Sicherheitsaspekte des Cloud Computing - Jan Heitmann
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Sicherheitsaspekte
des Cloud Computing
Jan Heitmann Jan-Hendrik Schlieckmann
44343 44520
Wintersemester 2014
Abgabe: Juni 2014
Hochschule für Technik und Wirtschaft Aalen
Fakultät Elektronik und Informatik
Semainararbeit
Prof. Dr. Christoph Karg
Inhaltsverzeichnis
1 Einleitung 1
1.1 Cloud Computing Allgemein . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2 Cloud-Servicemodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2.1 IaaS - Infrastructure as a Service . . . . . . . . . . . . . . . . . . . . . . 2
1.2.2 PaaS - Plattform as a Service . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.3 SaaS - Software as a Service . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3 Bereitstellungsmodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.1 Private Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.2 Public Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.3.3 Community Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.3.4 Hybrid Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.4 Aktueller Standpunkt aus der Wirtschaft . . . . . . . . . . . . . . . . . . . . . . 5
1.4.1 Cloud Computing in Unternehmen . . . . . . . . . . . . . . . . . . . . . 5
1.4.2 Auswirkungen der NSA-Affäre . . . . . . . . . . . . . . . . . . . . . . . . 6
2 Kriterien zur Bewertung von Cloud Services 7
2.1 Flexibilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.1 Interoperabilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
2.1.2 Portabilität . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2 Kosten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2.1 Preismodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.2.2 Dienstabrechnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3 Leistungsumfang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3.1 Skalierbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.3.2 IT Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.4 IT-Sicherheit und Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4.1 Sicherheitsarchitektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.4.2 Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.5 Ausfallsicherheit und Vertrauenswürdigkeit . . . . . . . . . . . . . . . . . . . . . 11
2.5.1 Dienstversprechen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.5.2 Zuverlässigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.5.3 Vertrauenswürdigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
3 Risiken 12
3.1 Möglichkeiten der Manipulation . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.2 Rechtssituation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.2.1 FISA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2.2 Der USA PATRIOT Act . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
3.2.3 Safe Harbor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.2.4 German Cloud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
3.3 Beispiele für Datenschutzrichtlinien diverser Cloud-Lösungen . . . . . . . . . . . 15
3.3.1 Dropbox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.3.2 Numbrs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
4 Lösungsansätze 18
4.1 Audits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
4.1.1 Auszüge aus dem Eckpunktepapier des BSI . . . . . . . . . . . . . . . . . 20
4.2 Verschlüsselung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 Fazit 22 Abbildungsverzeichnis 24 Literaturverzeichnis 25
1 Einleitung
1.1 Cloud Computing Allgemein
Die grundlegende Idee hinter Cloud Computing ist es, klassische Produkte zu
Webservices umzuwandeln. Cloud Computing ist dabei kein fester Produktbegriff, sondern
umfasst unterschiedliche Computing-Aspekte, wie Netzwerkinfrastruktur, Software und
Datenspeicherung. All diese Produkte werden als Service angeboten, bei dem man am
Ende nur das bezahlt, was man tatsächlich nutzt. Die Daten des Nutzers werden extern
gespeichert und sind über das Internet zugänglich. Der Serviceanbieter verwaltet die gesamte
Infrastruktur und/oder Software des Nutzers, damit dieser Zeit hat, um sich vollständig auf
seine Kernaufgaben und Prozesse konzentrieren zu können. Für den Begriff Cloud Computing
existiert keine einheitliche Definition. Oft wird allerdings die Definition des National Institute
of Standards and Technology (NIST) verwendet. Das NIST definiert Cloud Computing wie
folgt:
”Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über
ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server,
Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem
Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden
können.”[15]
Weiterhin charakterisiert das NIST folgende wesentliche Eigenschaften für einen Cloud
Service[15]:
Diensterbringung auf Anforderung: Die Provisionierung der Ressourcen (z.B.
Rechenleistung oder Storage) läuft automatisch ohne Interaktion mit dem Service
Provider ab.
Netzwerkbasierter Zugang: Die Services sind mit Standard-Mechanismen über das Netz
verfügbar und nicht an einen bestimmten Client gebunden.
Resourcen Pooling: Die Ressourcen des Anbieters liegen in einem Pool vor, aus dem sich
viele Anwender bedienen können. Dabei wissen die Anwender nicht, wo die Ressourcen
sich befinden, sie können aber vertraglich den Speicherort, also z. B. Region, Land oder
Rechenzentrum, festlegen.
Schnelle Elastizität: Die Services können schnell und elastisch zur Verfügung gestellt werden,
in manchen Fällen auch automatisch. Aus Anwendersicht scheinen die Ressourcen daher
unendlich zu sein.
Messbare Dienstqualität: Die Ressourcennutzung kann gemessen und überwacht werden
und entsprechend bemessen auch den Cloud-Anwendern zur Verfügung gestellt werden.
11.2 Cloud-Servicemodelle
Cloud-Anbieter verfolgen ein dienstleistungsbasiertes Geschäftsmodell. Da bereitgestellte IT-
Ressourcen unterschiedlicher Art flexibel und dienstbasiert genutzt werden, spricht man auch
oft von Everything as a Service(EaaS). Hierbei werden drei Klassen (siehe Abbildung 1) von
Cloud-Diensten unterschieden. Diese sind nach der Art der IT-Ressource benannt, die vom
Cloud-Anbieter bereitgestellt und verwaltet wird.[5]
Abbildung 1: Servicemodelle [5]
1.2.1 IaaS - Infrastructure as a Service
Infrastructure as a Service (IaaS) ist im Cloud Computing die Bereitstellung von virtualisierter
IT-Infrastruktur über öffentliche oder private Netzwerke, meist über das Internet. Beim IaaS
nutzt ein Kunde Server, Storage, Netzwerk und die übrige Rechenzentrums-Infrastruktur als
abstrakten, virtualisierten Service über das Internet. Die Abrechnung der bereitgestellten IaaS-
Leistungen erfolgt typischerweise nutzungsabhängig. Gleichwohl behalten Nutzer die Kontrolle
über Betriebssystem und Anwendungen. Das IaaS-Modell ermöglicht es Anwendern, den
Umfang der Infrastruktur-Nutzung nach Bedarf - in der Regel über ein Selbstbedienungsportal
- anzupassen, also zu erweitern oder zu verringern. IaaS-Angebote stellen üblicherweise
Rechen-, Speicher- und Netzwerkinfrastruktur (Firewalls, Load-Balancer etc.) zur Verfügung.
2Typischerweise erfolgt die Bereitstellung mittels virtueller Maschinen, für deren Inhalte
(Software) der Nutzer selbst verantwortlich ist.
IaaS ähnelt daher dem traditionellen Hosting: Unternehmen nutzen die Hostumgebung als
logische Erweiterung des firmeninternen Datencenters, müssen ihre Server dort jedoch genauso
wie firmeninterne Server warten. Im Gegensatz zu dieser selbstverantwortichen Wartung im
Rahmen des IaaS stellt das oft damit verwechselte Konzept des ”Platform as a Service” (PaaS)
die Anwender von jeglichen Wartungsarbeiten frei - und schafft damit den Freiraum für die
eigentliche Entwicklungsarbeit.[11]
1.2.2 PaaS - Plattform as a Service
Platform as a Service (PaaS) ist ein Cloud-Computing-Modell, bei dem neben Hardwareservices
und Betriebssystemen als Basisinfrastruktur auch höherwertige Dienste aus der Cloud geliefert
werden. Der Service liefert dabei die Anwendungsinfrastruktur in Form von technischen
Frameworks (Datenbanken und Middleware) oder die gesamte Entwicklungsplattform. PaaS
erlaubt Ihnen, benutzerdefinierte Anwendungen als Dienste zu erstellen und auszuführen. Die
zugrunde liegende Infrastruktur (Rechner, VMs, Storage und Netzwerk) befindet sich dabei
hinter Services und Schnittstellen für Entwickler versteckt, damit sich diese voll und ganz auf die
Anwendungsentwicklung konzentrieren können. Mit der technischen Umsetzung dieser Services
müssen sich Benutzer nicht befassen. PaaS-Angebote erleichtern Entwicklung, Erprobung,
Einführung und laufende Wartung von Anwendungen, ohne dass Anschaffungskosten für
Infrastruktur und Software-Umgebungen fällig werden. Ein Beispiel ist die Microsoft Windows
Azure-Plattform.[11]
1.2.3 SaaS - Software as a Service
Software as a Service (SaaS) bedeutet fertige Anwendungen über das Internet zu beziehen.
Dabei werden Infrastrukturressourcen und Anwendungen zu einem Gesamtbündel kombiniert.
Der Anwendungsservice wird nach Bedarf abgenommen und entsprechend bezahlt, lässt sich
aber jederzeit im Umfang erweitern oder verringern, wenn das erforderlich ist. SaaS ist derzeit
die häufigste Form von Cloud Computing und hat viele Vorteile. Der Hauptvorteil liegt in
der Flexibilität der Software. Updates und Add-Ons können im Backend eingespielt werden,
ohne dass der Front-End-User bei seiner Arbeit beeinträchtigt wird. Ein weiterer Vorteil ist die
Kompatibilität: Wenn mehrere Mitarbeiter zusammenarbeiten, dann besitzt jeder die gleiche
Version der Software, an der gearbeitet wird. Auch der Kundenservice kann viel leichter
Probleme analysieren und beheben, wenn alle die gleiche Software-Version besitzen. Bekannte
Beispiele für SaaS sind die Microsoft Office Web Apps oder Google Mail/Google Docs. [11]
31.3 Bereitstellungsmodelle
Im Folgenden nun eine Übersicht der Bereitstellungsmodelle von Cloud Computing (siehe
Abbildung 2).
Abbildung 2: Bereitstellungsmodelle [16]
1.3.1 Private Cloud
In einer Private Cloud wird die Cloud-Infrastruktur nur für eine Institution selbst
kontrolliert und betrieben. Die Dienste in der Private Cloud werden üblicherweise an
die Geschäftsprozesse des Unternehmens angepasst. Ausschließlich autorisierte Nutzer -
Mitarbeiter, Geschäftspartner, Kunden und Lieferanten - greifen auf die Dienste via Intranet
oder über ein Virtual Private Network zu.[11]
1.3.2 Public Cloud
Public Cloud bezeichnet eine IT-Umgebung, die von einem IT-Dienstleister betrieben wird.
Die Anwender (Privatpersonen und Unternehmen) greifen via Internet auf die Ressourcen
zu und teilen sich eine virtualisierte Infrastruktur. Eigene Ressourcen benötigen sie nicht,
stattdessen abonnieren sie die in der Public Cloud verfügbaren Services. Die Public Cloud
stellt eine Auswahl von Geschäftsprozess-, Anwendungs- und/oder Infrastrukturservices auf
einer variablen, nutzungsabhängigen Basis bereit.[11]
41.3.3 Community Cloud
In einer Community Cloud werden die Cloud-Infrastrukturen von mehreren Institutionen
oder Nutzergruppen - z.B. im Kontext eines Projekts - mit identischen Anforderungen geteilt.
Diese sind jedoch nicht öffentlich verfügbar, sondern beschränken sich auf einen definierten
Nutzerkreis. Eine Community Cloud kann von einer der beteiligten Institutionen oder einem
Dritten(Cloud-Anbieter) betrieben werden.
1.3.4 Hybrid Cloud
Hybrid Cloud bezeichnet eine Mischform aus Private Cloud, Public Cloud und traditioneller
IT-Umgebung. Gerade in Unternehmen werden die bestehenden Anforderungen meist nicht
durch eine einzelne IT-Form optimal erfüllt. In Hybrid Clouds lassen sich die Nutzungsanteile
von Private Cloud, Public Cloud und traditioneller IT-Umgebung flexibel kombinieren.[11]
1.4 Aktueller Standpunkt aus der Wirtschaft
Anhand einer von der Bitkom Research GmbH erstellten Studie, lässt sich feststellen, dass
die Cloud-Nutzung in Unternehmen weiterhin wächst. Jedoch führen die Ausspähmaßnahmen
staatlicher Geheimdienste zu einer Verunsicherung und Zurückhaltung bei (potenziellen)
Cloud-Nutzern. Dadurch ist auf absehbarer Zeit eine noch stärkere Berücksichtigung von IT-
Sicherheits- und Datenschutzaspekten im Cloud Computing zu erwarten. Weiterhin wird das
Cloud-Computing eine zunehmende Bedeutung durch die Integration von anderen Markttrends
wie etwas Big Data haben. [9]
1.4.1 Cloud Computing in Unternehmen
Viele Unternehmen wagen den ersten Schritt in die Cloud-Welt mit einer Private Cloud. Circa
33% der Unternehmen haben Private Cloud-Lösungen im Einsatz. Hingegen nutzen nur 15%
eine Public Cloud.
Abbildung 3: Generelle Einstellung zum Thema Cloud-Computing [9]
5Wie in Abbildung 3 zu sehen ist, steigt das Interesse an Cloud-Computing stetig und hielt
sich 2013 erstmals in Waage mit den Skeptikern. Jedoch bleibt der Anteil der Skeptiker
mit rund 39 Prozent nahezu unverändert und ist sicherlich durch das Bekanntwerden der
Ausspähmaßnahmen staatlicher Geheimdienste zu erklären.
Das Interesse an Cloud-Computing insbesondere Firmen mit Mitarbeitern bis 2000 Mitarbeitern
sowie bei größeren mittelständischen Unternehmen ist ein weiterer positiver Trend. Der
Mittelstand ist gegenüber dem Thema deutlich aufgeschlossener als noch vor einem Jahr.
In Bereich von 500 bis 1999 Mitarbeiter sank die Anzahl der Skeptiker um 20 Prozent zum
Vorjahr(2013: 25%, 2012: 45%) und stellt nun mit Abstand die Unternehmenskategorie mit
dem geringsten Anteil der Skeptiker dar.[9]
1.4.2 Auswirkungen der NSA-Affäre
Die Themen Datenschutz und Datensicherheit sind aufgrund der Abhörpraktiken staatlicher
Geheimdienste noch stärker ins Bewusstsein der deutschen Unternehmen gerückt. Die NSA-
Affäre hat die Meinung vieler Firmen zum Thema Cloud-Computing negativ beeinflusst. Zudem
hat das Vertrauen in die Cloud-Anbieter sehr gelitten.
Jedes zweite Unternehmen der Befragung hat Konsequenzen aus der Debatte um
die Datenzugriffe durch die Geheimdienste gezogen. Dabei wurden vor allem die
Sicherheitsanforderungen an IT- und Telekommunikationsdienstleister deutlich erhöht. Rund
11% der bestehenden Cloud-Projekte in Unternehmen wurden aufgegeben.
Die Anforderungen an Cloud-Dienstleister haben sich im Zuge der NSA-Ausspähaffäre
verändert. Insbesondere die Standortpräferenzen sind wesentlich ausgeprägter als zuvor. Cloud-
Provider mit Hauptsitz in der EU beziehungsweise Deutschland sowie entsprechend vor Ort
ansässigen Rechenzentren sind demnach klar im Vorteil. Über 60% der befragten Unternehmen
befürworten sogar eine nationale Cloud.[9]
Abbildung 4: Konsequenzen aus der NSA-Affäre [9]
Wie in Abbildung 4 zu sehen ist, hat die Hälfte der Unternehmen mit konkreten Maßnahmen
auf die NSA-Affäre reagiert. Hierbei wurden die Sicherheitsanforderungen zum Beispiel durch
6Zertifizierungen oder spezielle Service Level Agreements erhöht. Rund jedes vierte Unternehmen
hat konkret geplante Cloud-Projekte zurückgestellt und/oder bestehende Cloud-Lösungen
aufgegeben.
Diese Ergebnisse lassen vermuten, dass die NSA-Affäre zumindestens kurz- bis mittelfristig eine
schwere Last für die weitere Entwicklung des Cloud-Markts in Deutschland darstellt.
2 Kriterien zur Bewertung von Cloud Services
In diesem Kapitel werden nun einige Kriterien zur Bewertung von Cloud Services aufgezeigt.
Flexibilität, Kosten, Leistungsumfang, IT-Sicherheit und Compliance sowie Ausfallsicherheit
und Vertrauenswürdigkeit sind die Oberkategorien, welche jeweils in weitere Unterkategorien
aufgebrochen werden. Diese Kriterien dienen dazu einen Überblick zu bekommen, was bei
einem Cloud Service alles zu beachten ist und wie vielseitig eine Bewertung vorgenommen
werden. Weiterhin zeigt es auch wie sich einige Kriterien gegenseitig im Weg stehen bzw. das
die Sicherheit eines Cloud Services viele Punkte abdecken muss ohne dabei den Cloud Service
zu behindern.
2.1 Flexibilität
Im Rahmen des Cloud Computing erfolgt eine Flexibilisierung und Standardisierung der IT
im Unternehmen. IT-Ressourcen können bedarfsorientiert und flexibel skaliert werden. Die
Bereitstellung erfolgt im Vergleich zum klassischen IT-Outsourcing kurzfristig und mit geringer
Vertragsbindung an den Anbieter. Damit Unternehmen die Flexibilitätsvorteile aus der Cloud
nutzen könnnen, muss zudem ein Datentransfer sowohl in als auch aus der Cloud möglich
sein. Zusätzlich sind eine hohe Portabilität und die Interoperabilität mit anderen Diensten
wichtig.[14]
2.1.1 Interoperabilität
Unter Interoperabilität wird die Fähigkeit zur offenen Zusammenarbeit verstanden. Hierbei
steht der Austausch von Daten und Informationen zwischen nutzenden Organisationen und
Anbietern im Vordergrund. Die Offenheit des Systems wird daran gemessen, wie einfach eine
Kommunikation mit fremden Diensten oder Plattformen möglich ist.
Die Interoperabilität lässt sich anhand der zur Verfügung gestellten Schnittstellen und
Standards, der Serviceorientierung oder der Dienst-Transparenz bewerten. Standards und
Schnittstellen können hierbei Einsatz von Endgeräten oder Betriebssystemen beeinflussen.
Die Serviceorietierung schafft die Voraussetzung für Cloud-Anbieter, verteilte und lose
gekoppelte Dienste zu nutzen und die Applikationsinfrastruktur so zu gestalten, dass eine
Skalierbarkeit möglich wird. Die Dienst-Transparenz ist ein weiteres Kriterium zur Bewertung
7der Interoperabilität, da in der Regel ein Angebot über eine Webseite ausgesucht wird und der
Kunde nicht die Möglichkeit hat sich ausführlich persönlich beraten zu lassen.[14]
2.1.2 Portabilität
Die Portabilität beschreibt den Grad der Plattformunabhängigkeit. Ein Dienst im Cloud
Computing setzt eine Laufzeitumgebung voraus, wo er lauffähig betrieben werden kann. Hierbei
gewährleistet die Portabilität einen plattformübergreifenden Betrieb sowie den Dienst- oder
Datentransfer zu anderen Plattformen. Ein Unternehmen, das einen Dienst austauschen möchte,
ist darauf angewiesen, dass die Daten von einem Dienst exportiert und idealerweise von einem
anderen Dienst ohne großen Aufwand importiert werden können. Hierbei kann es zu hohen
Lock-in Effekten und ggf. hohen Wechselkosten kommen.[14]
2.2 Kosten
IT-Abteilungen stehen unter einem stetigen Kosten- und Effizienzdruck. Infolgedessen werden
häufig einzelne Funktionen oder ganze IT-Infrastrukturen ausgelagert. Die Anbieterauswahl
im Cloud Computing findet in vielen Fällen unter der Prämisse statt, Kosten einzusparen.
Unternehmen, die Cloud Dienste beziehen, profitieren in erster Linie von einer geringen
Kapitalbindung und einer transparenten Kostenübersicht. Hierbei bleiben den Kunden hohe
Anschaffungskosten in Form benötigter Server, Lizenzen oder Stellflächen erspart und die
Komplexität des IT-Betriebs wird reduziert. Des Weiteren ist die Abrechnungsart von
Bedeutung, die im Cloud Computing bedarfsorientiert nach Zeit, Volumen oder Nutzer-Konten
durchgeführt wird.[14]
2.2.1 Preismodell
Das Preismodell eines Cloud-Anbieters stellt sämtliche Informationen zu den Preisen eines
Dienstes, z.B. die Preisstabilität und bereitgestellte Preisvarianten, dar. Hierbei ist auf die
Preis-Transparenz, Preis-Granularität und die Preis-Stabilität zu achten. Die Transparenz gibt
Auskunft über die Verständlichkeit und den Detailgrad der verfügbaren Informationen über die
Preise. Die Granularität zeigt die Preisvielfalt des Cloud-Dienstes und das Spektrum zwischen
den günstigsten und teuersten Diensten. Die Stabilität macht die Schwankungen und Trends zu
Preiserhöhungen erkennbar und ist durch sehr kurze Vertragslaufzeiten im Cloud Computing
besonders wichtig.[14]
82.2.2 Dienstabrechnung
Die Dienstabrechnung umfasst die Art der Abrechnung eines Cloud-Dienstes. In diesem
Zusammenhang unterscheidet man zwischen nutzungsabhängiger (tatsächlich genutzte IT-
Ressourcen) und nutzungsunabhängiger (Nutzungszeit einer Dienstleistung) Abrechnung.
Weiterhin wird die Buchungsperiode bzw. die Häufigkeit der Abrechnung berücksichtigt.[14]
2.3 Leistungsumfang
Bei der Auswahl eines Cloud Services kann es wichtig sein den Leistungsumfang
zu bewerten. Um einen Dienst entsprechend der benötigten Funktionalitäten und
Anforderungen auszuwählen, gilt es Merkmale hinsichtlich der Performanz (Latenzzeiten oder
Transaktionsgeschwindigkeit), der Kapazitätsgrenzen (z.B. maximale Anzahl von Accounts
oder Speicherplatz), der Servicekomplexität (wie viele Funktionen werden angeboten) und
des Individualisierungsgrades (wie weit lässt sich der Service anpassen) zu berücksichtigen.
Der Leistungsumfang umfasst im Wesentlichen die Dienstfunktionalität und typische Cloud-
Merkmale, wie z.B. Skalierbarkeit.[14]
2.3.1 Skalierbarkeit
Die Skalierbarkeit wird maßgeblich durch die Diensteelastizität erfasst. Diese beschreibt in
welchem Umfang sich Ressourcen abbestellen und hinzubuchen lassen. Zudem ermöglicht
die Elastizität erst die flexible Nutzung von IT-Ressourcen und Diensten. Begrenzt
wird die Elastizität durch eine obere (maximale Nutzerzahl, Anzahl virtueller Instanzen,
maximaler Speicherplatz) und eine untere Grenze (minimale Leistungskonfiguration einer
virtuellen Instanz, Nutzergruppe mit Standard-Funktionen). Zusätzlich werden Kapazitäten
und Limitierungen des Kommunikationsweges (z.B. maximal verfügbare Bandbreite oder das
maximale Transfervolumen) berücksichtigt.[14]
2.3.2 IT Infrastruktur
Die IT-Infrastruktur eines Anbieters ist in der Regel nur bei IaaS Diensten wichtig, da
hier Informationen inwieweit eine Ressourcenverteilung mit anderen Kunden stattfindet
und zum anderen die eindeutige Identifikation der gebuchten Ressourcen (z.B. virtuelle
Instanz, Speicherplatz) vermittelt werden. Je stärker die Ressourcen hierbei separiert
werden, desto höher ist die Abgrenzung zu anderen Nutzern und dementsprechend geringer
die Wechselwirkungen insbesondere bei einer Überlastung von Ressourcen oder bei einer
Gefährdung der Datensicherheit.[14]
92.4 IT-Sicherheit und Compliance
Die Entscheidung bei der Anbieterauswahl wird häufig von Anforderungen des Unternehmens in
den Bereichen Sicherheit, Compliance und Datenschutz beeinflusst. Unternehmen wollen oder
müssen sichergehen, dass ihre Daten und Anwendungen auch bei einem Cloud-Anbieter sowohl
die erforderlichen Compliance-Richtlinien erfüllen, als auch ausreichend vor unberechtigten
Zugriffen geschützt sind. Aus diesem Grund existieren viele Bemühungen das Cloud Computing
sicher und vertrauenswürdig zu machen. Das BSI (BSI-Mindestsicherheitsanforderungen an
Cloud Computing Anbieter), der EuroCloud Deutschland eco e.V. (Leitfaden Cloud Computing
- Recht, Datenschutz & Compliance), die Cloud Security Alliance (Security Guidance for
Critical Areas of Focus in Cloud Computing), der Gesellschaft für Informatik e.V. (10 Thesen zu
Sicherheit und Datenschutz in Cloud Computing), European Network and Information Security
Agency (ENISA) (Cloud Computing - Benefits, risks and recommendations for information
security) und andere Institutionen haben diesbezüglich diversere Sicherheitsleitfäden und
Anforderungskataloge veröffentlicht. Dabei beziehen sich die Entscheidungskriterien fast
ausschließlich auf den Anbieter selbst und weniger auf den einzelnen Dienst.[14]
2.4.1 Sicherheitsarchitektur
Relevante Kriterien der Sicherheitsarchtiktur sind die physische Rechenzentrumsabsicherung,
die Kommunikationssicherheit und der Dienstzugriff. Dabei müssen der geschützte und
störungsfreie Betrieb von komplexen IT-Infrastrukturen, der Schutz von Gebäudekomponenten
und Räumlichkeiten sichergestellt werden. Weiterhin gehören die Nutzung gängiger
Verschlüsselungsprotokolle und die Überwachung der Sicherheit in Netzwerken dazu. Zusätzlich
sind für den Dienstzugriff eine funktionierende Rollen- und Rechteverwaltung zu gewährleisten,
um unerlaubte Zugriffe zu unterbinden. Da hierzu größtenteils dienstunabhängige Merkmale
beschrieben werden, erlauben diese dem Kunden einen Anbieter hinsichtlich etablierter
Sicherheitsmaßnahmen zu bewerten.[14]
2.4.2 Compliance
Im Vergleich zum klassischen IT-Outsourcing werden beim Cloud Computing die Daten
über weltweit verteilte Systeme transferiert, gespeichert und kopiert. Im Cloud Computing
ist es für den Kunden schwer über Zustand und Aufenthaltsort der Daten Auskunft geben
zu können. Es entsteht ein Informations- und Kontrollverlust über den Datenbestand,
wodurch eine Compliance-gerechte Integration im Unternehmen erschwert wird. Die
Transparenz des Datenstandorts ist bei vielen Cloud-Anbietern nicht gegeben. Für viele
Unternehmen ist es jedoch erforderlich den Datenstandort zu kennen, um Daten konform
zum Bundendatenschutzgesetz zu speichern und zu verarbeiten. Ebenfalls sollte man sich
zuvor über die Datenlöschung informieren, denn Cloud-Anbieter pflegen aufgrund einer
redundanten und möglichst sicheren Datenhaltung mehrere Kopien von Datenbeständen. Um
die Informationssicherheit zu gewährleisten werden die Datenbestände verschlüsselt und eine
10datenschutzkonforme Datenverarbeitung und -speicherung vorgenommen.[14]
2.5 Ausfallsicherheit und Vertrauenswürdigkeit
Eine große Hürde bei der Cloud-Adoption ist das Fehlen von Vertrauen und Transparenz
zu Cloud Computing. Das Vertrauen ist dabei eng mit der Transparenz gekoppelt. Im
Vergleich zum IT-Outsourcing stehen dem Kunden beim Cloud Computing zwar standartisierte
Dienste zur Verfügung, diese sind aber nicht zwingend transparent, z.B. bei der Datenhaltung
oder definierten Leistungszusagen. Fehlende Transparenz erschwert zudem das Bewerten von
Angeboten und die Entscheidungsfindung. Weiterhin gehören die Leistungsversprechen des
Anbieters, bspw. in Form von SLAs, und die Indikatoren für die Zuverlässigkeit, die die
Wahrscheinlichkeit abbilden mit der diese Leistungsversprechen eingehalten werden, dazu.
Zusätzlich wird die Vertrauenswürdigkeit eines Anbieters u.a. durch ein funktionierendes
Notfallmanagement, redundante Standorte und etablierte Zertifizierungen positiv beeinflusst.
Einen ebenso positiven Einfluss hat die Transparenz des Anbieters allgemein, wie z.B. Angaben
über Bestandskunden und Erfahrungen im Geschäftsfeld.[14]
2.5.1 Dienstversprechen
Ein wichtiges Entscheidungskriterium für den Kunden sind die Leistungszusagen des Anbieters.
Dabei sind Qualitätsversprechen(Verfügbarkeit oder die Latenzzeit eines Dienstes) und
Haftungsmechanismen zu berücksichtigen.[14]
2.5.2 Zuverlässigkeit
Die Zuverlässigkeit eines Anbieters beschreibt mit welcher Wahrscheinlichkeit
Leistungsversprechen eingehalten werden können bzw. anhand welcher Indikatoren sich
die Einhaltung der Leistungszusagen prognostizieren lassen. Hierfür ist es für den Kunden
sinnvoll die Redundanz der Anbieter-Infrastruktur, etwaige Wechselwirkung mit anderen
Partnern, die Möglichkeit einer Offline-Nutzung oder ein bestehendes Notfallmanagement in
die Entscheidungsfindung einzubeziehen.[14]
2.5.3 Vertrauenswürdigkeit
Eine große Hürde bei der Anbieterauswahl ist das Fehlen von Vertrauen ins Cloud Computing.
Insbesondere die Entscheidung einen Cloud-Dienst zu nutzen wird vom Vertrauen zum Anbieter
beeinflusst. Hierbei sind die Reputation, Transparenz und unabhängige Zertifizierungen
entscheidende Kriterien.[14]
113 Risiken
Trotz gesicherter Kommunikationswege und Verschlüsselungsverfahren kann man heutzutage
nicht automatisch davon ausgehen, dass Daten in Cloud-Speichern auch sicher verwahrt werden
oder auch verwahrt werden können durch den Wunsch der Kunden diese auch online zu
bearbeiten (SaaS). Es existieren zahlreiche Möglichkeiten Daten abzufangen, die für staatlicher
Behörden sogar legitim sind.
3.1 Möglichkeiten der Manipulation
Insbesondere die NSA und der britische Geheimdienst GCHQ (Government Communications
Headquarters) haben großes Interesse an Kunden und Clouddaten und sind für ihre Hingabe
zur Wirtschaftsspionage bekannt. Vor allem große Unternehmen stehen im Fokus.
Ziele sind unter anderem E-Mails, Banking, sowie medizinische Daten. Dabei fokussieren
sich das NSA-Projekt Bullrun“ und das GCHQ-Projekt Edgehill“ hauptsächlich auf
” ”
SSL/TLS- (Secure Socket Layer/Transport Layer Security), VPN-Verbindungen (Virtual
Private Network), VoIP (Voice over IP) und mobile 4G-Netze.
Eine gängige Methode zum Abfangen von Daten ist der Zugang an End- und Zwischenpunkten
der Verschlüsselungsstrecken, auf denen die Daten noch nicht oder nicht mehr verschlüsselt
sind. Dazu zählt nicht nur das Einbrechen in Zielserver und Ausgangsnetze, sondern auch das
Installieren von Weichen an Knotenpunkten und Hubs der Telekommunikations-Provider.
Dabei verhandelt die NSA auch mit Herstellern, um Backdoors oder Trapdoors bereits ab Werk
in Verschlüsselungssoft- und Hardware einzubauen.
So ist z.B. bekannt, dass Microsoft in Absprache mit der NSA den E-Mail-Dienst Outlook.com
manipuliert hat.
Der GCHQ hingegen hat z.B. Wege gefunden den verschlüsselten Datenverkehr von Hotmail,
Google, Yahoo und Facebook mitzuschneiden.
Weitere Methoden sind auch das Einbauen von Schwachstellen in der Implementierung der
jeweiligen Sicherheitsalgorithmen oder das nachträgliche Entschlüsseln gesammelter Daten
durch Brute Force Attacken.
Bei SSL/TLS kann der Nutzer grundsätzlich von einer starken Verschlüsselung der
Datenübertragung ausgehen. Jedoch muss der Browser ein Zertifikat ungeprüft akzeptieren,
wenn er nicht rechtzeigtig Meldung von der CA- (Certificate Authority) Stelle bekommt, was
es dem Angreifer ermöglicht an genau diesem Punkt einzugreifen, wenn er die Validierung des
Zertifikats unterbindet. Durch eine sogenannte Man-in-the-Middle-Attack kann dem Client ein
manipuliertes, bereits abgelaufenes Zertifikat untergeschoben werden.
Seit Mitte Juni 2013 ist auch bekannt, dass US-Behörden in Zusammenarbeit mit der NSA
Druck auf Internetdienstanbieter ausüben zur Herausgabe des privaten SSL-Schlüssels, des
sog. Master Encryption Key“. Mit Hilfe dieses Schlüssels ist man in der Lage auch zuvor
”
abgefangene Daten nachträglich zu entschlüsseln. [10]
12Durch das Ablegen von Schadprogrammen in der Cloud kann es, bei unzureichender
Netzsicherheit, möglich sein über diese Spam zu versenden, Rechenleistung anzuzapfen,
Passwörter durch Brute-Force-Attacken zu knacken oder in diesen Schadprogrammen
Command and Control Server (C&C Server) zur Steuerung von Bots zu verstecken.
Cloud Plattformen sind zudem ein beliebtes Angriffsziel bei der Ausführung von Distributed
Denial of Service-Attacken (DDoS), auf Grund der Konzentration der Ressourcen in
Rechenzentren.
Die Abwehr solcher Schadprogramme und DDoS-Attacken wird im Kapitel Auszüge aus dem
Eckpunktepapier des BSI unter dem Aspekt der Netzsicherheit behandelt.
Im Bezug auf Datensicherheit kann durch unzureichend gesicherte Webanwendungen mittels
SQL-Injection z.B. auf Kundendaten anderer Kunden zugegriffen werden, was unter gar keinen
Umständen möglich sein sollte. Auch hierfür sollten entsprechende Maßnahmen getroffen
werden, die im Kapitel Auszüge aus dem Eckpunktepapier des BSI erläutert werden. [2]
3.2 Rechtssituation
Die Sicherheit von Cloud-Lösungen ist nicht allein von der Infrastruktur oder den Mühen und
Maßnahmen bzw. Technologien der Unternehmen abhängig. Auch rechtliche Aspekte spielen
hier eine wichtige Rolle, insbesondere in den Vereinigten Staaten wie sich am Beispiel der
ehemaligen US-Firma Lavabit“ verdeutlichen lässt.
”
Lavabit wurde per Foreign-Intelligence-Surveillance-Act-Anordnung (FISA) zur Preisgabe der
Kommunikationsdaten der Kunden gezwungen.
Darüber hinaus wurde Lavabit diesbezüglich auch zur Verschwiegenheit über derartige Intrigen
der US-Behörden verpflichtet. [7]
Firmen, die mit sicheren Online-Diensten und Cloud-Lösungen werben, (im Fall von Lavabit:
Anbieter kryptografisch gesicherter E-Mails), gehen dabei zu Grunde.
In den Vereinigten Staaten ist es schwer einen privaten Cloud-Dienst zu betreiben ohne zu
geheimen Abhörmaßnahmen gezwungen zu werden. Auch ein Verlagern der Server ins Ausland,
die EU beispielweise, bzw. der Betrieb auf Nicht-US-Servern, schützt die Firmen nicht, solange
sich der Firmensitz oder eine kooperierende Gesellschaft in den Vereinigten Staaten befindet.
In der EU wird aktuell die Verträglichkeit der Auslagerung öffentlicher Daten in die Cloud“
”
[7] erörtert. Dabei soll unter anderem konkretisiert werden, wie widerrechtliche Zugriffe auf
Daten erkannt und auch gerichtsfest dokumentiert werden können.
Ein großes Problem sind die Transparenz und Schwächen bei der Zuweisung der
Verantwortlichkeiten, da beim Cloud-Computing Nutzer, Cloud-Anbieter und -Dienstleister,
sowie weitere Infrastrukturpartner zusammenarbeiten müssen.
Momentan ist es zudem legitim Daten an Drittstaaten innerhalb der EU weiterzugeben, genauso
wie Anbieter innerhalb der EU dazu verpflichtet sind über Speicherfristen von Daten Auskunft
zu geben. Solche Gesetze müssten für einen funktionierenden und sicheren Cloud-Dienst jedoch
zu dessen Gunsten geändert werden.
13In Deutschland ist es schwer beispielsweise einen sicheren E-Mail Service zu betreiben, da
sich die Verschlüsselung im Allgemeinen nur auf die sichere Übertragung bezieht. Um Mails
beim Anbieter auf Malware überprüfen zu können, müssen siese nach der verschlüsselten
Übertragung wieder im Klartext vorliegen. Es wird also keine Ende-zu-Ende-Verschlüsselung
genutzt. Außerdem gelten beim Senden von E-Mails über die Landesgrenzen hinaus wiederum
die Gesetze der entsprechenden Staaten.
Ähnlich verhält es sich beim Nutzen von Cloud-Services. Meist will der Nutzer die Daten online
einsehen und auch abändern können, wie es bei SaaS der Fall ist und Anbieter wie z.B. OneDrive
und Dropbox die Möglichkeit dazu bieten. Hier ist eine Ende-zu-Ende-Verschlüsselung nicht
möglich, da die Daten zur Bearbeitung auf dem Server im Klartext vorliegen müssen.
3.2.1 FISA
Das Foreign Intelligence Surveillance Act (FISA, frei übersetzt Gesetz zum Abhören in der
”
Auslandsaufklärung“) ist ein Gesetz, welches die Auslandsaufklärug und Spionageabwehr der
Vereinigten Staaten regelt.
Es umfasst nicht nur die elektronische Überwachung, vielmehr auch die Durchsuchung von
Wohnungen und Personen. Hierfür wurde ein extra Gericht geschaffen, was ausschließlich über
FISA-Fälle im Inland berät.
Im Ausland bedarf es keiner Genehmigung einer Überwachung, dies wird durch die
Nachrichtendienste selbst geregelt. [18]
3.2.2 Der USA PATRIOT Act
Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept
”
and Obstruct Terrorism Act“ (frei übersetzt Gesetz zur Stärkung und Einigung Amerikas
”
durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren“)
Der Patriot Act ist ein US-amerikanisches Bundesgesetz, was unmittelbar nach den
Terroranschlägen am 11. September 2001 vom US-Kongress verabschiedet wurde.
Grob gesagt, soll es die Ermittlungen der Bundesbehörden im Falle terroristischer Aktivitäten
vereinfachen. Dazu zählen z.B. dass Abhörmaßnahmen ohne richterliche Anordnung vonstatten
gehen dürfen und Telefongesellschaften und Internetprovider ihre Daten offenlegen müssen.
Auch Hausdurchsuchungen dürfen ohne das Wissen der Betroffenen durchgeführt werden,
ebenso wie das FBI die Einsicht in finanzielle Daten von Bankkunden hat, ohne jegliche Beweise
für ein vorliegendes Verbrechen. Der Auslandsgeheimdienst CIA (Central Intelligence Agency)
darf in einem solchen Falle sogar im Inland agieren, (er unterliegt, im Gegensatz zum FBI,
keinen öffentlichen Kontrollen).
Dabei wird nicht nur der Zugriff auf US-Server gestattet, sondern auch auf Tochterunternehmen
im Ausland. Zudem wird befürchtet, dass der Patriot Act zur Wirtschaftsspionage missbraucht
wird.[20]
143.2.3 Safe Harbor
Safe Harbor ist eine Entscheidung der Europäischen Kommission, die es EU-Unternehmen
ermöglicht personenbezogene Daten an die Vereinigten Staaten zu übermitteln. Da es in
den Vereinigten Staaten jedoch andere Datenschutzrichtlinien gibt, müssen US-Unternehmen
dem Safe-Habor-Abkommen beitreten und sich dazu verpflichten gewisse Grundsätze der
EU einzuhalten. Zu den beigetretenen Unternehmen zählen z.B. IBM, Microsoft, Google,
Amazon.com, HP, Dropbox und Facebook. Ein ähnliches Abkommen existiert auch zwischen
den Vereinigten Staaten und der Schweiz. [19]
3.2.4 German Cloud
Jeder, der einem Kunden einen Vertrag nach deutschem Recht, im Klagefall einen deutschen
Gerichtstand, und eine deutsche Support-Hotline bietet, kann Mitglied der Vereinigung werden.
Technische Details, in Anspruch genommene Dienste und Infrastrukturen, spielen dabei keine
Rolle. Deutsche Anbieter mit Firmensitz in Deutschland sind nach deutschem Recht für die
Datensicherheit verantwortlich (vgl. USA).
Viele Firmen beschränken auf freiwilliger Basis die Datenverarbeitung und -haltung auf
deutsche Rechenzentren, zum Teil sogar auf deren Eigene.
Doch selbst mit deutschem Unternehmensstand und deutscher Infrastruktur sind Unternehmen
nicht sicher vor US-Behörden.
Insbesondere große, international agierende Telekommunikationsunternehmen stehen im Fokus.
Bestes Beispiel hierfür ist die Deutsche Telekom. Sie beruft sich auf den Patriot Act um
Kunden den deutschen Provider reizvoll zu machen. Da auch US-Bürger sich vor einem
Datenklau schützen wollen und von den Mögichkeiten, die der Patriot Act US-Behörden bietet,
nicht begeistert sind, wechslen immer mehr zu deutschen Anbietern. Den US-Behörden und
-Unternehmen gefällt das natürlich nicht, zumal dadurch Schäden in Milliardenhöhe entstehen
können.
3.3 Beispiele für Datenschutzrichtlinien diverser Cloud-Lösungen
Natürlich gibt es sichere Cloud-Lösungen und weniger sichere bis gar unsichere. Dies liegt jedoch
nicht nur an den zum Einsatz kommenden Verschlüsselungsverfahren, sondern auch am Dienst
selbst. Oftmals genügt ein Blick in die Datenschutzbestimmungen, um zu entscheiden, ob der
Dienst den eigenen Anforderungen entspricht.
153.3.1 Dropbox
Einer der wohl bekanntesten und weitverbreitetsten Cloud-Lösungen bei Privatkunden
ist sicherlich Dropbox. Doch kaum einer hat sich je mit den Datenschutzrichtlinien
auseinandergesetzt.
Welche Daten werden eigentlich von Dropbox gespeichert?
Dropbox sammelt Namen, E-Mail-Adresse, Telefonnummern, Zahlungsinformationen und
Postanschrift und verknüpft diese mit dem Konto.
Für verwendete Dienste (z.B. Dropbox-App) werden neben dem Speichern, Verarbeiten und
Übertragen der Daten auch damit verbundene Informationen, wie Standortmarkierungen
übermittelt.
Für die Nutzung werden Informationen über die Geräte, die genutzt werden, gespeichert.
Dazu zählen IP-Adressen, Browser und die Webseite, die besucht wurde bevor dropbox.com
aufgerufen wurde.
Wem stellt Dropbox die Daten zur Verfügung?
Unter anderem Vertragsunternehmen von Dropbox, die dabei helfen sollen Dienste anzubieten,
zu verbessern, zu schützen und zu bewerben. Welche Unternehmen dies aber im Einzelnen sind
wird nicht genannt.
Außerdem können auch andere Nutzer denen Daten freigegeben werden Namen und E-Mail-
Adresse einsehen.
Bei Dropbox für Unternehmen kann der jeweilige Administrator alle Daten des jeweiligen
Nutzers einsehen.
Aufbewahrung der Daten
Dropbox speichert die Daten solange der Dienst genutzt wird. Beim Löschen des Kontos werden
auch die Daten gelöscht, allerdings heißt es auch: [...] Zwischen dem Löschen von unseren
”
Servern und dem aus unserem Sicherungsspeicher kann etwas Zeit vergehen.“ Wieviel Zeit
allerdings vergeht, wird nicht genannt.
Letztendlich verweist Dropbox auch auf die Safe Harbor-Vereinbarung.
Über zum Einsatz kommende Verschlüsselungen der Kommunikationswege gibt Dropbox jedoch
keine Auskunft und beruht sich auf das Prinzip von Security by Obscurity. Der Kunde ist sich
also nicht sicher wie seine Daten übertragen werden und ob sie verschlüsselt in der Cloud liegen,
was jedoch auf Grund der Möglichkeit der Bearbeitung der Daten in der Cloud nicht der Fall
sein wird.
Auch auf fragwürdigen Stellen und Lücken in den Datenschutzrichtlinien wird nicht näher
eingegangen, wie z.B. die Vertragspartner von Dropbox, die Speicherung der Sicherungsdaten
oder wozu überhaupt Standortmarkierungen und zuletzt besuchte Webseiten benötigt werden.
[6]
163.3.2 Numbrs
Die meisten Menschen denken bei Cloud-Lösungen größtenteils an Online-Speicher, wie z.B.
Dropbox und sind der Ansicht keine sensiblen oder wichtigen Daten zu speichern. Doch nicht
nur private Dokumente und Kundendaten werden in Clouds gespeichert, sondern auch sensible,
für die Cloud eher weniger geeignete Daten, wie z.B. Kontodaten werden hier abgelegt.
Seit diesem Jahr ist der TV-Spot der Numbers“-App weit verbreitet und fast jedem ist
”
diese App ein Begriff. Doch wie verhalten sich Entwickler einer solchen App, die nebenbei
keinerlei Werbung einblendet und gar kostenlos ist, bezüglich des Datenschutzes? Ein Blick in
die Datenschutzerklärung klärt auf. [13]
Der Datenverkehr selber ist verschlüsselt mittels TLS 1.2 mit 2048-Bit SSL. Die Daten werden
anonymisiert, verschlüsselt und tokenisiert an unseren Server gesendet“, wie es wörtlich in den
”
Datenschutzbestimmungen steht. Zum Einsatz kommen ausschließlich deutsche Rechenzentren,
die allesamt ISO 27001 zertifiziert sind. (Eine Erläuterung zu ISO 27001 findet sich im Kapitel
Audits)
Auch, dass die Daten vom Smartphone gelöscht werden nach einem Logout ist positiv.
Allerdings speichert Numbrs darüber hinaus auch alle Kontobewegungen ab, was für den
eigentlichen Nutzen der App unnötig wäre. In den Datenschutzbestimmungen heißt es dazu:
[...] dass Numbrs auf Grundlage der Vergangenheitsdaten eine Zukunftsprognose erstellt.“
”
Numbrs wirbt also damit Zukunftsprognosen für Transaktionen zu erstellen, was aber auch für
gezielte Werbezwecke missbraucht werden könnte.
Das Speichern der PIN ist optional, wobei davon grundsätzlich abzuraten ist, trotz
Verschlüsselung.
Ob der App vertraut wird muss der Nutzer selbst entscheiden. Trotz gut gesicherter
Kommunikationswege gibt es dennoch viel Misstrauen, nicht nur wegen unnötig gespeicherter
Daten, sondern auch wegen dem allgemeinen Unwohlbefinden der Speicherung von Kontodaten
in der Cloud, wie sich auch den App-Bewertungen entnehmen lässt. [12]
174 Lösungsansätze
Im Folgenden sollen Lösungsansätze erläutert werden, die einen sichereren Umgang mit Cloud-
Lösungen versprechen oder dabei helfen Cloud-Lösungen sicherer zu machen.
Eine Möglichkeit, die immer wieder empfohlen wird, ist die Nutzung ausschließlich German
Cloud zertifizierter Cloud-Lösungen, was wir im oberen Abschnitt jedoch mehr oder weniger
relativiert haben, da Gesetzmäßigkeiten dennoch die Weitergabe unserer Daten auf die ein oder
andere Weise legitimieren.
Nutzer von Cloud-Lösungen sollten sich vor der Registrierung und Nutzung diverser Lösungen
mit den Datenschutzbestimmungen auseinandersetzen und den Dienst genau unter die Lupe
nehmen.
Monika Ermert, freie Journalistin, schlägt dazu in einem Artikel der iX 10/2013 10 Leitfragen
vor, die dabei helfen sollen: [7]
1. In welchem Land stehen für das Cloud-Computing genutzte Rechenzentren?
2. In welchen Staaten ist der Cloud-Betreiber selbst bzw. eine Tochter- oder
Muttergesellschaft geschäftlich aktiv?
3. Wo ist der Firmensitz des Anbieters?
4. Wo ist der Gerichtsstand?
5. Teilt der Cloud-Betreiber dem Kunden mit, wenn es einen Zugriff von Behörden auf die
Daten gab oder gibt?
6. Wird offengelegt, ob und wenn ja welche Drittanbieter für den Dienst in Anspruch
genommen werden?
7. Inwiefern wird über Verstöße der Drittanbieter gegen deutsches Datenschutzrecht
informiert?
8. Erhält man als Kunde eine vollständige, aktuelle und detaillierte Liste der für den Cloud-
Service eingesetzten Hard- und Software?
9. Werden alle Verträge nach deutschem Recht geschlossen?
10. Wie hoch ist die Konventionalstrafe bei einem Verstoß gegen deutsches Datenschutzrecht
oder die vereinbarten Vertraulichkeitsbestimmungen?
Desweiteren gibt es Möglichkeiten IT-Systeme und speziell auch Cloud-Lösungen auf deren
Integrität und Sicherheitsstandards zu überprüfen, wie im Folgenden z.B. Audits eine Lösung
dafür bereitstellen.
184.1 Audits
Als Audit (lateinisch audire, hören [. . . ]) werden allgemein Untersuchungsverfahren bezeichnet,
”
die dazu dienen, Prozesse hinsichtlich der Erfüllung von Anforderungen und Richtlinien zu
bewerten. Dies erfolgt häufig im Rahmen eines Qualitätsmanagements.“ [. . . ][17]
In Bezug auf Cloud-Computing gibt es Anregungen, unter anderem durch das Bundesamt
für Sicherheit in der Informationssicherheit (BSI), wie ein solches Audit aussehen kann. Der
Vorteil eines solchen Audits ist die Bewertung der Wirksamkeit der internen Kontrolle und
der Sicherheit des Cloud-Anbieters, ohne dass dieser interne Informationen an seine Kunden
weitergeben muss.
Für solche Audits gibt es mehrere Verfahren, vom reinen Untersuchen und Begutachten
gegebener Unterlagen, bis hin zur Vor-Ort-Begutachtung mittels Stichproben. [2]
Um Defizite im Unternehmen und Schwächen der Schnittstellen zum Cloud-Service-Anbieter
aufzudecken, kann es hilfreich sein sich eine Untersuchung der unternehmenseigenen Prozesse
zu unterziehen. Dabei werden Anforderungen an Unternehmensrichtlinien überprüft, sowie
unternehmens- und branchenspezifische Risikostrategien bewertet, in Bezug auf die Cloud.
Risikostrategien sind diejenigen, die das Verhältnis von Chancen und Risiken in einem
Unternehmen, einer Brache festlegen und bestimmen welche maximalen Risiken eingegangen
werden dürfen.[1]
Außerdem werden der Schutzbedarf der Informationen und die Relevanz einzelner Prozesse bei
einem solchen Verfahren ermittelt.
Auch ein Prüfen der reinen Dienstleitungen des jeweiligen Unternehmens kann infrage kommen.
Dabei geht es vor allem um die Qualität und Verlässlichkeit des Cloud-Anbieters.
Das BSI stellt zahlreiche Hilfsmittel zur Verfügung, um ein angemessenes Sicherheitsniveau
zu erreichen, wie z.B. die BSI-Standards zum Informationssicherheitsmanagement, die IT-
Grundschutz-Kataloge und das GSTOOL. Oder auch die ISO 27001-Zertifizierung, die
einerseits eine Prüfung des Informationssicherheitsmanagements, andererseits auch konkrete
Sicherheitsmaßnahmen im Hinblick auf IT-Grundschutz umfasst. [3][4]
Im Hinblick auf die IT-Grundschutzkataloge bietet das BSI technische und organisatorische
Bausteine, die helfen, sich auf die Infrastruktur der Cloud-Anbieter zu konzentrieren. Es
gibt auch spezielle Bausteine für Cloud-Computing, wie z.B. Cloud-Management“, der sich
”
an Cloud-Anbieter richtet und Maßnahmen zum sicheren Cloud-Computing zusammenfasst.
Abgerundet wird jeder Baustein durch sogenannte Prüffragen am Ende eines jeden Bausteins,
die Maßnahmenvorschläge unterbreiten.
Obwohl Audits entscheidende Vorteile haben, Sicherheit im Umgang mit Cloud-Computing
geben und das Vertrauen zum Cloud-Anbieter kräftigen können, ist es schwer sich zu 100%
auf diese zu verlassen.
Da die Cloud stark im Trend und relativ neu ist, sind Begriffe und Definitionen noch nicht
eindeutig abgetrennt, es ist unklar wie verbindlich Empfehlungen und Standards sind und wie
man sie anwendet. Es gibt keine klaren Aussagen über Sicherheitserwartungen, aber Standards
und Normen für Sicherheit nehmen in Art und Umfang stark zu.
19Das räumt Experten, die ein solches Audit durchführen, einen gewissen
Interpretationsspielraum ein, den sie mit Ihrem Wissen kompensieren müssen.
Das BSI wird zwar weiterhin Lücken schließen und weitere Bausteine mit weiteren Standards
und Normen anbieten, aber auch von Seiten der Cloud-Anbieter ist Verantwortung zu erwarten
und das ausreichende Anbieten weiterer Sicherheitsmaßnahmen ihrer Cloud-Lösungen.
Dies wird durch zahlreiche Kundenanfragen realisierbar, was Anbieter zu häufigen und
aufwändigen Prüfungen zwingt“ oder gar zu einer ISO-27001-Zertifizierung, bei der jedoch zu
”
beachten gilt, ob sie unter Zuhilfenahme des BSI-Grundschutzes oder ohne durchgeführt wurde.
Bei einer nativen Zertifizierung (ohne BSI-Grundschutz) stehen die vom Kunden genutzten
Dienstleistungen nicht unbedingt im Mittelpunkt, wobei man damit rechnen muss, dass das
gewünschte Sicherheitsniveau auf Seiten des Anbieters nicht eingehalten wird. [3][4]
4.1.1 Auszüge aus dem Eckpunktepapier des BSI
Das Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter“ wendet sich
”
vor allem an Anbieter von Cloud Computing Lösungen, sowie professionelle Anwender.
Es müssen alle Aspekte betrachtet werden, die die Vertraulichkeit, Integrität und Verfügbarkeit
der gespeicherten Informationen gefährden können. Einer der grundlegenden Aspekte für jede
Cloud Computing Plattform soll zum Einen der Aufbau einer Sicherheitsarchitektur zum Schutz
der Ressourcen (Mitarbeiter, Gebäude, Netze, IT-Systeme, Anwendungen, Daten, etc.), zum
Anderen die klare Trennung der Kunden auf allen Instanzen (Anwendung, Server, Netze,
Speicher) sein.
Die folgend genannten Aspekte sollen dabei als Grundlage dienen: [2]
In Bezug auf die Rechenzentrumssicherheit muss neben einer permanenten
Überwachung der Zugänge (Videoüberwachung, Bewegungssensoren, Alarmsysteme, geschultes
Sicherheitspersonal, etc.) auch das redundante Vorhandensein der Versorgungskomponenten
gewährleistet sein, um bei Ausfällen trotzdem die entsprechenden Dienste anbieten zu
können. Dazu zählen unter anderem Stromversorgung, Klimatisierung und Internet-
Anbindung. Auch zeitgemäße Brandschutzvorkehrungen und Schutz vor Elementarschäden
sind unumgänglich, um Rechenzentren vor Bränden, Hochwasser, Gewitter, etc. zu schützen.
Bei Ausweichrechenzentren sollten diese möglichst, geografisch gesehen, weit auseinander
liegen, um vor Schadensereignissen mit weitem Radius zu schützen, wie bspw. bei Hochwasser
oder Erdbeben.
Bei der Serversicherheit sollten vor allem Host-Firewalls und Host-based Intrusion Detection
Systems zum Einsatz kommen, um die Systeme vor Schadsoftware und Rechteüberschreitungen
zu schützen. Auch auf das Deaktivieren nicht benötigter Dienste und Programme, sowie das
regelmäßige Updaten benötigter Dienste und Programme ist zu achten.
Zur Netzsicherheit gehören Sicherheitsmaßnahmen gegen Maleware und netzbasierte
Angriffe. Dazu zählen IPS/IDS-Systeme, Firewalls, Application Layer Gateways, etc.
Zudem ist DDoS Mitigation zur Abwehr von DDoS-Attacken sinnvoll und eine geeignete
20Netzsegmentierung, also das Trennen des Management-Netzes vom Datennetz, um
Übergriffe zu vermeiden. Verschlüsselte Kommunikationswege(TLS/SSL) werden heutzutage
selbstverständlich erwartet.
Anwendungs- und Plattformsicherheit spielt vor allem bei PaaS eine Rolle. Hier kommen
Testsysteme zum Einsatz, die neue Software und Patches vor dem Einspielen auf die
Server testen, um mögliche Risiken auszuschließen und die gewünschten Funktionen vorab
auszuprobieren. Aber auch schnelle und regelmäßige Updates für einen störungsfreien Betrieb
sind wichtig. Die Anwendungen sollen gut isoliert sein, um unberechtigte Zugriffe auf andere
Anwendungen zu unterbinden. Ebenso in Absprache mit dem Kunden müssen Richtlinien und
Mindestanforderungen an die Sicherheit definiert werden zum Implementieren kundeneigener
Anwendungen.
Die Datensicherheit umfasst zunächst das, was mit dem Kunden gemeinsam in den SLAs
vereinbart wird. Dazu zählen unter anderem das sichere Trennen verschiedener Kundendaten,
wenn mehrere Kunden auf denselben Datenspeicher zugreifen, die regelmäßige Datensicherung
und das Löschen der Kundendaten nach Kündigung eines Vertrags und gewissen Zeitabständen.
Zuletzt sollten in Bezug auf Verschlüsselung und Schlüsselmanagement geeignete
kryptografische Verfahren zum Einsatz kommen und dem Kunden transparent dargestellt
werden, um ein sicheres Übertragen und Speichern der Daten zu gewährleisten und den Zugriff
durch Dritte zu vermeiden.
4.2 Verschlüsselung
Abschließend sollen in diesem Kapitel (sichere) Verschlüsselungsmaßnahmen behandelt werden,
die einen vertrauensvollen Umgang mit Cloud-Diensten bieten, die Sicherheit der Daten und
vor allem den Schutz vor Dritten garantieren.
Wie wir bereits wissen sind TLS/SSL-Verschlüsselungen zwar entsprechend sicher, jedoch
hindert dies z.B. die NSA nicht daran, diese doch zu umgehen. Dennoch sollte auf solche
Verschlüsselung nicht verzichtet werden, da ein Mitlesen oder Abgreifen von Daten dadurch
erschwert und ohne den entsprechenden Schlüssel dies nur den Wenigsten möglich ist.
Heutzutage sind TLS/SSL-Verfahren eine gängige und nahezu sichere Methode.
Der Komfort von Cloud-Diensten beruht darauf Daten nicht nur online zu speichern, sondern
auch in der Cloud direkt zu verarbeiten, also abzuändern und erneut zu speichern (SaaS).
Hierfür müssen, wie bereits erwähnt, Daten im Klartext vorliegen. Von einer durchgehenden
Verschlüsselung und dem sicheren und umfassenden Schutz der Daten vor Dritten ist hier also
nicht auszugehen, jedoch liegt auch nicht automatisch eine potenzielle Gefährdung der Daten
vor.
Allgemein ist davon abzuraten sensible Daten in derartigen Cloud-Lösungen zu speichern, zumal
davon grundsätzlich abzuraten ist.
Eine mögliche Methode zur sicheren Archivierung der Daten ist die bereits angesprochene
21Ende-zu-Ende-Verschlüsselung. Dabei werden die Daten nicht nur über den gesamten
Kommunikationsweg hinweg, sondern auch auf dem Server selbst verschlüsselt hinterlegt.
Dies lässt sich heutzutage am besten durch Verschlüsselungsprogramme, wie beispielsweise
TrueCrypt, realisieren. Die Daten werden dabei vorab auf dem lokalen Client mittels sicherer
Verschlüsselungsverfahren wie 256-Bit AES (Advanced Encryption Standard) verschlüsselt,
bevor diese in die Cloud übertragen werden.
Sogenannte Brute Force Attacken sind bei AES-Verschlüsselung aussichtslos, da es jahrelang
dauern würde das Passwort zu erraten. Sogar die NSA hat 256-Bit AES-Verschlüsselungen
offiziell zum Verschlüsseln Ihrer geheimen Dokumente erlaubt.
5 Fazit
Obwohl Cloud Computing recht praktische und komfortable Techniken zur Verfügung stellt,
gibt es wie wir sehen, doch einige, sogar erhebliche Risiken. Gerade für Anwender ist es
wichtig sich mit diesen Risiken vertraut zu machen, um einen sicheren Umgang und eine
sichere Datenspeicherung herzustellen. Nicht zuletzt durch Intrigen der Geheimdienste, die
nicht nur unerlaubterweise Kunden- und Wirtschaftsdaten ausspionieren, sondern per Gesetz
dazu bevollmächtigt bzw. sogar dazu verpflichtet sind.
Das leichtfertige Verabschieden diverser Gesetzte erlaubt es über Landesgrenzen hinaus Daten
abzufangen und bei anderen Geheimdiensten zu erfragen. So ist, unserer Meinung nach, die
Safe Harbor Vereinbarung in Kombination mit dem Patriot Act ihr Wort nicht wert, sondern
eher ein Freifahrtschein für US-Behörden, Daten deutscher Unternehmer und Privatanwender
zu verarbeiten.
Da hilft auch die all umworbenen German Cloud nicht mehr, zumal sich dieser Service nicht
auf die Infrastruktur bezieht, stattdessen lediglich eine deutsche Support-Hotline und einen
deutschen Gerichtsstand, im Klagefall, fordert. Zumal Experten schätzen, dass unter dem
jeweiligen nationalen Recht Anfragen auf Kundendaten durch die jeweiligen Unternehmen nach
wie vor beantwortet werden würden.
Auch anhand oben genannter Beispiele kann man sehen, dass gerade Cloud-Anbieter, die sich
an Privatanwender richten, keine hohe Datensicherheit bieten und doch erfreuen sich diese
Dienste einer extrem hohen Verbreitung, wie bei Dropbox deutlich wird.
Nutzer müssen hier einfach besser aufgeklärt werden und sich mit den
Datenschutzbestimmungen vertraut machen, denn niemand kann wollen, dass seine Daten
wahllos im Internet verbreitet werden und für gezielte Werbezwecke missbraucht werden.
Weitere Abhilfe können auch oben genannte Leitfragen oder durch Audits geprüfte und
zertifizierte Anbieter schaffen, wobei wir auch hier sehen, dass ein Audit dem entsprechenden
Prüfer viel Interpretationsspielraum lässt. Es gibt bislang keine klaren Normen, Richtlinien
und Definitionen, zum einen darüber, wie ein solches Audit aussieht oder durchzuführen ist,
zum anderen, was Bestandteile eines sicheren Cloud-Services sind und wie dessen Infrastruktur
auszusehen hat. Letztendlich sind nicht nur die technischen Details, sondern beispielsweise auch
Prozessabläufe des Anbieters zu überprüfen.
Das BSI unterbreitet zwar immer neue Vorschläge, die auch Anwendung finden, dennoch gibt
22Sie können auch lesen
