Amazon Web Services nimmt Sicherheit sehr ernst und untersucht alle gemeldeten Schwachstellen. Auf dieser Seite wird unser Umgang mit potenziellen Schwachstellen in allen Aspekten unserer Cloud-Services beschrieben.

  • Amazon.com – Falls Sie eine Frage zur Sicherheit der Website Amazon.com, von Seller Central, Amazon Payments oder ein anderes damit zusammenhängendes Problem haben, z. B. verdächtige Bestellungen, ungültige Kreditkartenbelastungen, verdächtige E-Mails, oder eine Schwachstelle melden möchten, senden Sie eine E-Mail an security@amazon.com.
  • Amazon Web Services (AWS) – Falls Sie eine Schwachstelle melden möchten oder eine Frage zur Sicherheit von AWS-Cloud-Services wie EC2, S3, CloudFront, RDS usw. haben, senden Sie eine E-Mail an aws-security@amazon.com. Wenn Sie Ihre E-Mail schützen möchten, können Sie PGP verwenden. Unseren Schlüssel finden Sie hier.

    Falls Sie vermuten, dass AWS-Ressourcen (z. B. eine EC2-Instance oder ein S3-Bucket) für verdächtige Aktivitäten genutzt werden, können Sie dies dem AWS Abuse Team hier melden.

Damit wir ggf. wirkungsvoller auf Ihre Meldung reagieren können, stellen Sie bitte sämtliche hilfreichen Informationen bereit (Code von Machbarkeitsstudien, Ausgaben von Tools usw.), mit deren Hilfe wir Typ und Schweregrad der Schwachstelle bestimmen können.

Informationen, die Sie im Rahmen dieses Prozesses an AWS weitergeben, werden innerhalb von AWS vertraulich behandelt. Die Informationen werden nicht ohne Ihre Zustimmung an andere weitergegeben.

AWS prüft den eingereichten Bericht und weist ihm eine Referenznummer zu. Anschließend antworten wir Ihnen, bestätigen den Eingang des Berichts und legen die nächsten Schritte im Prozess dar.

Nach Eingang des Berichts macht sich AWS an die Prüfung der gemeldeten Schwachstelle. Falls weitere Informationen bei der Bestätigung oder Reproduktion des Problems benötigt werden, wendet sich AWS zwecks Unterstützung an Sie. Nach Abschluss der Untersuchung erhalten Sie die Ergebnisse, zu denen ein Plan zur Behebung gehört. Außerdem erfolgt die öffentliche Bekanntgabe.

Hier einige Hinweise zum AWS-Analyseprozess:

  • Produkte anderer Anbieter. Zahlreiche Anbieter bieten Produkte in der AWS-Cloud an. Wenn sich herausstellt, dass die Schwachstelle ein Produkt eines anderen Anbieters beeinträchtigt, informiert AWS den Hersteller der betroffenen Software. AWS sorgt anschließend weiter für die Koordination zwischen Ihnen und dem anderen Anbieter. Ihre Identität wird diesem Anbieter nur mit Ihrer Erlaubnis preisgegeben.
  • Bestätigung von Nichtschwachstellen. Wenn das Problem nicht bestätigt werden kann oder kein Fehler in einem AWS-Produkt ist, erhalten Sie eine Mitteilung.
  • Einstufung von Schwachstellen. AWS nutzt Version 2.0 des Common Vulnerability Scoring System (CVSS), um potenzielle Schwachstellen zu analysieren. Anhand des Ergebnisses kann der Schweregrad des Problems bestimmt und unsere Reaktion mit Prioritäten versehen werden. Weitere Informationen zu CVSS finden Sie in der Ankündigung zu CVSS-SIG.

AWS hat sich verpflichtet, schnell zu antworten und Sie über unsere Fortschritte bei der Untersuchung bzw. Behebung Ihres gemeldeten Sicherheitsproblems laufend zu informieren. Innerhalb von 24 Stunden erhalten Sie eine nicht automatisierte Antwort auf Ihre erste Kontaktanfrage, in der der Empfang Ihrer gemeldeten Schwachstelle bestätigt wird. Mindestens alle fünf Geschäftstage erhalten Sie eine Statusaktualisierung.

Sofern zutreffend, koordiniert AWS die öffentliche Bekanntgabe einer bestätigten Schwachstelle mit Ihnen. Wir ziehen es vor, dass unsere jeweiligen öffentlichen Bekanntgaben nach Möglichkeit gleichzeitig veröffentlicht werden.

Zum Schutz unserer Kunden bittet AWS Sie, keine Informationen zu einer potenziellen Schwachstelle zu veröffentlichen, bis wir die gemeldete Schwachstelle untersucht, darauf reagiert, uns ihrer angenommen und Kunden bei Bedarf informiert haben. Außerdem bitten wir Sie höflich, keine Daten zu veröffentlichen oder mit anderen zu teilen, die unseren Kunden gehören. Die Beseitigung einer bestätigten gemeldeten Schwachstelle braucht Zeit. Die Dauer hängt vom Schweregrad der Schwachstelle und den betroffenen Systemen ab.

Öffentliche Bekanntgaben von AWS erfolgen in Form von Sicherheitsberichten, die im AWS-Sicherheitszentrum veröffentlicht werden. Einzelpersonen, Unternehmen und Sicherheitsteams veröffentlichen ihre Ratschläge zumeist auf ihren eigenen Websites oder in anderen Foren. Sofern relevant, fügen wir in AWS-Sicherheitsberichten Links zu den Ressourcen von Dritten hinzu.