Sicherheit in der Cloud

Cloud-Risiken erkennen und eingrenzen

Henning von Kielpinski ist Leiter Business Development bei der Consol Consulting & Solutions Software GmbH. In dieser Position ist der studierte Informatiker die Schnittstelle zwischen Theorie und Praxis oder IT und Business. Zu seinen persönlichen thematischen Steckenpferden zählen IT-Trends wie Cloud Computing, Big Data oder das Internet of Things - und die kritische Auseinandersetzung mit diesen.
Heute verteilen sich IT-Systeme über mehrere Standorte hinweg und werden teilweise als public oder private Cloud-Services über das Internet von unterschiedlichen Dienstleistern bezogen. Welche Risiken entstehen dadurch und wie können sie behoben oder zumindest eingegrenzt werden?

Die Administration und der Betrieb von IT-Systemen hat sich im Vergleich zu früher stark geändert: Die Anbindung an das zentrale Firmennetzwerk erfolgt nicht mehr über spezielle Wide Area Networks, sondern aus Kostengründen über das Internet. Die klassische IT-Infrastruktur bestand aus einem Rechenzentrum pro Standort. Die Absicherung erfolgte nach dem Zwiebelprinzip: Das entsprechende Netz wurde optimalerweise über einen (einzigen) Zugangspunkt mit einer restriktiven Firewall abgesichert. Systeme, auf die von außen zugegriffen werden musste, zum Beispiel durch Partner und Lieferanten, wurden und werden in einer Demilitarized Zone (DMZ) betrieben und wiederum über eine oder mehrere Firewalls gesichert.

Die Technologien zur Absicherung von Cloud-Anwendungen sind verfügbar und ohne große Komforteinbuße verwendbar. Der Anwender muss sie nur konsequent einsetzen.
Die Technologien zur Absicherung von Cloud-Anwendungen sind verfügbar und ohne große Komforteinbuße verwendbar. Der Anwender muss sie nur konsequent einsetzen.
Foto: Texelart - shutterstock.com

Dieses Zwiebelprinzip der Absicherung gegen äußere Angriffe hat sich bis heute bewährt und ist relativ gut kontrollierbar. Jede externe Anbindung an das zentrale Netzwerk, zum Beispiel für externe Standorte oder mobile Mitarbeiter, wird in einem solchen Kontext über ein Virtual Private Network (VPN) realisiert und unter der Verwendung von Punkt-zu-Punkt-Verschlüsselung gesichert. Die Kontrolle über die gesamte Infrastruktur obliegt dabei dem Unternehmen.

Beispielhafte Angriffsszenarien in einer klassischen IT-Infrastruktur.
Beispielhafte Angriffsszenarien in einer klassischen IT-Infrastruktur.
Foto: ConSol Consulting & Solutions Software GmbH

Umfrage zu CRM in der Cloud

Bei modernen (Cloud-)Infrastrukturen ist die potenzielle Angriffsfläche um ein Vielfaches größer geworden. Denn die gängigen Infrastructure as a Service (IaaS)-Angebote aus der Cloud, etwa bei Amazon, erlauben jeglichen Traffic aus dem Internet zu der entsprechenden IaaS-Instanz. Früher erfolgte die Absicherung auf der durch den Benutzer zu konfigurierenden Firewall des Betriebssystems in der Cloud. Das bedeutete: Ein potentieller Angreifer konnte per se schon einmal bis auf die Betriebssystemebene gelangen, da keine dedizierten Sicherheitsappliances wie Firewalls vorgeschaltet waren.

Inzwischen bietet Amazon auch konfigurierbare Firewalls vor der Betriebssystemebene an. Hier hat sich die Sicherheitslage also schon gebessert. Sicherer ist es dennoch, auch hier über eine VPN-Verbindung den Zugang zu schützen. Anstelle eines Endpunktes an einer dedizierten Firewall ist es besser, die entsprechenden VPN-Server direkt auf dem Gastbetriebssystem in der Cloud zu installieren und zu konfigurieren.

Ein minimalistischer Weg, dies bei Amazons EC2 zu realisieren, ist die Verwendung eines PPTP Servers. Alternativ ist OpenSSL möglich. Als Einstiegsinstanz in den virtuellen Rechnerpark kann eine Micro Instanz dienen. Das Problem der wechselnden public IPs des Endpunktes umgeht man dann zum Beispiel mit DynDNS. Optimalerweise stellt man dann auch sicher, dass nicht nur der Transportweg gesichert ist, sondern eine echte End-To-End Sicherheit gewährleistet ist. Eine solche kann zum Beispiel durch die Verwendung von Mechanismen aus dem XML Security Framework von W3C zur Verschlüsselung der Payload erreicht werden.

Sicherheit und Verantwortlichkeit

Selbst wenn Firmen alle notwendigen technischen Sicherheitsvorkehrungen getroffen haben, bewegen sie sich beim Cloud Computing in einen zweiten Themenkomplex hinein: den der geteilten Verantwortung. Während Unternehmen mit einem eigenen Rechenzentrum die Aktualität der Sicherheitsvorkehrungen und deren Funktionieren messbar überprüfen können, muss man in der Cloud darauf vertrauen, dass der Cloud Provider seinen Verpflichtungen auf die Einhaltungen von Best Practices nachkommt. Eine tatsächliche Überprüfung oder ein Monitoring ist an dieser Stelle selten möglich.

Es herrscht also der Grundsatz des Vertrauens in den Cloud Provider beziehungsweise in dessen vertragliche Zusicherung. Tritt der Fall eines Datenmissbrauchs zutage, steht zuallererst der Nachweis an, wie die Daten kompromittiert wurden und ob dies ein Versäumnis des Cloud Providers möglich gemacht hatte. Oftmals kommt dann heraus, dass entweder interne Mitarbeiter ihren Zugang zu den Daten missbraucht haben, oder dass sich Fremdpersonen durch Spearphishing - also durch das gezielte Ausspähen von Personen mit Zugangsberechtigungen - Zugangsdaten verschafft haben und diese missbrauchten, ohne dass der Betroffene es sofort realisieren konnte.

Fälle der letzten Jahre wie Edward Snowden und die NSA-Affäre oder die bekannten Steuer-CDs zeigen, dass in vielen Fällen IT-Mitarbeiter ursächlich für Datenmissbrauch verantwortlich sind - ob zum Vor- oder Nachteil, zu Recht oder Unrecht soll hier nicht weiter diskutiert werden.
Ist es aber doch mal der Cloud Provider, dessen Versäumnis für einen Datenmissbrauch oder einen Stillstand der Unternehmens-IT gesorgt hat, handelt er dies normalerweise durch die Rückerstattung von bezahlten oder zukünftigen Infrastrukturkosten an das Unternehmen ab. Ein solcher Vorfall hat jedoch Auswirkungen auf das Vertrauensverhältnis zwischen Kunde und Unternehmen und kann auch einen Verlust von Intellectual Property bedeuten. Im Zeitalter von Industrie 4.0 und dem Internet der Dinge entsteht durch einen derartigen Ausfall auch eine Unterbrechung oder Störung der Produktionsanlagen mit erheblichen Kosten.

Nicht zuletzt verursacht Datenmissbrauch auch rechtliche Probleme. Diese Risiken und ihre Folgen trägt das Unternehmen allein. Die Kosten dafür übersteigen die angebotenen Kompensationen normalerweise um ein Vielfaches - sie sind oftmals gar nicht bezifferbar. "SharedResponsibility" enthält also zusätzliche Risiken.

Verschlüsselung

Obwohl die meisten Cloud Provider eine Verschlüsselung der Virtual Machines innerhalb der Cloud-Infrastruktur anbieten, bedeutet dies noch lange keine Garantie dafür, dass die Daten sich nicht doch auslesen lassen. Denn: Fast alle Cloud Provider nutzen einen Master Key für die verschlüsselten Daten, und machen von ihm auch Gebrauch. Zum Beispiel bei Anfragen von Regierungsorganisationen händigen Cloud Provider die Daten unverschlüsselt aus.
Um auszuschließen, dass sich ein Mitarbeiter eines Cloud Providers durch den Master Key Zugang zu den Daten verschafft, ist die unternehmensseitige Verschlüsselung der in der Cloud abgelegten Daten mit eigenen Schlüsseln sinnvoll. Dazu kann man entweder auf Filesystem-Ebene verschlüsseln, wie zum Beispiel mit Loop-AES, TrueCrypt oder Crypto-FS, oder die Verschlüsselung der Daten innerhalb der Applikation sicherstellen.

MySQL und Oracle zum Beispiel bieten beide AES-Verschlüsselung der Datensätze innerhalb der Datenbank an. Die unternehmensseitige Verschlüsselung ist ein einfacher, transparenter und kostengünstiger Weg zu mehr Sicherheit.

Solche Bedrohungsszenarien durch Insider sind nicht Cloud-spezifisch. Der Unterschied aber ist der Multiplikatoreffekt, den ein Cloud Provider durch seine eigenen Administratoren und eventuell zusätzlich involvierte Dritte Parteien darstellt. Eine Kontrolle ist durch einen sicherheitsbewussten Kunden kaum möglich.

Beispielhafte Angriffsszenarien in er hybriden Cloud-Infrastruktur.
Beispielhafte Angriffsszenarien in er hybriden Cloud-Infrastruktur.
Foto: ConSol Consulting & Solutions Software GmbH

Prozesssicherheit

Eine weitere Komponente spielt bei der Sicherheit einer dezentralen Infrastruktur eine wichtige Rolle: die Prozesse, die Kommunikation und Austausch mit den Partnern regeln. Die IT Infrastructure Library (ITIL) hat sich in vielen Unternehmen zumindest als Richtlinie für den Betrieb der Infrastruktur etabliert. Umfragen zeigen jedoch, dass für Cloud-Services sehr selten Prozesse auf Basis von ITIL verwendet werden, obwohl doch die ITIL-Prozesse in der Theorie unabhängig von der verwendeten Technologie betrachtet werden.

Warum ist dies so? Zum einen ist sicher die heimliche Verwendung von Cloud-Services innerhalb des Unternehmens zu nennen, ohne dass die IT Abteilung davon überhaupt etwas weiß, Stichwort Schatten-IT. Fachabteilungen nutzen häufig Anwendungen wie DropBox oder Skype - aus Bequemlichkeit, denn sie sind schnell verfügbar und einfach in der Abrechnung. Hier sind Unternehmen gut beraten, ihren Fachabteilungen unternehmensinterne Systeme mit gleicher Verfügbarkeit und Nutzerfreundlichkeit zur Verfügung zu stellen. So können sie Risiken durch Schatten-IT vermeiden.

Ein zweiter Punkt ist, dass bei der Verwendung von Cloud-Diensten Unternehmensgrenzen überschritten und Technologien eingesetzt werden, welche deutlich von den bestehenden Unternehmenssystemen abweichen. In der Regel finden sich keine oder wenige brauchbare ITIL-kompatible Schnittstellen, über die Changes und Incidents übermittelt werden können. Zum anderen sind viele Changes in der Cloud durch automatisierte Deployments im Self-Service-Verfahren möglich - das ist ja gerade einer der wesentlichen Vorteile der Cloud. Die Prozess-Definitionen aus ITIL tun sich jedoch schwer, solche Szenarien eins zu eins abzubilden. Was nicht heißt, dass dies nicht möglich wäre. ITIL lässt sich auch flexibler interpretieren und an Cloud-Szenarien anpassen.

Fazit

Die Cloud wird in Zukunft durch Anwendungen wie Big Data oder Konzepte wie DevOps eine Enabler-Rolle einnehmen. Die Technologien zur Absicherung von Cloud-Anwendungen sind verfügbar und ohne große Komforteinbuße verwendbar. Der Anwender muss sie nur konsequent einsetzen.

Hierbei besteht teilweise noch Unsicherheit, ob Cloud-Sicherheit als Teil einer Cloud- oder einer Security-Strategie zu sehen ist. Beides ist letztlich richtig und sollte daher auch nicht getrennt voneinander betrachtet werden. Um Unternehmen generell die Angst vor Datenmissbrauch in der Cloud zu nehmen, bieten viele Provider bereits das Hosting in lokalen Rechenzentren in Deutschland an. Dann profitieren diese von den wesentlich strengeren Datenschutzbestimmungen in Deutschland im Vergleich zu anderen europäischen und nicht-europäischen Ländern. Unter Einhaltung der grundlegenden, beschriebenen Sicherheitsmaßnahmen können Unternehmen die Cloud also sicher nutzen, und von den positiven Eigenschaften wie Flexibilität, Skalierbarkeit und Kostentransparenz profitieren. (bw)