Amazon-Versandstation (in Werne) © Roland Weihrauch/dpa

Wissenschaftler an der Ruhr-Universität Bochum haben Sicherheitslücken in den Cloud-Angeboten von Amazon offen gelegt. Mit verschiedenen Methoden seien Experten in das System eingedrungen und hätten Daten manipulieren können, sagte der Netz- und Datensicherheitsforscher Jörg Schwenk. Die Schwachstellen seien inzwischen behoben. Amazon habe die Lücken bestätigt und umgehend geschlossen, sagte Schwenk.

Den Forschern war es gelungen, die Behandlung von Signaturen in der Auszeichnungssprache XML so zu manipulieren, dass sie sich administrativen Zugriff auf die Daten eines beliebigen Kunden verschaffen konnten. Sicherheitslücken fanden die Forscher auch in Amazons Online-Shop sowie in privaten Cloud-Diensten, die Firmen oft für den internen Datenverkehr nutzen.

In ihrer Studie weisen die Informatiker nicht nur nach, dass sich die Dienste mit der Cross Site Scripting genannten Technik angreifen lassen. Sie schreiben in der Zusammenfassung auch, es sei nicht unerheblich, die verschiedenen Schwachstellen der Systeme in einem "sehr begrenzten Zeitraum" entdeckt worden seien. Das zeige, dass die Komplexität solcher Clouds geradezu ein "Nährboden" für Lücken sei. Das sei umso bedeutender, als Kriminelle wohl bald beginnen würden, Benutzerschnittstellen für Clouds als attraktive Ziele zu entdecken.

Dienste wie die Amazon Web Services bieten Speicherplatz, Rechenleistung oder auch Software übers Netz an, sodass Firmen die Kapazitäten nicht mehr auf eigenen Rechnern vorhalten müssen. Amazon war eines der ersten Unternehmen, das solche Dienste anbot. Zu den Kunden des weltgrößten Online-Einzelhändlers zählen unter anderem Twitter, Second Life und das Netzwerk Foursquare.

Die Experten sehen sich als Helfer der Unternehmen, indem sie Sicherheitslücken aufspüren. "Kritische Services und Infrastrukturen greifen immer häufiger auf Cloud Computing zurück", sagte Juraj Somorovsky von der Ruhr-Universität. "Deswegen ist es dringend notwendig, die Sicherheitslücken (...) zu erkennen und dauerhaft zu vermeiden."

Bevor das Forscherteam seine Ergebnisse publik gemacht hatte, hatten es Amazon und den zweiten betroffenen Anbieter Eucalyptos informiert. Gemeinsam mit diesen habe man die Probleme dann beseitigt.