Securityscan der eigenen Wolke – Nextcloud

Der Sinn einer eigenen Cloud besteht – neben dem unkomplizierten Zugriff – wohl v. a. darin, seine privaten Daten sicher vor unbefugtem Zugriff aufzubewahren. Aber neben der Sicherheit der Cloudsoftware an sich, spielt auch der dahinter stehende Server eine große Rolle. Um dieses Thema zu sensibilisieren, haben die Macher von Nextcloud ein Tool entwickelt, dass einen Securityscan an der entsprechenden URL durchführt – den Nextcloud Private Cloud Security Scanner vor.

In einem ausführlichen Blogbeitrag wird das wie und warum dieses Tools erläutert. Einige gute Argumente für die Überprüfung der Sicherheit werden im Text genannt. So hat 2016 Dropbox die Daten von 68 Millionen Konten verloren, E-Mail-Adressen und Passwörter. Ebenfalls Ende 2016 gab Yahoo! bekannt, dass bei Hackerangriffen die Daten von 1 Milliarde Kunden gestohlen wurden. Hier kommt hinzu, dass Yahoo! diese Tatsache 3 Jahre lang geheim hielt, ihre Kunden als nicht informierten und sie in Unwissenheit ließen! Und mit dieser „Taktik“ des Verschweigens steht Yahoo! durchaus nicht allein da.

Nextcloud versucht hier neue Wege zu gehen. Statt Sicherheitsrisiken zu verheimlichen geht man in die Offensive und prämiert (mit 5.000 USD) „Sicherheitsforscher“ für das Aufdecken von Sicherheitslücken in der eigenen Software. Mir bisher von keiner anderen Softwareschmiede bekannt …

Durch die Einführung des integrierten Updaters in Nextcloud wird realisiert, dass zeitnah Patches für erkannte Sicherheitslücken eingespielt werden können. Um sicherzustellen, dass nicht nur Nextcloud selbst, sondern auch die Server auf denen die Cloud installiert ist, wurde nun das o.a. Tool entwickelt und zur „allgemeinen Nutzung“ im Internet bereit gestellt.

Der Test ist simpel durchführbar:

  • Aufruf des Links
  • Eintrag der URL zur eigenen Cloud
  • Ergebnis des Scans abwarten

Das Ergebnis des Tests meiner Instanz war vorher klar – Nextcloud nicht gefunden (da mein privater Server lediglich über VPN mit IPsec erreichbar ist).

Ergebnis des Nextcloud Securityscan
Nextcloud nicht erreichbar

 

Als Aussicht auf Nextcloud 12 wird im Artikel verkündet, dass ab dieser Version keine Deaktivierung von Apps mehr stattfinden wird. Und weiter:

Unser oberstes Ziel ist es, Updates so nahtlos zu machen, dass sie vollautomatisch ohne Administratorbeteiligung oder Ausfallzeiten durchgeführt werden können. In diesem Moment haben wir dies auf der Nextcloud Box erreicht, mit der Canonical Snap-Technologie, die Updates vollständig automatisiert. Sie können mehr darüber in diesem Whitepaper lesen.

Wir planen auch den Sicherheits-Scan zu verbessern. Ab heute können Sie es verwenden, um Ihren eigenen Server zu scannen und zu sehen, was der Sicherheitszustand ist, und wir haben bereits andere Open Source Private Cloud Projekte eingeladen, um mit uns zu arbeiten und es möglich zu machen, ihre Software auch zu scannen. OwnCloud hat durch die Erstellung eines eigenen Scans reagiert .

Ok. Google-Übersetzung, aber ich denke doch verständlich ausgedrückt, so dass ich mir eine „Eindeutschung“ ersparen kann …

Ich denke die Jungs von Nextcloud sind auf einem guten Weg und die Fokussierung auf die Sicherheit der im „Wildfire“ existierenden Installationen ist dringend notwendig. Ich befürchte nur ein wenig, dass sich das irgendwann auf meine persönliche Installation auswirken wird, weil keine Unterscheidung zwischen der Art und Weise der Installation – hier frei erreichbarer Webserver und da VPN – stattfindet …