Aktuelles
22. Juni 2014

FAM-Serie Cyber Security: Sicheres Cloud Computing

Die Cloud und die damit verbundenen Dienstleistungen gehören zu den größten Technik-Versprechen der letzten Jahre. Dennoch bleibt das Thema für viele Unternehmer nach wie vor kaum greifbar – auch wenn die Vorteile der Nutzung von Cloud-Diensten auf der Hand liegen. Vor allem die Sorge um sicherheitskritische Unternehmensdaten hemmt viele Entscheider, die Cloud zu nutzen. Gastautor Dr. Niels Fallenbeck, Cloud-Experte vom Fraunhofer AISEC zeigt, auf was Unternehmen achten müssen.

In der Folge der aktuellen Spionage-Diskussionen hat die Verunsicherung zugenommen, Fragen nach und Zweifel an der Sicherheit werden lauter. Fachmedien werfen gar die Frage nach dem Ende der Cloud Services auf. Hier sollte man differenzieren. Denn Cloud ist nicht gleich Cloud. So muss beispielsweise zwischen der Private Cloud, die nur einem bestimmten Nutzerkreis, zum Beispiel Angehörigen der gleichen Firma, offensteht, und der Public Cloud unterschieden werden, die von allen Interessenten verwendet werden kann. Der Großteil der Anwender, die sich im Internet bewegen, nutzt bewusst oder unbewusst bereits Cloud-Dienste, etwa um ihr Smartphone und ihren Computer zu synchronisieren. Es gibt bereits eine kaum überschaubare Anzahl von Cloud-Angeboten – beginnend bei der Bereitstellung von Server-Ressourcen bis hin zu Textverarbeitungsprogrammen oder CRM-Suiten, die Anwender heute per Mausklick aus dem Internet beziehen können.

Die Bedrohungslage

Durch die öffentliche Erreichbarkeit der Cloud Services sowie dem Betrieb der Cloud-Infrastruktur durch Dritte existieren zahlreiche Angriffsmöglichkeiten und Gefahren. Die Cloud Security Alliance (CSA) hat die aus ihrer Sicht sieben wichtigsten Gefahren bei der Nutzung von (Public) Cloud Computing beschrieben:

Missbrauch und schädliche Nutzung von Cloud Computing: Begünstigt durch Eigenschaften von Cloud Infrastrukturen (u.a. die schnelle und einfache Verfügbarkeit neuer Ressourcen mit sehr guter Netzanbindung) ist die Nutzung von Cloud-Ressourcen für Angreifer sehr interessant, um beispielsweise sogenannte Denial-of-Service (DoS)-Angriffe durchzuführen oder Schadsoftware einzuschleusen.
Unsichere Schnittstellen und APIs: Cloud-Services und die von den Anbietern bereitgestellten Verwaltungs- und Programmierschnittstellen sind bei Public Cloud-Angeboten über das Internet erreichbar und können daher leicht angegriffen werden. Schwachstellen in diesen Schnittstellen können ausgenutzt werden, um unrechtmäßigen Zugriff auf Kundendaten zu erhalten oder die dem Anwender zugeordneten Ressourcen missbräuchlich zu verwenden.
Böswillige Insider: Sicherheitsmaßnahmen der Software sind oft wirkungslos, wenn der Angreifer Zugriff auf die Infrastruktur des Cloud Anbieters hat. Dies ist besonders bei böswilligen Insidern der Fall, also Mitarbeitern des Cloud Anbieters, die sich Zugriff auf Kundendaten verschaffen.
Risiken aufgrund von Technologien, die mit anderen Cloud Nutzern geteilt werden: Eine weitere Eigenschaft von Cloud Computing ist das Teilen von IT-Ressourcen. Dies bedeutet, dass gleiche Hardware und Software von allen Anwendern der Cloud Services verwendet werden. Dabei können sich z.B. Probleme bei der zuverlässigen Trennung der Nutzerdaten ergeben.
Datenverlust und Kompromittierung der Daten: Bei der Verwendung von Cloud Services müssen besonders hohe Anforderungen an die Datensicherheit gestellt werden. Der Grund: Viele unter Umständen nicht vertrauenswürdige Anwender nutzen gleichzeitig die Cloud Infrastruktur. Vergangene Probleme bei Cloud Providern zeigen immer wieder, dass es auch durch technische Probleme zu Datenverlusten oder Vertraulichkeitsverletzungen kommen kann.
Diebstahl von Benutzerkonten oder Cloud Diensten: Um die Nutzung von Cloud Diensten einfach zu ermöglichen, setzen viele Cloud Anbieter auf einen einfachen und schnellen Anmeldeprozess. Gelingt einem Angreifer, die Zugangsdaten eines Kundenkontos zu erlangen, kann er mit den Rechten dieses Kunden auf Daten zugreifen, Ressourcen missbräuchlich verwenden und Schaden anrichten.
Unbekannte (neue) Risiken: Um die Risiken von Cloud Services abzuschätzen, müssen potentielle Anwender die Sicherheitsvorkehrungen und Maßnahmen der Anbieter analysieren und in die eigene Betrachtung miteinbeziehen. Wird eine solche Risikoanalyse nicht durchgeführt oder deckt sie nicht alle wichtigen Faktoren ab bzw. kann sie gar nicht erst durchgeführt werden, weil der Cloud Provider die benötigten Informationen nicht bereitstellt, bleibt ein nicht einschätzbares Risiko bestehen.

Anforderungen an Cloud Infrastrukturen

Eine wichtige Anforderung an eine Cloud-Infrastruktur sind eine solide Sicherheitsarchitektur sowie eine sichere Mandantentrennung auf allen Infrastrukturebenen (Netzwerk, Plattform, Anwendung, Daten). Zudem sollte darauf geachtet werden, dass der Cloud-Anbieter nach einem definierten Vorgehensmodell für das Management von IT-Prozessen (z.B. ITIL) arbeitet, um die vielen Aufgaben wie Patch-, Konfigurations-, Änderungs-, System- und Application-Management des Sicherheitsmanagements strukturiert anzugehen. Als Absicherung der Cloud gegen Störungen und Notfälle muss ein Notfallmanagement existieren. Zertifizierungen (z.B. ISO 27001) signalisieren dem Anwender, dass der Cloud-Anbieter solche Prozesse etabliert hat und umsetzt.

Cloud Nutzer sollten den Unternehmenshauptsitz des Cloud-Anbieters kennen und berücksichtigen. Viele bekannte Anbieter haben ihren Unternehmenshauptsitz in den USA. Sie unterliegen damit den dort geltenden Gesetzen wie dem Patriot Act, der US-Behörden Zugriff auf die Daten der Anwender erlaubt, ohne dass die Eigentümer der Daten darüber informiert werden. Die Frage nach der Nutzung von Cloud Services und der Auslagerung von IT-Diensten in die Cloud muss in erster Linie aus der Perspektive der Beherrschbarkeit mit den damit verbundenen Risiken betrachtet werden. Abhängig vom Einsatzszenario ergeben sich unterschiedliche Sicherheitsanforderungen. (Siehe dazu zum Beispiel das BSI-Eckpunktepapier: „Sicherheitsempfehlungen für Cloud-Computing-Anbieter – Mindestanforderungen in der Informationssicherheit“;2012.)

Die sichere Nutzung

Folgende Maßnahmen sollte ein Anwender im Vorfeld oder zu Beginn der Nutzung von Cloud Services durchführen:

Schutzniveau der Daten definieren: Bei der Erzeugung oder beim Transfer von Daten in die Cloud sollte der Anwender seine Daten klassifizieren (z.B. Sicherheitslevel „niedrig“ bis „sehr hoch“), ihren Schutzbedarf analysieren und damit festlegen, welche Daten bei einem Cloud Anbieter auf welche Weise gespeichert und übertragen werden dürfen.
Sichere Speicherung der Daten in der Cloud: Bei der Speicherung der Daten spielt die Verschlüsselung eine zentrale Rolle. Bei allen Vorteilen durch eine Verschlüsselung ist die Verwaltung der Schlüssel eine Herausforderung, die allein dem Cloud Anwender zufällt. Ein Verlust von Schlüsseln bedeutet gleichzeitig den Verlust verschlüsselter Daten, eine Kompromittierung der Schlüssel bedeutet eine Gefährdung der Sicherheit der Daten. Dies bedeutet, dass der Schlüsselverwaltung besonderes Augenmerk geschenkt werden muss.
Sicherer Transfer der Daten in die Cloud: Neben der sicheren, isolierten Aufbewahrung der Daten spielt der sichere Transport der Daten vom Kunden in die Cloud und zwischen den Cloud Rechenzentren eine wichtige Rolle. Daten sollten nur über verschlüsselte Kanäle in die Cloud übertragen werden.
Sichere Datenverarbeitung: Bei der Datenverarbeitung ist es besonders wichtig, alle Zugriffe und alle Aktivitäten z.B. in den Speicherdiensten und Cloud Anwendungen zu überwachen sowie zu protokollieren, um Angriffe zu erkennen. Außerdem spielen Portabilität und Interoperabilität eine wichtige Rolle, um die Gefahren der zwangsweisen Bindung an einen Anbieter aufgrund fehlender Daten-Export-Schnittstellen oder wegen unüblicher Export-Datenformate zu minimieren. Um einen Lock-In-Effekt zu vermeiden, müssen Vereinbarungen mit dem Cloud Anbieter getroffen werden, damit die in der Cloud gespeicherten Daten in einem Standardformat zur Verfügung gestellt werden , z.B., falls der Anwender den Cloud-Provider wechseln möchte.
Sicherer Zugang zu den Cloud-Diensten: Nicht nur die Daten selbst, sondern auch Zugangsdaten für Cloud Dienste oder eigene Anwendungen müssen geschützt werden. Zugangsdaten sollten nur verschlüsselt übertragen und regelmäßig geändert werden. Dabei sollten starke Authentifizierungsmechanismen wie eine Zwei-Faktor-Authentifizierung verwendet werden.
Sichere Datenarchivierung: Die Datenarchivierung sollte verschlüsselt vorgenommen werden. Dabei müssen Mechanismen eingesetzt werden, die Suche und Extraktion von Daten zur Erfüllung regulatorischer Vorgaben und forensischer Untersuchungen jederzeit ermöglichen.
Sichere Datenlöschung/-vernichtung: Die dauerhafte Löschung der Daten in der Cloud ist sehr wichtig, egal ob dies durch gesetzliche Vorgaben vorgeschrieben ist oder bei dem Wechsel des Cloud Anbieters nötig wird. Da ein Cloud Anwender oft keinen Zugriff auf das Backup durch den Cloud Provider hat, bietet sich – sofern der Cloud Service dies ermöglicht – an, Daten nur verschlüsselt in der Cloud zu speichern und beim Löschvorgang den entsprechenden Schlüssel zu vernichten. Damit ist eine Entschlüsselung der Daten ausgeschlossen.

Den Vorteilen der Nutzung von Cloud Computing (Skalierbarkeit, Elastizität, nutzungsabhängige Bezahlung, …) stehen einige Herausforderungen gegenüber, mit denen sich ein Anwender vorab beschäftigen muss. Der Anwender muss überlegen, wie ihn Cloud-Dienste unterstützen können, und welche Daten er in der Cloud verarbeiten möchte bzw. kann. Neben diesen und den anderen oben angesprochenen Punkten muss sich der Anwender bewusst sein, dass auch Cloud Computing-Systeme zeitweise nicht erreichbar sein können und geeignete Strategien für Ausfallzeiten entwickeln. Nichtsdestotrotz kann die Nutzung von Cloud-Infrastrukturen das Sicherheitsniveau von Anwendern, die wenig Wissen im Bereich Cyber-Sicherheit und der sicheren Administration der eigenen Server besitzen, sogar verbessern, da Cloud-Anbieter spezialisierte IT-Security-Mitarbeiter beschäftigen, die über aktuelle Angriffe frühzeitig informiert sind, die kritische Schwachstellen erkennen oder bei Angriffen wissen, was zu tun ist.

Ein neues Info-Video zum Thema Cyber-Sicherheit finden Unternehmen unten. Das Video zeigt eine einfache Möglichkeit, unabhängig von der Sicherheit von Cloud-Mail-Diensten vertrauliche Informationen sicher zu versenden. Weitere Informationen gibt es unter www.comcode.de.

Fraunhofer AISEC

Das Fraunhofer AISEC unterstützt Firmen aus dem Industrie- und Dienstleistungssektor sowie Behörden bei der Absicherung ihrer Systeme, Infrastrukturen, Produkte und Angebote. Für seine Kunden entwickelt das Fraunhofer AISEC qualitativ hochwertige Sicherheits-Technologien zur Erhöhung der Verlässlichkeit, Vertrauenswürdigkeit und Manipulationssicherheit von IT-basierten Systemen und Produkten. Dr. Niels Fallenbeck ist Projektleiter „Cloud Security“ am Fraunhofer AISEC.