Cloud: Sicherheit von Anfang bis Ende

Die schlechte Nachricht vorweg: Cloud-Nutzer können die eigentlich schon als erledigt betrachtete Diskussionen über die Transportsicherheit, also das Übertragen von Daten zwischen Endgerät und (Cloud)-Server über verschlüsselte Verbindungen, noch nicht ad acta legen. Bis vor kurzem galt das Thema als erledigt, wenn der Cloud-Anbieter SSL/TLS anbot – was quasi alle ernst zu nehmenden Provider tun. Insbesondere der SSL-Nachfolgestandard TLS gilt als hinreichend sicher, die verwendeten kryptografischen Verfahren auch in Zukunft als schwer bis gar nicht zu knacken – Lauscher haben kaum eine Chance.

In seiner Standardausprägung ist TLS aber anfällig für eine ganz und gar nicht technische Attacke: die des Gerichtsbeschlusses. Wie im Zusammenhang mit der inzwischen sehr komplexen Diskussion über die Abhörprogramme der NSA gerüchteweise bekannt wurde, wollte sich der Geheimdienst auf rechtlichem Weg den Master Key von US-Online-Dienste-Anbietern besorgen, die ihre Kommunikation per TLS absichern. Mit diesem Master Key (Private Key des TLS-Zertifikats) lassen sich auf einen Schlag alle bereits aufgezeichneten, aber verschlüsselten Nutzersitzungen entschlüsseln. Denn die Sitzungsschlüssel der Übertragungen wurden lediglich mittels Private Key gesichert.

Mit der Perfect Forward Secrecy (PFS) genannten Technik gibt es ein Mittel, dieses Vorgehen des „heute mitschneiden, morgen entschlüsseln“ auszubremsen – und zwar schon seit 1992. Seinerzeit wurde das Konzept erstmals beschrieben. „PFS macht es einem Angreifer deutlich schwerer, da der Sitzungsschlüssel auf beiden Seiten dynamisch erzeugt wird und nicht über die Leitung geht“, sagt Udo Schneider, Senior Manager PR Communications bei Trend Micro. Client und Server handeln also für jede Session den Key neu aus, wodurch ein späteres Entschlüsseln mittels Master Key unmöglich wird. Einzig eine Brute-Force-Attacke auf jeden einzelnen Session Key würde zum Knack-Erfolg führen.

Schicke Lösung, kaum Verbreitung

Obwohl PFS heute von quasi jedem Browser und allen gängigen Webservern beherrscht wird, findet es in der Praxis kaum Anwendung. Der wahrscheinliche Grund: Perfect Forward Secrecy verlangt den Servern mehr Rechenarbeit ab, was sich insbesondere bei stark frequentierten Diensten faktisch auf die Performance der einzelnen Verbindung auswirken kann. Zwar hat Google bereits im Jahr 2011 den Zugriff auf seine relevanten Onlinedienste per PFS gesichert und auch E-Mail-Anbieter wie United Internet (1&1, Web.de und so weiter) setzen auf die Technik. Darüber hinaus finden sich insbesondere im Umfeld von SaaS-Anbietern aber nur wenige eindeutige Beispiele für PFS. So bietet beispielsweise Microsofts live.com-Dienst PFS, andere Login-Seiten im Azure-Umfeld liefern aber uneinheitliche Antworten. Auch login.salesforce.com oder die Anmeldeseite zu Amazons Webservices (AWS) können mit PFS nichts anfangen.

Cloud-Kunden sollten angesichts der realen Gefahr, trotz TLS von staatlichen oder privaten Stellen belauscht zu werden, ein Gespräch mit ihrem Anbieter suchen und auf den Einsatz von PFS hinarbeiten. Steht die Wahl des Providers noch bevor, sollte PFS ein Punkt sehr weit oben auf der Liste der zu erfüllenden Kriterien sein.

End-to-End-Security anstatt TLS

Die gute Nachricht in diesem Zusammenhang: Selbst wenn der Cloud-Provider PFS auch in Zukunft nicht anbieten mag, kann jeder Kunde das Heft selbst in die Hand nehmen. Und zwar, indem er die in die Cloud ausgelagerten Daten zwischen Endgerät – also PC, Notebook, Smartphone, Tablet und so weiter – und Server des Anbieters selbst verschlüsselt. Selbst wenn also der durch TLS gebotene Schutz ausgehebelt würde, würde ein Lauscher lediglich Datenwirrwarr wahrnehmen.

Genau wie viele andere Experten sieht auch Markus Leberecht, Data Center Solution Architect bei Intel, die Notwendigkeit einer Ende-zu-Ende-Absicherung: „Sicherheit ist keine einspurige Straße, denn Angriffe erstrecken sich mittlerweile auf den gesamten Weg vom Endgerät bis zum Server. Ein Absichern der Transportschicht alleine reicht langfristig nicht mehr aus“, so Leberecht. Auch das Endgerät und das Rechenzentrum sollten auf gleichem Niveau gesichert sein. Denn Angriffe auf Rechenzentren sind laut Leberecht relevant, gerade weil es immer mehr öffentlich zugängliche Dienste gebe, die auf Rechenzentren basierten.

Außerdem gilt es, beim Einsatz von Cloud-Diensten natürlich genau die gleichen Probleme zu kontern wie bei der Arbeit mit Diensten im eigenen Rechenzentrum. Allem voran steht hier sicherlich der Verlust der (mobilen) Endgeräte und damit der auf ihnen gespeicherten Daten. Aber auch ansonsten sollten die hier (Endgerät) wie dort (Server) gespeicherten Daten verschlüsselt werden, um zum Beispiel Datenlecks durch fehlerhafte beziehungsweise bösartige Anwendungen zu verhindern. Insbesondere im Zusammenhang mit Googles Smartphone-Betriebssystem Android ist immer wieder von Apps die Rede, die mittels Administratorenrechten weitflächig Daten auf den Smartphones abschöpfen können.

Viele Wege führen zur sicheren Cloud

So konkret manche Bedrohungssituation, so schwierig ist es für die Fachleute zu sagen, welches nun die beste, gängigste, nutzerfreundlichste oder sicherste Methode ist, um den Umgang mit Cloud-Diensten von Anfang bis Ende abzusichern. Denn zu vielfältig sind die Nutzungsszenarien und Schutzbedürfnisse der einzelnen Anwender. Das wohl gängigste Beispiel für End-to-End-Security ist die E-Mail-Verschlüsselung per PGP oder S/MIME. Der Vergleich zur Kommunikation zwischen Client und SaaS-Anwendung hinkt zwar ein wenig, da bei E-Mail immer zwischen Client und Client, bei SaaS aber zwischen Client und Server verschlüsselt wird. Dennoch ist das Grundprinzip gleich: In beiden Fällen verschlüsselt der Client die Nachricht bereits vor dem Versand und nur der Empfänger kann sie entschlüsseln (den passenden Key beziehungsweise das richtige Zertifikat vorausgesetzt). An der Übermittlung beteiligte Server und Gateways sehen keine Inhalte im Klartext. Nicht erst angesichts von Spionageprogrammen wie Prism & Co. sollten Unternehmen ausschließlich digital signierte und verschlüsselte E-Mails verschicken – ganz egal, ob sie den E-Mail-Server im eigenen Rechenzentrum betreiben oder auf eine gehostete Lösung in der Cloud zugreifen.

Sehr wahrscheinlich haben Cloud-Anwender noch viele weitere Dienste, die über E-Mail hinausgehend geschützt werden müssen. Henrik Davidsson, Director für Sicherheit in der EMEA-Region bei Juniper, macht durch eine Aufzählung deutlich, warum es keinen eindeutigen Ratschlag für Cloud-Anwender geben kann: „Mobile Security, Absichern des Endgeräts, Mobile Device Management, Verschlüsselungstechniken für Dateien oder Datenbanken, Anwendungssicherheit, Rechenzentrumssicherheit, Absichern des Netzwerks, Intrusion Prevention oder auch DDoS-Gegenmittel – all diese Faktoren oder eine beliebige Kombination dieser Faktoren gilt es vor dem Gang in die Cloud zu betrachten, wenn man End-to-End-Security erreichen will“, so Davidsson.

So unterschiedlich die Möglichkeiten und Schutzszenarien auch sein mögen, eines bleibt immer gleich: „Der Anwender muss wissen, was er eigentlich schützen will. Dazu gehört auch, den Kontext zu kennen, in dem Dateien und Daten verwendet werden“, so Thomas Hemker, Security Strategist bei Symantec. De facto wirbt Hemker also für ein längst bekanntes Prinzip namens DLP (Data Leakage Prevention). DLP kam nie so Recht in Schwung, da es dem Kunden viel Arbeit beim Klassifizieren der Daten abverlangt. Dies muss passieren, bevor auch nur ein einziger nicht erlaubter Datentransfer unterbunden werden kann.

Laut Thomas Hemker wird DLP nicht zuletzt aufgrund des Zugriffs auf Cloud-Lösungen langsam besser akzeptiert. Außerdem sind Cloud-Projekte meist auf einen kleinen Teil der Daten eines Unternehmens konzentriert – beispielsweise nur die für ein CRM relevanten Kundendaten oder die für Big-Data-Analysen ausgelagerten Daten –, so dass das Klassifizieren schneller über die Bühne gehe.

Schlüsselmeister verlangt

Und noch etwas ist quasi allen End-to-End-Security-Konzepten gemeinsam: Sie bauen auf den Einsatz von digitalen Schlüsseln – und diese müssen in Unternehmen zentral verwaltet werden. Andernfalls droht die Gefahr, dass ein Mitarbeiter unbeabsichtigt oder absichtlich den Schlüssel vernichtet, mit dem seine Daten verschlüsselt wurden. Ohne Key-Management kann der Arbeitgeber den Klartext nicht wieder herstellen. „Damit Verschlüsselung von den Anwendern akzeptiert wird, muss sie transparent passieren. Kein Nutzer will sich mit den technischen Herausforderungen herumschlagen. Und auch Administratoren sind nicht zwangsläufig Krypto-Experten. Sie müssen also auch komplexe Encryption-Lösungen verwalten können, ohne sich in den Tiefen von Algorithmen und Private Keys zu verlieren“, sagt Thomas Hemker.

Der Vorteil für Cloud-Anwender: Die zum Absichern von Dateien oder E-Mails gängigen Verschlüsselungstechniken sind bereits seit Jahren vorhanden, bewährt und auch Enterprise-tauglich. Von daher gibt es auch hinreichend Management-Lösungen wie Symantecs Encryption Server, die Anwendern und IT-Spezialisten das Leben erleichtern. Kunden müssen also nichts über Kryptographie wissen, sondern lediglich gemeinsam mit einem Dienstleister erfassen, was sie eigentlich schützen wollen.

Verschlüsselung als Business-Bremse

Anhand des leicht nachvollziehbaren Beispiels „E-Mail“ zeigt sich eine der größten Schwächen der Ende-zu-Ende-Sicherheit: Beteiligte Server können mit den Dateien beziehungsweise Nachrichten nichts anfangen. Ein Cloud-basierter Antimalware-Dienst beispielsweise sieht keine an die Nachricht angehängte Malware, wenn diese verschlüsselt ist. Zwar verschickt (noch) kein Cyber-Gauner mit S/MIME gesicherte Spam-Nachrichten. Aber Geschäftspartner können dies durchaus tun. Sei es aus Versehen oder beabsichtigt.

Auch beim Umgang mit Dateien kann die Verschlüsselung derselben die serverseitigen Dienste ausbremsen. Beispielsweise, wenn Bilder oder Videos gesichert beim Cloud-Storage-Anbieter gelagert werden. Dann lassen sich die Inhalte nur lokal nach Download und Entsperren betrachten. Video-Streaming oder eine schnelle Übersicht der Bestände durch Photoalben sind unmöglich, da der Server die Dateien nicht einlesen kann.

„Soll ein Server Daten bearbeiten, wie es beispielsweise bei dynamischem Webcontent oder dem Abarbeiten von SQL-Anfragen notwendig wird, dann muss er auf die Daten zugreifen und sie verstehen können. Dies impliziert, dass die Daten auf dem Server im Klartext zugreifbar sein müssen“, erklärt Udo Schneider von Trend Micro. Hier bliebe dann meist nur der Rückgriff auf die Transportverschlüsselung. Das gleiche gelte, laut Thomas Hemker, für die derzeit so beliebten Analysen von großen Datenmengen (Big Data) in der Cloud. Damit der Datenbankcluster des Cloud-Anbieters die jüngsten Verkaufstrends im gigantischen Datenbestand des Kunden ausmachen kann, müssen die Rohdaten ohne weitere Sicherung in der Datenbank abgelegt werden. Einzig die Datenbank selbst lässt sich auf Dateisystemebene schützen und so beispielsweise gegen Diebe sichern, die Zugriff auf die Festplatte im Rechenzentrum des Cloud-Anbieters haben.

Forscher des renommierten Massachusetts Institute of Technology (MIT) arbeiten derzeit an einem homomorphen Kryptosystem. Damit sollen sich Daten auch in Datenbanken verschlüsselt ablegen und dennoch weiterverarbeiten lassen. In der Praxis schickt der Kunde dem Cloud-Provider die Rohdaten und Analyseanweisungen verschlüsselt zu. Nach dem Abarbeiten des Jobs sendet der Provider die nach wie vor verschlüsselten Resultate zurück. Bis diese Technik aber marktreif wird, werden noch einige Jahre ins Land ziehen. Den Forschern zufolge ist das Verfahren derzeit noch zu rechenintensiv, als dass es sich mit der heute gängigen Hardware sinnvoll abbilden ließe.

Über den Teich oder in Europa bleiben?

Auch schon vor der Diskussion über die NSA-Spähaktionen spielte der Standort des Cloud-Provider-Rechenzentrums eine entscheidende Rolle. Denn wird das RZ in Europa betrieben, genügt dem Kunden ein Vertrag zur Auftragsdatenverarbeitung. Dieser ist heute Standard und wird von allen seriösen Anbietern akzeptiert. Er sichert den Kunden rechtlich gegen Datenlecks, die der Cloud-Anbieter zu verantworten hat. Bei außerhalb Europas betriebenen Data-Centern müssen sich Kunde und Anbieter auf Standardvertragsklauseln einigen, die im Fall einer Datenpanne greifen. Aus juristischer Sicht ist die Auftragsdatenverarbeitung zumeist vorzuziehen, da sie einfacher handhabbar ist.

Da besonders sensible Daten die EU laut deutschem Datenschutzrecht nicht verlassen dürfen, haben die großen Cloud-Anbieter wie Amazon reagiert. Sie erlauben dem Kunden oder Reseller, die Speicherorte zu wählen und so Regionen außerhalb Europas zu vermeiden. Wobei Recht und Technik hier nicht Hand in Hand gehen. Denn natürlich können Datentransfers zwischen einem in Deutschland befindlichen Endgerät und dem in Irland angesiedelten Rechenzentrum dennoch quer über den Erdball laufen – was das Absichern der Transportschicht wiederum relevant macht. (ak) 

it-sa: Treffpunkt der IT-Sicherheitsbranche in Nürnberg

Auf der it-sa, der einzigen Spezialmesse zu IT-Security im deutschsprachigen Raum, präsentieren Anbieter aus allen Bereichen der IT-Security, einschließlich des physischen Schutzes von Rechenzentren, vom 8. bis 10. Oktober 2013 ihre Lösungen und Services.

Zum zweiten Mal findet gleichzeitig als begleitendes Kongressprogramm [email protected] statt – Live-Hacking  inklusive. Zu den Themen zählen unter anderem „Industrielle IT-Sicherheit“, die erste Jahrestagung der IT-Sicherheitsbeauftragten der Länder und Kommunen und „IT-Security im interaktiven Handel“.

Im Zeichen von Industrie 4.0 stehen die Themen rund um industrielle IT-Sicherheit, bei dem über integrierte Managementsysteme, Herausforderungen für die IT-Sicherheit im laufenden Produktionsbetrieb und ganzheitliche IT-Security-Ansätze informiert wird. An die IT-Sicherheitsbeauftragten in Behörden und Verwaltung richtet sich die erste Jahrestagung der IT-Sicherheitsbeauftragten der Länder und Kommunen.

Messebesucher, die sich zum sicheren Betrieb eines Data-Centers informieren wollen, können dies außer auf der Sonderfläche „Das perfekte Rechenzentrum – Planung, Bau und Technik“ auch beim BITKOM-Anwenderforum „Rechenzentren und IT-Systeme – Sicherheit, Betrieb und Prozesse“ tun.