Bundesamt für Sicherheit in der Informationstechnik

G 5.190 Missbrauch von Services

Cloud Services, die von einer Institution beauftragt werden, können unter Umständen von Angreifern missbräuchlich verwendet werden. Ein solcher Missbrauch wird dabei zunächst in der Regel auf den ursprünglichen Auftraggeber zurückgeführt. Dies kann zu finanziellen Schäden und zu Reputationsverlusten für den Cloud-Anwender führen.

Werden Services durch Dritte missbräuchlich verwendet, erfolgt dies meist mit dem Ziel, eine oder mehrere der folgenden illegalen Aktivitäten durchzuführen:

  • Versand von Spam-Nachrichten
  • Betreiben von Bot-Netzen
  • Verschleierung der Herkunft bei weiteren illegalen Aktivitäten
  • Hosting von Schadsoftware
  • Kostenlose Nutzung des Services für eigene Zwecke

Grundsätzlich kann der Missbrauch von Cloud Services durch Dritte über mehrere Wege erfolgen. Ein Angreifer kann sich beispielsweise über die eingesetzten Schnittstellen Zugriff auf den Service verschaffen (siehe hierzu G 5.89 Hijacking von Netz-Verbindungen ). Schwachstellen in Web-Schnittstellen beziehungsweise Protokollen, die von den angebundenen Clients genutzt werden, stellen ebenfalls ein Risiko dar. Weiterhin ist das Ausnutzen von Schwachstellen in der technischen Realisierung des Cloud Services denkbar. Wird beispielsweise keine oder lediglich eine unzureichende Validierung von Benutzern (zum Beispiel mittels Verifizierung der angegebenen E-Mail-Adresse) vorgenommen, ermöglicht dies die Kompromittierung des Cloud Services durch Hacker beziehungsweise Spammer oder das Hosting von Schadsoftware.

Stand: 14. EL Stand 2014