es ist aber Aufwand und macht nicht wirklich Spaß.

Bei der klassischen, Rechenzentrums-basierten IT ist es nun meist so, daß solche Dienste wie Datenbanken im nicht direkt mit dem Internet verbundenen Teil des Netzes stehen. Wenn man die von außen erreichbar machen wollte, müßte man das aktiv tun, Routen anlegen, ggf. Proxies dazwischenbauen, Firewall-Regeln anlegen etc.pp., und das macht bei Datenbanken, die letztlich nur als Zulieferdienste für interne Services dienen, natürlich niemand. Da ist dann eine ungesicherte Datenbank kein Beinbruch, wenn nicht noch der eine oder andere Fuckup dazukommt. In der Cloud ist das anders. Da ist "offen" gleichbedeutend mit "öffentlich".

Nun betreiben aber die meisten Cloud-Dienstleister ihre Cloud ihrerseits in der Cloud. iCloud z.B. wird derzeit durchaus nicht nur auf Servern bei Apple gehostet, sondern auch bei AWS, Azure und Google. Immerhin traue ich Apple theoretisch zu, nicht solche Böcke zu schießen wie Amazon, aber wissen kann ich es nicht. Und bei der Komplexität der Systeme ist es nicht sehr wahrscheinlich, daß nicht irgendwo irgendwer versehentlich einen Bock schießt. Von absichtlichen "Fehlern" ganz zu schweigen. Daß Apple davon weg will ist nur konsequent.

Hinzu kommen Dinge wie der ja schon von sunni erwähnte Venezuela-Effekt. Die USA haben beschlossen, daß man mit Venezuela keine Geschäfte mehr machen darf, also sind die Leute in Venezuela ganz schnell weg von der Cloud (und schlimmstenfalls ihren Daten). Will man sich in diese Form der Abhängigkeit von politisch unberechenbaren Ländern wir derzeit den USA begeben? Wenn Heinz Maier nicht an seine Urlaubsfotos kommt, mag das ja ärgerlich, aber verschmerzbar sein. Wenn eine Werbeagentur nicht mehr an ihre Daten und ihre Software kommt, ist das ganz schnell auch mal deren Ende.

Und das sind, kurz zusammegefaßt, weder Einzelfälle, noch ist das Problem auf Adobe beschränkt. Es ist vielmehr ein dem Cloud-Konzept inhärentes Problem.

@Peter Eckel

Also ich weiß nicht, gerade der vorliegende Fall hat ja mit einer "Cloud" respektive das was darunter verstanden wird wenig zu tun. Hier gehts um Kundendaten von seitens des Unternehmens und nicht um vom Kunden gelagerte Daten. Wenn die Anmeldedaten hier auf mactechnews (die ja auch in einer DB liegen) irgendwo öffentlich zugänglich wären (wenn auch verschlüsselt), dann wäre das ja kein "Cloud"-Problem.

Der vorliegende Fall ist imho ein Netzwerkproblem (das natürlich mit der online-Vernetzung zusammenhängt). Wie man das verhindern könnte schreibst du ja konkret in deinem Beitrag. Nur ist das wie gesagt (rein auf semantischer Ebene) nicht das, was man normalerweise im Volksmund unter einer Cloud meint.

Zu Adobe selbst und anderen solchen Fällen: Ich würde mir sehr wünschen, dass es hier international übergreifende Gesetze gibt, die so ein fahrlässiges Verhalten im Umgang mit Kundendaten massiv unter Strafe stellt im Umfang vom einem %-Teil des Umsatzes. Im Nachhinein immer nur "sorry" sagen geht gar nicht.

Der Originalartikel gibt das leider nicht explizit her, aber wenn Du meinen Ausführungen oben folgst, wirst Du vermutlich zum selben Schluß kommen wie ich: Es ist sehr unwahrscheinlich, daß die fragliche Datenbank intern in einem Adobe-Rechenzentrum stand. Sowas passiert in 99.9% aller Fälle mit Datenbanken in der Cloud.

Und auf der zweiten Ebene sind es eben genau sehr häufig Dienstleister, die Cloud-Services für Endkunden anbieten. Eine kurze DNS-Anfrage stützt diese Annahme:
AWS also.
Ja. Aber wenn ein Unternehmen schon seine Kronjuwelen (nämlich die Kundendaten) in der Cloud ablegt, dann werden die Kundendaten sicherlich nicht in besser gesicherten Umgebungen liegen.
Wie gesagt: Ich halte das für ein dem Cloud-Konzept inhärentes Problem. Die abzusichernden Schnittstellen liegen nicht mehr innerhalb der Unternehmens-IT, sondern außerhalb. Ersteres müßte man aktiv durchlöchern, letzteres muß man explizit absichern.
Da sind wir in der Tat in Europa schon ganz brauchbar aufgestellt, und angeblich denken sogar die USA darüber nach, ein nach dem Modell der DSGVO gestaltetes Gesetz zu gestalten. Das wird höchste Zeit, aber die der Hoffnung, das wirklich international durchzusetzen, können wir wohl für die nächsten hundert Jahre in den Wind schreiben.

Und wenn die Firmen in den USA und in Europa durch entsprechende Gesetze an die Kandare genommen werden, wanden sie halt in "liberalere" Gefilde aus. Zumindest die großen, die sich das leisten können, wird es also nicht kratzen.

Peter Eckel
Ich glaube, dass du AWS = Cloud,unsicher und Rechenzentrum = Sicher setzt ist total falsch. Auch auf AWS kannst du Instanzen in VPCs setzen und/oder so konfigurieren, dass diese nicht mit dem Internet kommunizieren. Wenn du das auf AWS oder im dedizierten Rechenzentrum falsch machst, krachts halt.

Diese Simplifizierung habe ich auch durchaus nicht vorgenommen.
Den Unterschied dachte ich eigentlich einfach verständlich herausgearbeitet zu haben.

Und es ist ja nicht so, daß die Erfahrungen der letzten Jahre meiner Theorie stark widersprächen.

Für ein bisschen Erschrecken vor Halloween: "Have I Been Pawned"

Das GDPR oder auf deutsch die DSGVO hat eben als Besonderheit, dass fahrlässiger Umgang mit persönlichen Daten europäischer Bürger geahndet werden kann, egal in welchem Teil der Erde das passiert bzw. die Daten lagern. Auch wenn Adobe die Daten in Timbuktu, Malaysia, Nordvietnam oder sonst wo speichert, und von dort zu schützende (im Sinne der GDPR) personenbezogene Daten abhanden kommen, kann das zu den Verfahren führen, bei denen 10% des Unternehmensumsatzes als Strafe drohen. (nagelt mich jetzt nicht auf die Zahlen fest)
Ob das auf die entwendeten Daten zutrifft kann ich nicht sagen und das sollte untersucht werden.
Das könnte für Adobe durchaus teuer werden.

Im Falle von iCloud kann ich nur darauf vertrauen, dass sie alle Maßnahmen ergreifen und tatsächlich alles so verschlüsselt gespeichert wird, dass nur ich es wieder lesbar machen kann.

Das hätte auch Adobe machen können, es gibt AWS-Instanzen mit HSM-Modulen, die auf sichere Weise Zertifikate (und Schlüsselpaare) erstellen können. So etwas kostet aber richtig Geld. Die Preise für ein einzelnes HSM liegen im 5-stelligen Bereich...

Wobei das Problem leider immer die Durchsetzung der Ansprüche ist. Zur not gründet man für derlei halt eine Tochter im Ausland, die keine nennenswerten Umsätze macht oder im Katastrophenfall verbrannt werden kann.
Je nach Schwere des Verstoßes bis zu 20 Millionen bzw. 4% des Konzernumsatzes, je nach dem, was höher ist, für schwere und die Hälfte für weniger gewichtige Verstöße. Das ist schon ein Wort, zumal die Berechnungsgrundlage auch bei Firmen zieht, die gar keine Gewinne erwirtschaften. Umsatz ist Umsatz.
Hoffen wir's mal. Anders lernen sie es offenbar nicht. Das ist jetzt immerhin schon das zweite Mal.
Die Hoffnung stirbt bekanntlich zuletzt. Aber da ich es eben nicht beeinflussen und letztlich auch nur vertrauen kann, ist meine Konsequenz dann eben die, es nicht zu nutzen, wenn man von ein paar Sachen absieht - so läßt sich so etwas wie "Find my Mac" halt nicht wirklich ohne so etwas wie eine öffentliche Cloud realisieren. Da ist dann die Risiko-/Nutzenabwägung auch für mich zugunsten des Apple-Dienstes ausgegangen.
Das ist genau der Punkt. Es kostet Geld, es kostet Aufwand - im vorliegenden Fall wäre der ganz große GAU ja schon ausgeblieben, wenn sie nur Elasticsearch vernünftig abgesichert hätten. Aber nichtmal dafür hat es ja gereicht.

Und wenn jemand, so wie jetzt Adobe, fahrlässig wirklich alles falsch macht, dann ist ihm auch nicht zu helfen.

2 Private Adressen von mir wurden durch Dropbox geleakt... das erklärt natürlich das enorme Spam-Aufkommen dass ich seit einigen Jahren habe, ohne mich auf "fragwürdigen" Seiten angemeldet zu haben...

Hat eigentlich schon jemand Adressen aus dem neuen Datenreichtum in haveibeenpwned gefunden?

Hintergrund: Ich habe meine Adobe-IDs von Adobe explizit löschen lassen. Im alten Leak von 2013 waren die zugehörigen Mailadressen drin, im neuen werden sie noch nicht gefunden - das kann nun daran liegen, daß der neue Leak einfach (noch) nicht erfaßt ist, oder halt daran, daß Adobe sie wirklich gelöscht hat.

Wenn nun jemand seine Adresse im neuen Leak in haveibeenpwned findet, wäre das ein guter Indikator, daß Adobe die Adressen auch wirklich löscht.

Meine Adresse die ich bei adobe verwende wird nicht gefunden...

Das ist eine rein theoretische Überlegung. Tatsächlich wären so manche Daten in der Cloud sicherer, weil sich Firmen nach wie vor keinerlei Gedanken um die Sicherheit der eigenen IT machen oder entsprechende Maßnahmen als zu teuer abgelehnt und nicht umgesetzt werden.
Während Clouddienste wenigstens noch mit einem Passwort abgesichert sind, ist die eigene, interne Datenbank ohne Passwort vom Bürotoaster aus erreichbar.
Sicherheit setzt Planung und Kontrolle voraus, egal ob intern oder extern.

Wenn Adobe die Adresse löscht, bleibt die Mail-Adresse doch im Leak-Verzeichnis?! Die Verzeichnisse können doch trotzdem dazu genutzt werden, die Mail-Adresse für Spam zu nutzen oder die Mail/Passwort-Kombination für andere Dienste auszuprobieren. Oder habe ich dich missverstanden?

Nebenbei: Kennt jemand einen Virenscanner mit dem ich auf einem NAS ein Verzeichnis durchsuchen kann? Also ein Virenscanner, der sich nicht dauerhaft installiert, nicht nervt, sondern nur ein bestimmtes Verzeichnis scannt. Mein Test mit einem anderen Programm hat mich gerade bestimmt mehr als 15 Minuten gekostet um restlos jede Datei und Agent etc. zu löschen. Die Erkennungsrate muss nicht hoch/aktuell sein, weil es sich um alte Dateien handelt.

Ich vermute mal, wir sind in leicht unterschiedlichen Firmen unterwegs
Dem kann ich uneingeschränkt zustimmen.

Aber nur zur Erinnerung eine Zusammenfassung von oben: Eine Datenbank, die intern in einem RZ läuft, ist im allgemeinen per Default gar nicht von draußen sichtbar, weil man dafür aktiv etwas tun müßte. Eine Datenbank, die auf einem Server im Internet läuft, ist per Default genau von außen sichtbar, und man muß aktiv etwas dafür tun, daß sie das nicht bzw. nur im gewünschten Maße ist. Das ist das Problem: Nichtstun ist im ersten Fall die sicherere Lösung, im zweiten kontraproduktiv.

Zur zeitlichen Einordnung: Meine Adobe-ID-Adressen (es waren zwei) sind in haveibeenpwned zu finden. Das ist zu erwarten und das ändert sich natürlich auch nicht. Gelöscht habe ich die IDs vor grob zwei Jahren.

Was mich interessiert ist, ob der neue Leak schon in haveibeenpwned zu finden ist. Wenn er das ist (wenn also jemand seine Adresse schon dort gefunden hat), und wenn (was ich schon verifiziert habe) meine Adobe-ID-Adressen nicht drin sind, dann war die Löschung seitens Adobe effektiv.
Ein wenig. Darum geht es mir nicht, ich benutze Einweg-Mailadressen und -Paßwörter für genau einen Zweck und die Adressen sind längst gesperrt und die Paßwörter geändert.

Worum es mir geht ist, ob Adobe wirklich löscht oder ob meine Adressen immer noch in neuen Datenbeständen herumgammeln.
Kann Malwarebytes das nicht? Ansonsten vielleicht ClamXAV.

Ich sehe das etwas anders: wenn Max Mustermann eine Datenbank im Internet aufsetzt, ist er sich darüber bewusst, dass sie öffentlich ist und trifft gegebenenfalls Maßnahmen. Im eigenen Netz ist man ja sicher ...
Oder
Die interne IT wird vom Enkel betreut (der hat ja einen Computerkurs an der Schule), vom örtlichen Kistenschieber oder von der Bürokraft (die kennt sich ja mit Microsoft-Works aus). Bei einer Cloud-Lösung wendet man sich dann doch an ein IT- Unternehmen. Was ist jetzt sicherer?

Da heutzutage eigentlich keine IT mehr ohne Internetzugang auskommt, gibt es eigentlich keinen Unterschied mehr wo die Daten liegen. In beiden Fällen muss ich für Absicherung sorgen.

Es ist egal in welchen Firmen du oder ich unterwegs sind. Das was ich schreibe spiegelt die Einschätzung von IHK, Wirtschaftsverbänden oder BSI wieder und ist fast täglich in den Medien zu lesen.

Dein Idealismus in allen Ehren, aber die Fakten sprechen eine andere Sprache.
Die Leute, die sich ihre IT vom Enkel managen lassen, beauftragen mit Sicherheit kein IT-Unternehmen. Und die betreiben auch keine Datenbanken. Der Vergleich hinkt auf allen Füßen.
Ich bin ziemlich sicher, daß wir in unterschiedlichen Umfeldern arbeiten

Außerdem ist Deine Darstellung wirklich extrem vereinfacht. "Keine IT kommt ohne Internetzugang aus" ist eine vollkommen andere Baustelle als "Alle IT steht im Internet".
Tja. Dann muß es ja stimmen.

Ich habe in den letzten Jahren unter anderem für Banken, Fluglinien, Lotteriegesellschaften und Luftfahrt-Dienstleistern an IT-Systemen gearbeitet, und meine Erfahrungen sind vollkommen andere. Ich will das jetzt nicht verallgemeinern (geht auch nicht - ich weiß, daß es Firmen gibt, in denen das viel lässiger gehandhabt wird), aber wie gesagt: Da sieht die Welt schon mal sehr viel anders aus als Du sie darstellst.

Ähem, das ist zu kurz gesprungen.
Das ist Internet-immanent!
Alles was Du im Internet tust bedingt, dass Daten von Dir auf fremden Rechnern sind. Vielleicht keine kompletten Kopien von Dateien Deines Rechners, aber doch viele und vor allem persönliche Daten. Da kannst Du nicht beim einer Cloud halt machen, da musst Du schon auch das WLAN-Kabel durchschneiden