Wer wann mit wem und wie lange online verbunden ist – genau das verraten die Metadaten. Über Jahre hinaus gespeichert, lassen sich daraus zu Spionagezwecken mehr Schlüsse ziehen, als den Anwendern lieb sein kann, zumal die Listen oft sogar unverschlüsselt auf den Servern liegen. Die Brisanz dieses Problems wurde durch die Spionageaffäre um den Geheimdienst National Security Agency (NSA) erst richtig deutlich. Kurz nachdem der Abhörskandal durch die Dokumente des Whistleblowers Edward Snowden publik geworden war, versuchte US-Präsident Barack Obama besorgte Mitbürger zu beruhigen: „Niemand hört Telefonate ab.
Das Programm durchsucht nur die sogenannten Metadaten nach möglichen Spuren zu Terroristen.“ Viele Anwender atmeten erleichtert auf. Sicherheitsexperten und Datenschützer dagegen schnappten nach Luft: Sie wissen: Metadaten geben viel mehr persönliche Daten preis, als man denkt. Die Bürgerrechtsbewegung American Civil Liberty Union (ACLU) reichte deshalb bereits sechs Tage nach der ersten Veröffentlichung von NSA-Dokumenten durch Snowden Klage gegen die US-Regierung ein.
Um ihre Sicht zu untermauern, bat die Organisation den Professor und Computerwissenschaftler Edward Felten von der Princeton University um ein Gerichtsgutachten zur Analyse von Metadaten. Zusammengefasst schreibt Felten, ehemals technischer Direktor der Federal Trade Commission (FTC): Metadaten sind „einmalig einfach zu analysieren – anders als die komplizierten Daten aus einem Anruf selbst, mit all den Variationen in der Sprache, der Stimme und im Konversationsstil.“
Ein Beispiel zur Veranschaulichung: Der Inhaber eines Familienunternehmens ruft die Praxis eines Radiologen an. Tage später ruft er die Neurochirurgie-Abteilung eines Krankenhauses an und schickt ein, zwei Mails an den Oberarzt. Er telefoniert etwa eine Stunde mit seinem Sohn, der sich zurzeit in den USA aufhält. Danach ruft er mehrmals einen Anwalt an. Eine solche Abfolge von Daten verrät, so Felten, „wesentlich mehr als der Inhalt eines einzelnen Anrufs“.
- Bedrohungen für Datenzentren
- Verbindungsdaten können einfach verknüpft und analysiert werden
- Die Sealed Cloud schützt die Metadaten
- In der Sealed Cloud lassen sich Daten nicht fangen
- Vereinfachte technische Sicht der Sealed Cloud
- Cybercrime-Kosten für Unternehmen 2013
- ABC-Analyse der Sicherheit eines Datenzentrums
Wie können KMUs ihre Daten schützen?
Damit diese Verbindungsdaten, aus denen sich natürlich auch Unternehmensgeheimnisse herauslesen lassen, Dritten nicht gar so leicht in die Hände fallen, haben die großen deutschen Unternehmen Sicherheitsvorkehrungen getroffen. BMW-Manager lassen zum Beispiel ihre Firmenhandys in München. An deren Stelle erhalten sie Wegwerf-Handys, die sofort nach der Rückkehr als unbrauchbar aussortiert werden. Angestellte im Sicherheitsbereich des Luft- und Raumfahrtkonzerns EADS Group dürfen ihren E-Mail-Verkehr nur in ihren abhörsicheren Büros erledigen. Andere bezahlen Sicherheitsexperten, die sich in ihre Systeme hacken, um Sicherheitslücken aufzudecken. Doch was können die kleinen und mittleren Unternehmen tun, um sich zu schützen? Sie hängen meist von Internetdiensten ab, deren Betreiber nur zu oft Verbindungsdaten unverschlüsselt auf ihren Servern speichern.
Eine Möglichkeit ist, sich persönlich in abhörsicheren Räumen zu treffen, keine E-Mail-Dienste in Anspruch zu nehmen und auch sonst so wenig wie möglich elektronisch unterwegs zu sein. Das ist heute wenig praktikabel. Oder aber man sucht sich einen Internetdienst, der die Verbindungsdaten zumindest verschlüsselt speichert und hofft darauf, dass der Schlüssel nicht missbraucht wird. Auch mit Servern in anderen Ländern, die man stundenweise mieten kann, könnten Unternehmen sich absichern. Diese unterliegen allerdings der Gesetzgebung des jeweiligen Landes und entziehen sich damit auch der Kontrolle der Unternehmen.
- Cloud-Daten sicher löschen
Daten in der Public Cloud nach Vertragsende unwiederbringlich zu löschen ist keine große Sache, könnte man meinen. Doch der Teufel steckt im Detail. Die virtualisierten Storage-Technologien machen es genau genommen unmöglich, Daten physikalisch und damit wirklich sicher zu überschreiben. Dennoch lassen sich Vorkehrungen treffen, damit es nicht zum Worst Case kommt. - Laxer Umgang mit Datenlöschung in der Cloud
In der Regel fordern nur sicherheitssensible Unternehmen die Löschung der Daten explizit beim Cloud-Dienstleister ein. - Rechtliche Regelung für Cloud-Daten
Juristisch gilt auch für Cloud-Services der im Bundesdatenschutzgesetz (BDSG) verankerte Grundsatz der Datensparsamkeit. Das heißt, wenn die Daten nicht mehr benötigt werden, müssen sie gelöscht werden. - Kundendaten sind schwer zu löschen
Da der Kunde Zugriff auf seine Daten hat, kann er sie ändern und auch löschen. Zu glauben, dass die Daten deshalb beseitigt sind, wäre jedoch sehr blauäugig. Der Grund: Die Kundendaten graben sich tief in die Datenbanken und Sicherungssysteme des Providers ein, auf die der Nutzer keinen direkten Zugriff hat. - Löschung vertraglich absichern
Weil die Kundendaten tief in den Datenbanken und Sicherungssystemen der Provider gespeichert sind, kommt der Cloud-Kunde nicht umhin, die Löschung der Daten dem Provider zu übertragen. Deshalb sollte er die Löschung auch vertraglich absichern. In der Regel schließen Unternehmen mit dem Provider einen Auftragsdaten-Verarbeitungsvertrag (ADV), der meist Teil des Kundenvertrags und der Service-Level-Agreements (SLAs) ist. - Exit-Bedingen klar formulieren
Zwingend notwendig ist der Abschluss solcher Verträge nicht. Aber Experten vom Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) und vom Verband der deutschen Cloud-Industrie, Eurocloud, raten dringend dazu, die Exit-Bedingungen klar ausformulieren. EuroCloud macht sich dafür stark, dass die Datenlöschung als grundsätzlicher Bestandteil der Service-Levels in die Cloud-Verträge aufgenommen wird. - Procedere des Löschvorgangs
In der Praxis verläuft das Procedere zum Löschen der Kundendaten überall ähnlich. Gängige Praxis ist es, dass der Kunde per E-Mail die Datenlöschung in Auftrag gibt. Dann wird beim Provider für sämtliche Informationen, die mit einem Kunden zusammenhängen, ein Löschauftrag erstellt und der Prozess nachts ausgeführt. Nach erfolgter Annullierung wird der Kunde automatisch per E-Mail benachrichtigt. - Kundendaten werden überschrieben
Mit der Eliminierung der Kundendaten gibt die Datenbank beim Cloud-Dienstleister den Speicherplatz frei, so dass er komplett wieder mit anderen Daten überschrieben werden kann. Mit jedem neuen Kunden wird dann die Wahrscheinlichkeit größer, dass die abgelegten Daten überschrieben werden. Der Provider kommt dann an die Daten nicht mehr heran. - Kontrolle des Kunden ist theoretisch
Theoretisch könnte sich der Kunde selbst überzeugen, dass die Daten gelöscht wurden oder dass zumindest alle technischen und organisatorischen Maßnahmen ordnungsgemäß eingehalten werden. Dazu müsste er sich aber vertragsrechtlich Audit-Rechte einräumen lassen. Doch das ist pure Theorie. Abgesehen davon, dass es technisch kaum machbar ist, sich von der Datenlöschung zu überzeugen, würde kein Cloud-Anbieter einem Kunden ein solches Recht einräumen. - Audit-Rechte festlegen
Es kann jedoch sinnvoll sein, wenn sich der Kunde Audit-Rechte auf Dokumente, Beschreibungen und Protokolle einräumen lässt, um zum Beispiel den korrekten Ablauf von Löschprozessen nachvollziehen zu können. - Zertifizierungen einfordern
Neben Audit-Rechten können vom Kunden Zertifizierungen gefordert werden, die einen Mindeststandard bezüglich der Informationssicherheit gewährleisten. Eurocloud bietet beispielsweise mit dem „Eurocloud Star Audit“ solche Zertifizierungen an. Dadurch wird ein Prozess etabliert, womit die Kundendaten komplett gelöscht werden, sobald ein Kunde ausscheidet. - Keine sichere Löschung in der Public Cloud
Den Security-Experten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sind Zertifizierungen zu wenig. Sie geben zu bedenken, dass mit dem gängigen Löschprocedere die Daten keineswegs sicher gelöscht würden. Der Grund: Werden in Cloud-Umgebungen Datenbanken oder virtuelle Festplatten gelöscht, wird in der Regel nur die Referenz auf die Daten entfernt, die Informationen sind aber weiterhin physikalisch auf den Speichersystemen vorhanden. Bis die Daten wirklich von dem Speichersystem gelöscht sind, dauert es, und es gibt kaum Methoden, dies vorherzusagen und sicherzustellen. - BSI rät zur Zeitangabe
Das BSI rät, sich von den Providern die Zeit nennen zu lassen, bis zu der die Kundendaten mit hoher Wahrscheinlichkeit überschrieben worden sind. Diese Zeit hängt vor allem von der Größe des SAN ab. Eine Aussage wie „Nach 1,5 Jahren können wir mit 95-prozentiger Wahrscheinlichkeit sagen, dass die Kundendaten gelöscht sind“, ist etwas anderes als die Aussage „Unser SAN ist so klein, nach zwei Monaten ist alles sicher überschrieben.“
All diese Maßnahmen helfen jedoch nicht bei den Verbindungsdaten. Sie bleiben zugänglich und können weiterhin von Analyse-Firmen ausgewertet werden. Für diese Sicherheitslücke hat das Münchner Unternehmen Uniscon GmbH für seinen Internetdienst das Problem erkannt und mit der Basistechnologie „Sealed Cloud“ eine Lösung entwickelt. Heute wird die Sealed Cloud im Rahmen des Trusted-Cloud-Projektes des Bundeswirtschaftsministeriums (BMWI) gemeinsam mit der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) und dem Unternehmen SecureNet weiterentwickelt.