Sealed Cloud – wie der Mittelstand sich schützen kann

Wer wann mit wem und wie lange online verbunden ist – genau das verraten die Metadaten. Über Jahre hinaus gespeichert, lassen sich daraus zu Spionagezwecken mehr Schlüsse ziehen, als den Anwendern lieb sein kann, zumal die Listen oft sogar unverschlüsselt auf den Servern liegen. Die Brisanz dieses Problems wurde durch die Spionageaffäre um den Geheimdienst National Security Agency (NSA) erst richtig deutlich. Kurz nachdem der Abhörskandal durch die Dokumente des Whistleblowers Edward Snowden publik geworden war, versuchte US-Präsident Barack Obama besorgte Mitbürger zu beruhigen: „Niemand hört Telefonate ab.

Wie das Sealed-Cloud-Konzept im Detail funktioniert, erfahren Sie beim COMPUTERWOCHE-Wettbewerb Best in Cloud am 23. und 24. Oktober in Frankfurt a.M.

Das Programm durchsucht nur die sogenannten Metadaten nach möglichen Spuren zu Terroristen.“ Viele Anwender atmeten erleichtert auf. Sicherheitsexperten und Datenschützer dagegen schnappten nach Luft: Sie wissen: Metadaten geben viel mehr persönliche Daten preis, als man denkt. Die Bürgerrechtsbewegung American Civil Liberty Union (ACLU) reichte deshalb bereits sechs Tage nach der ersten Veröffentlichung von NSA-Dokumenten durch Snowden Klage gegen die US-Regierung ein.

Um ihre Sicht zu untermauern, bat die Organisation den Professor und Computerwissenschaftler Edward Felten von der Princeton University um ein Gerichtsgutachten zur Analyse von Metadaten. Zusammengefasst schreibt Felten, ehemals technischer Direktor der Federal Trade Commission (FTC): Metadaten sind „einmalig einfach zu analysieren – anders als die komplizierten Daten aus einem Anruf selbst, mit all den Variationen in der Sprache, der Stimme und im Konversationsstil.“

Ein Beispiel zur Veranschaulichung: Der Inhaber eines Familienunternehmens ruft die Praxis eines Radiologen an. Tage später ruft er die Neurochirurgie-Abteilung eines Krankenhauses an und schickt ein, zwei Mails an den Oberarzt. Er telefoniert etwa eine Stunde mit seinem Sohn, der sich zurzeit in den USA aufhält. Danach ruft er mehrmals einen Anwalt an. Eine solche Abfolge von Daten verrät, so Felten, „wesentlich mehr als der Inhalt eines einzelnen Anrufs“.

Bedrohungen für Datenzentren

Verbindungsdaten können einfach verknüpft und analysiert werden

Die Sealed Cloud schützt die Metadaten

In der Sealed Cloud lassen sich Daten nicht fangen

Vereinfachte technische Sicht der Sealed Cloud

Cybercrime-Kosten für Unternehmen 2013

ABC-Analyse der Sicherheit eines Datenzentrums

Wie können KMUs ihre Daten schützen?

Damit diese Verbindungsdaten, aus denen sich natürlich auch Unternehmensgeheimnisse herauslesen lassen, Dritten nicht gar so leicht in die Hände fallen, haben die großen deutschen Unternehmen Sicherheitsvorkehrungen getroffen. BMW-Manager lassen zum Beispiel ihre Firmenhandys in München. An deren Stelle erhalten sie Wegwerf-Handys, die sofort nach der Rückkehr als unbrauchbar aussortiert werden. Angestellte im Sicherheitsbereich des Luft- und Raumfahrtkonzerns EADS Group dürfen ihren E-Mail-Verkehr nur in ihren abhörsicheren Büros erledigen. Andere bezahlen Sicherheitsexperten, die sich in ihre Systeme hacken, um Sicherheitslücken aufzudecken. Doch was können die kleinen und mittleren Unternehmen tun, um sich zu schützen? Sie hängen meist von Internetdiensten ab, deren Betreiber nur zu oft Verbindungsdaten unverschlüsselt auf ihren Servern speichern.

Eine Möglichkeit ist, sich persönlich in abhörsicheren Räumen zu treffen, keine E-Mail-Dienste in Anspruch zu nehmen und auch sonst so wenig wie möglich elektronisch unterwegs zu sein. Das ist heute wenig praktikabel. Oder aber man sucht sich einen Internetdienst, der die Verbindungsdaten zumindest verschlüsselt speichert und hofft darauf, dass der Schlüssel nicht missbraucht wird. Auch mit Servern in anderen Ländern, die man stundenweise mieten kann, könnten Unternehmen sich absichern. Diese unterliegen allerdings der Gesetzgebung des jeweiligen Landes und entziehen sich damit auch der Kontrolle der Unternehmen.

Cloud-Daten sicher löschen
Daten in der Public Cloud nach Vertragsende unwiederbringlich zu löschen ist keine große Sache, könnte man meinen. Doch der Teufel steckt im Detail. Die virtualisierten Storage-Technologien machen es genau genommen unmöglich, Daten physikalisch und damit wirklich sicher zu überschreiben. Dennoch lassen sich Vorkehrungen treffen, damit es nicht zum Worst Case kommt.

Laxer Umgang mit Datenlöschung in der Cloud
In der Regel fordern nur sicherheitssensible Unternehmen die Löschung der Daten explizit beim Cloud-Dienstleister ein.

Rechtliche Regelung für Cloud-Daten
Juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. Das heißt, wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden.

Kundendaten sind schwer zu löschen
Da der Kunde Zugriff auf seine Daten hat, kann er sie ändern und auch löschen. Zu glauben, dass die Daten deshalb beseitigt sind, wäre jedoch sehr blauäugig. Der Grund: Die Kundendaten graben sich tief in die Datenbanken und Sicherungssysteme des Providers ein, auf die der Nutzer keinen direkten Zugriff hat.

Löschung vertraglich absichern
Weil die Kundendaten tief in den Datenbanken und Sicherungssystemen der Provider gespeichert sind, kommt der Cloud-Kunde nicht umhin, die Löschung der Daten dem Provider zu übertragen. Deshalb sollte er die Löschung auch vertraglich absichern. In der Regel schließen Unternehmen mit dem Provider einen Auftragsdaten-Verarbeitungsvertrag (ADV), der meist Teil des Kundenvertrags und der Service-Level-Agreements (SLAs) ist.

Exit-Bedingen klar formulieren
Zwingend notwendig ist der Abschluss solcher Verträge nicht. Aber Experten vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und vom Verband der deutschen Cloud-Industrie, Eurocloud, raten dringend dazu, die Exit-Bedingungen klar ausformulieren. EuroCloud macht sich dafür stark, dass die Datenlöschung als grundsätzlicher Bestandteil der Service-Levels in die Cloud-Verträge aufgenommen wird.

Procedere des Löschvorgangs
In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. Gängige Praxis ist es, dass der Kunde per E-Mail die Datenlöschung in Auftrag gibt. Dann wird beim Provider für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt.

Kundendaten werden überschrieben
Mit der Eliminierung der Kundendaten gibt die Datenbank beim Cloud-Dienstleister den Speicherplatz frei, so dass er komplett wieder mit anderen Daten überschrieben werden kann. Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten überschrieben werden. Der Provider kommt dann an die Daten nicht mehr heran.

Kontrolle des Kunden ist theoretisch
Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen. Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen.

Audit-Rechte festlegen
Es kann jedoch sinnvoll sein, wenn sich der Kunde Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen lässt, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können.

Zertifizierungen einfordern
Neben Audit-Rechten können vom Kunden Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem „Eurocloud Star Audit“ solche Zertifizierungen an. Dadurch wird ein Prozess etabliert, womit die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet.

Keine sichere Löschung in der Public Cloud
Den Security-Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Zertifizierungen zu wenig. Sie geben zu bedenken, dass mit dem gängigen Löschprocedere die Daten keineswegs sicher gelöscht würden. Der Grund: Werden in Cloud-Umgebungen Datenbanken oder virtuelle Festplatten gelöscht, wird in der Regel nur die Referenz auf die Daten entfernt, die Informationen sind aber weiterhin physikalisch auf den Speichersystemen vorhanden. Bis die Daten wirklich von dem Speichersystem gelöscht sind, dauert es, und es gibt kaum Methoden, dies vorherzusagen und sicherzustellen.

BSI rät zur Zeitangabe
Das BSI rät, sich von den Providern die Zeit nennen zu lassen, bis zu der die Kundendaten mit hoher Wahrscheinlichkeit überschrieben worden sind. Diese Zeit hängt vor allem von der Größe des SAN ab. Eine Aussage wie „Nach 1,5 Jahren können wir mit 95-prozentiger Wahrscheinlichkeit sagen, dass die Kundendaten gelöscht sind“, ist etwas anderes als die Aussage „Unser SAN ist so klein, nach zwei Monaten ist alles sicher überschrieben.“

All diese Maßnahmen helfen jedoch nicht bei den Verbindungsdaten. Sie bleiben zugänglich und können weiterhin von Analyse-Firmen ausgewertet werden. Für diese Sicherheitslücke hat das Münchner Unternehmen Uniscon GmbH für seinen Internetdienst das Problem erkannt und mit der Basistechnologie „Sealed Cloud“ eine Lösung entwickelt. Heute wird die Sealed Cloud im Rahmen des Trusted-Cloud-Projektes des Bundeswirtschaftsministeriums (BMWI) gemeinsam mit der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) und dem Unternehmen SecureNet weiterentwickelt.

Sealed Cloud versiegelt das Rechenzentrum

Mit der Sealed-Cloud-Technologie erreichen Betreiber eines Rechenzentrums ein höheres Sicherheitsniveau. Das liegt daran, dass die Daten nicht nur beim Transport zum und vom Data Center und im Storage-System in der Datenbank auf technische Weise geschützt werden, sondern auch bei der Verarbeitung. Andere Systeme mit einem hohen Grad an Sicherheit versuchen die Verarbeitung mit organisatorischen Maßnahmen zu sichern. Für Mitarbeiter der Dienstanbieter sind diese aber häufig einfach zu umgehen, wie die vielen Datenskandalen zeigen.

Um den Missbrauch von Daten zu vermeiden, wird mit Sealed Cloud der Zugang zu den Servern auf technische Art gesichert: Die Rechner sind in einem Rack verschlossen. Die Tore zum betroffenem Server kann ein nur mit einem ihm remote übermittelten Token öffnen, nachdem er zuvor in einer getrennten Nachricht einen Arbeitsauftrag für einen bestimmten Server bekommen hat. Bevor sich der Schrank tatsächlich öffnet, wird der Server heruntergefahren.

Alle Daten aus dem Daten- und Arbeitsspeicher werden zudem auf andere, sichere Server verschoben; anschließend werden sie gelöscht. Das System ist also, wenn der Admin daran arbeitet, frei von allen Anwendungsdaten. Nach Beendigung der Wartungsarbeiten wird es von zentraler Stelle wieder hochgefahren. Eine automatisch gestartete Routine prüft, ob alle eingespielten Daten und Programme den freigegeben, zertifizierten Versionen entsprechen. Damit soll gewährleistet werden, dass keine manipulierten Routinen auf das System gelangen.

Die Daten in der Datenbank oder im Storage-System sind verschlüsselt. So arbeiten heute alle Cloud-Dienste, die einen hohen Sicherheitsanspruch haben. Bei den gängigen technischen Lösungen verschlüsseln die Betreiber die Daten in der Datenbank beziehungsweise im Storage-System auf Block-Ebene – mit einem oder wenigen systemweit gültigen Schlüssel. Ein Schlüssel gilt dann für viele Datensätze. Aufbewahrt wird dieser dann im Schlüsselspeicher innerhalb des Systems.

Das Sealed-Cloud-Konzept geht an diesem Punkt etwas weiter: Meldet sich ein Anwender bei einer Sealed Cloud an, generiert das System während des Anmeldevorgangs einen individuellen Schlüssel pro Nutzer aus den Login-Informationen. Der Schlüssel dient dazu, die Anwendungsdaten zu finden, sie zu entschlüsseln und für die Bearbeitung in den Hauptspeicher zu laden.

Am Ende jeder Session meldet sich der Anwender ab. Nach Abmeldung werden die Daten neu verschlüsselt und gespeichert. Dann zerstört das System den individuellen Schlüssel. In der Datenbank gibt es daher für jeden einzelnen Nutzer einen eigenen Datensatz, der jeweils individuell nach dem Advanced Encryption Standard (AES256) verschlüsselt ist. Da die Schlüssel im System nicht existieren, legen die Entwickler die Zugangshürde für interne und externe Angreifer deutlich höher als in anderen Systemen: Ein Angreifer müsste dann schon den AES256 knacken und dies separat für jeden einzelnen Nutzerdatensatz.

OpenStack
Die auf Linux und Python basierende Lösung "OpenStack" ist eine Art Betriebssystem für die Cloud. Das quelloffene System gilt als ein wichtiger Meilenstein in Sachen Cloud Computing und hat, nicht zuletzt aufgrund der breiten Unterstützung seitens namhafter IT-Riesen, großes Zukunftspotenzial.

Otixo
"Otixo" stellt ein innovatives Datei-Management-Tool für das Cloud-Zeitalter dar, das in erster Linie für Anwender in Frage kommt, die mehrere Online-Dienste nutzen und diese besser miteinander integrieren möchten. Dank speziellen Sicherheits- und Sharing-Funktionen können davon nicht nur Privatanwender, sondern auch Unternehmen profitieren.

Cloudability
Bei "Cloudability" handelt es sich um einen vielversprechenden Dienst, der noch in den Kinderschuhen steckt, aber bis jetzt einen rundum guten Eindruck macht. Wer viel Geld in Cloud Computing investiert und die Ausgaben im Blick behalten möchten, für den könnte die Software genau das Richtige sein.

Scalr
IT-Administratoren, die auf der Suche nach einer professionellen Lösung sind, um ihre Cloud-Anwendungsplattformen besser entwerfen, entwickeln und betreiben zu können, sind bei "Scalr" genau an der richtigen Adresse.

RightScale
RightScale bietet eine umfangreiche und anspruchsvolle Lösung an, mit der sich beliebig komplexe Cloud-Infrastrukturen effizient verwalten lassen und die in direkter Konkurrenz zu Scalr steht.

Newvem
"Newvem" bietet sich als eine zentrale, ganzheitliche Cloud-Management-Lösung an, die speziell für Firmen konzipiert ist, die Windows Azure oder Amazon Web Services nutzen.

Verschlüsselte Datenübertragung mit SSL und TSL

Die Daten werden durch Verschlüsselung, zum Beispiel SSL mit 2048 Bit Schlüssellänge, übertragen. Realisiert wird diese über TLS Protokolle. Seit der Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS (Transport Layer Security). weiterentwickelt und standardisiert. Medienberichten zufolge wurde indes die TLS-Verschlüsselung von der NSA dekodiert. Das löste eine Welle der Empörung aus. In einer „ABC-Analyse“ der Sicherheitsketten liegen zurzeit die größten Sicherheitslöcher aber weiterhin beim Betreiber und bei den Endgeräten, erst dann folgt die Übertragung via SSL oder TLS. Da eine Sicherheitskette nur so stark ist wie ihr schwächstes Glied, müssen zunächst die ersten beiden Risiken minimiert werden, um ein sicheres System zu erhalten.

Bei SSL/TLS ist der „Janusangriff“ (Man-in-the-middle) die einfachste Methode mitzuhören. Dabei steht ein Angreifer zwischen den beiden Kommunikationspartnern. Auf diese Weise hat er mit seinem System vollständige Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen und sogar manipulieren. Eine solche Attacke erkennt der normale Nutzer in gewöhnlichen Browsern nicht – Experten aber schon.

Sie sehen die Zertifikatsdetails. Geheimdienste nutzen wahrscheinlich diese Schleuse, um mit dieser Methode ins System zu gelangen. Sie erhalten bei manchen Zertifikatserstellern so genannte Root-Zertifikate oder haben in manchen Browsern eigene Root-Zertifikate deponiert. Verwendet man ein entsprechendes Browser Add-on oder nutzt auf den Mobilgeräten passende Apps, so ist bei der Sealed Cloud aber eine automatisierte Angriffserkennung integriert.

Neben der „Statischen Attestierung“, deren Aufgabe es ist, die Zuverlässigkeit der Komponenten zu prüfen, wird zusammen mit einer neutralen Zertifizierungsstelle an einer „Dynamischen Attestierung“ gearbeitet. Bei ihr soll bei laufendem Betrieb geprüft werden, ob weiterhin alle Voraussetzungen für den zertifizierten Ablauf erfüllt sind. Treten Abweichungen auf, werden die betroffenen Server oder Serverteile außer Betrieb genommen. Außerdem meldet das System den Fehler an die zertifizierende Stelle.

Unterm Strich sichert die Sealed-Cloud-Technik Cloud Computing in einem Maße ab, das den Vergleich noch sucht. Dies hat sich beim Trusted-Cloud-Wettbewerb des BMWi gezeigt, bei dem das Sealed Cloud Konsortium zu einem der Gewinner in der Kategorie Basistechnologie gehörte. (wh)