Die Sealed-Cloud-Versiegelung Verschlüsselung allein genügt für sicheres Cloud Computing nicht

Transkript

1 Die Sealed-Cloud-Versiegelung Verschlüsselung allein genügt für sicheres Cloud Computing nicht Dr. Hubert Jäger Uniscon GmbH The Web Privacy Company Dr. habil. Ralf Rieken Uniscon GmbH The Web Privacy Company Februar 2014 Zusammenfassung Dieser Artikel stellt die Versiegelung des IDGARD Sealed Cloud genannten Systemkonzepts vor. Dieses schützt nicht nur Inhalte einer Datenverarbeitung oder Kommunikation, sondern auch Metadaten, z.b. Verbindungsdaten, die aufzeigen, wer mit wem, wann und wie lange kommuniziert. Solche Metadaten sagen viel über die Absichten der betroenen Parteien aus und sind einfach zu analysieren. Aus diesem Grund erfordern adäquater Datenschutz und Informations-Sicherheit auch den Schutz dieser Metadaten. Das System der Sealed Cloud verhindert auf technische Weise jeglichen Zugang zu Daten, auch während diese verarbeitet werden. Normalerweise sind Mitarbeiter eines Anbieters in der Lage, Metadaten mitzulesen, selbst wenn Ende-zu-Ende-verschlüsselte Daten übertragen werden. Die technischen Maÿnahmen, die den Anbieter auch vom Lesen dieser Daten ausschlieÿen können, sind: eine geeignete Schlüsselverteilung, ein Data-Clean-Up im Fall eines Zugriversuchs und eine Dekorrelation der Datenströme, die in die Sealed Cloud hinein und herausieÿen. 1

2 1 Einleitung Um ein Ausspähen von Daten zu verhindern, verlässt sich die Mehrheit der Systeme heute auf Verschlüsselung, so dass nur die jeweiligen Sender und Empfänger die kommunizierten Daten entschlüsseln können. Der physische Zugri zu Signalen und Daten während der Übertragung oder der Speicherung kann toleriert werden, ohne unbefugtes Lesen der Inhalte befürchten zu müssen. Allerdings müssen bisherige Unicast-Systeme immer die Empfängeradressen dem Betreiber oenbaren, damit dieser die Nachrichten korrekt weiterleiten kann. Den Anbietern der Kommunikationsdienste liegen damit die Verbindungsdaten, die aufzeigen, wer mit wem, wann und wie lange kommuniziert, oen vor. Solche Metadaten sagen viel über die Absichten der betroenen Parteien aus und sind einfach zu analysieren. Aus diesem Grund erfordert der Datenverkehr zwischen Bürgern, Unternehmen und öentlichen Einrichtungen auch den Schutz der Metadaten. Dies kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Weisen erfolgen: (1) Entweder durch sorgfältig umgesetzte organisatorische Maÿnahmen zum Schutz der Metadaten 1, (2) durch einen Multicast-Ansatz 2 oder (3) durch den Einsatz von Mix-Netzen 3. Bei Ersterem werden die Personen, die technisch Zugang zu den Metadaten haben, vertraglich zur Geheimhaltung verpichtet. Im besten Falle werden die Tätigkeiten mit Zugang zu den Metadaten, nach dem Vier-Augen-Prinzip durch mehrere, sich gegenseitig überwachende Personen, gemeinsam ausgeführt. Die Datenskandale der letzten Monate zeigen, dass Metadaten mittels organisatorischer Maÿnahmen praktisch nicht ausreichend sicher geschützt werden. Beim Multicast-Ansatz werden asymmetrisch verschlüsselte Daten nicht nur vom Sender an den Empfänger geschickt (wie bei Unicast-Systemen), sondern zusätzlich an mehrere andere Teilnehmer des Netzes verteilt. Weil die Nachricht mit dem öentlichen Schlüssel des Empfängers verschlüsselt wurde, kann nur dieser mit seinem privaten Schlüssel die Nachricht entschlüsseln. Die anderen Empfänger der verschlüsselten Information können den Adressaten der Nachricht nicht ableiten, sondern durch Entschlüsselungsversuche nur feststellen, dass sie nicht zu den Adressaten zählen. Der Anbieter und der Netzbetreiber wissen nur, welcher Netzteilnehmer wann wie viel versendet, jedoch nicht mit wem er kommuniziert. Die Verbindungsdaten bleiben ihm verborgen. Allerdings ist dieser Ansatz nur für Schmalband-Anwendungen geeignet, da sowohl bei den Netzteilnehmern sehr viel Rechenleistung als auch im Netz sehr hohe Übertragungskapazitäten benötigt werden. Ein dritter Ansatz verhindert gar nicht den Zugri auf die Empfängeradressen sondern verschleiert die Absenderadresse. Dies erfolgt über so genannte Mix-Netze, in denen die Nachrichten von der Senderadresse entkoppelt werden und an mehreren Zwischenknoten voneinander unabhängiger Betreiber mit einer Mehrzahl anderer Nachrichten vermischt werden. Damit kann der Empfänger der Nachricht die Absenderadresse für eine verbindliche Kommunikation zwar aus dem verschlüsselten Teil der Nachricht entnehmen, einem einzelner Betreiber der Knoten des Mix-Netzes bleibt dies verborgen. Auch dieser Ansatz ist aufgrund der hohen Verzögerungen in einem solchen Netz eher für Schmalband-Anwendungen geeignet. 1 e.g. das Informations-Sicherheits-Management nach BSI IT-Grundschutz 2 e.g. 3 e.g. 2

3 2 Die Versiegelung von IDGARD Sealed Cloud Die IDGARD und Sealed Cloud zu Grunde liegende Idee besteht darin, die Leistungsfähigkeit und Bedienungsfreundlichkeit eines normalen Web-Dienstes erstmalig mit der gebotenen Sicherheit auszustatten. Mit Leistungsfähigkeit ist gemeint, dass die Signale weder nach einem Multicast-Schema noch über ein Netz von Mixknoten, sondern direkt mit der den Dienst bereitstellenden Infrastruktur ausgetauscht werden können. Mit gebotener Sicherheit ist gemeint, dass ein Satz aus rein technischen Maÿnahmen den Zugri sowohl zu den Inhalten als auch zu den Metadaten wirksam unterbindet. Insbesondere soll als Schutz gegen Angrie von Innen wie von Auÿen keine Notwendigkeit für organisatorische Maÿnahmen entlang der ersten Verteidigungslinie mehr bestehen, d.h. der Unsicherheitsfaktor Mensch wird ausgeschlossen. Der Satz aus technischen Maÿnahmen setzt sich wie folgt zusammen 4 : Sichere Verbindung zu IDGARD Sealed Cloud. Damit keine besondere Software installiert werden muss, erfolgt die Verbindung vom Gerät des Nutzers aus zu IDGARD mit klassischer SSL-Verschlüsselung. Allerdings werden von IDGARD nur starke Cipher, d.h. solche, mit langen Schlüsseln und ohne bekannte Implementierungsschwächen, akzeptiert. Da anders als bei gewöhnlicher Web-Servern bei IDGARD keine privaten Schlüssel auf Server-Seite bekannt sein dürfen, kommt ein speziell abgesicherter Import des privaten Schlüssels durch einen unabhängigen Auditor nur zur Laufzeit des Servers zum Einsatz. Als Schutz gegen so genannte man-in-the-middle-attacken stehen optional eine Browser-Erweiterung und, für Smart Phones und Tablets, Apps zur Verfügung, die bei falschen Zertikaten sofort den Nutzer alarmieren. Ebenfalls optional, können IDGARD-Nutzer mit einem eleganten Einmalpasswort-Generator in Scheckkartenformat oder SMS einen zweiten Faktor zur Absicherung der Authentisierung verwenden. Sicherheit gegen Zugri auf die Daten während der Verarbeitung. Damit nun der Betreiber der Infrastruktur und der Anbieter des Dienstes technisch keine Möglichkeit haben, auf die Nutzerdaten während der Verarbeitung zuzugreifen, kommt ergänzend zur Verschlüsselung die neuartige Versiegelung zum Einsatz. Hierzu sind um alle Anwendungsserver des Dienstes in der so genannten data-clean-up-area mechanische Käge mit elektro-mechanischen Schlössern angebracht. Auch sind alle elektronischen Schnittstellen zu den Servern entweder entfernt oder mit Filtern versehen, die nur den Nutzer-Zugri gestatten; kein direkter Administrator-Zugang ist vorgesehen. Keiner dieser Server hat persistenten Speicher. Die elektronischen Schnittstellen sowie die mechanischen Komponenten der Käge sind mit einer Vielzahl von Sensoren ausgestattet, die Zugangsversuche unmittelbar alarmieren. Im Falle einer solchen Alarmierung wird dann der data-clean-up ausgelöst. Das heiÿt, die Sitzungen der Nutzer auf den betroenen Servern werden automatisch auf nicht betroene Segmente 4 Hubert Jäger et.al. A Novel Set of Measures against Insider Attacks - Sealed Cloud, in: Detlef Hühnlein, Heiko Roÿnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223, ISBN , pp

4 umgelenkt und sämtliche Daten in den betroenen Segmenten gelöscht. Zur Absicherung der Löschung wird sogar die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen. Dieselbe Prozedur wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt. Sichere Speicherung bei IDGARD Sealed Cloud. Das neuartige Prinzip der Versiegelung umfasst des Weiteren eine besondere Schlüsselverteilung, so dass der Betreiber über keinen Schlüssel zur Entschlüsselung der Prole in der Datenbank sowie der Dateien in den File-Systemen verfügt. Konkret werden die Schlüssel für die Prole in der Datenbank durch Hashketten aus Nutzername und Passwort erzeugt. Sobald die Hashwerte ermittelt sind, werden Nutzername und Passwort sofort wieder verworfen. Am Ende der Sitzung wird auch der ermittelte Hashwert gelöscht. Damit schlieÿlich auch aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb der erwähnten data-cleanup-area ein rein volatiler meta-mapping server betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugri darauf hätte. Würden diese einen Zugri versuchen, würde der beschriebene data-clean-up automatisch ausgelöst. Da dieser Server jedoch rein volatil betrieben wird, ist für hohe Verfügbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig, und zweitens müssen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden können. Zusätzliche Maÿnahmen zum Schutz der Metadaten in der Sealed Cloud. Damit von Auÿen durch die Beobachtung des Verkehrsaufkommens ebenfalls keine Rückschlüsse auf die Metadaten erfolgen können, werden Benachrichtigungen über ebendiesen Verkehr aufkommensabhängig zufällig verzögert. Auÿerdem wird die Gröÿe der übertragenen Dateien künstlich auf die nächst gröÿere Standardgröÿe erweitert, damit Metadaten weder über Zeit- noch über Gröÿenkorrelationen abgeleitet werden können 5. Kanonischer Satz an technischen Maÿnahmen und resultierender Schutz. Damit der für die geschilderte Versiegelung notwendige kanonische Umfang der technischen Maÿnahmen auch tatsächlich entsprechend der Spezikation implementiert ist wie speziziert, ist eine Auditierung durch unabhängige Prüfer unabdingbar. Eine Integritätsprüfung durch eine vollständige chain of trust ist je Server installiert. Nicht vorgesehene Software kann nicht ausgeführt werden. Darüber hinaus muss die Implementierung so modular gestaltet sein, dass die Komplexität einer Prüfung überhaupt zugänglich ist. Der resultierende Schutz für die Daten der Nutzer einer solchen versiegelten Verarbeitung umfasst beim Austausch von Ende-zu-Ende verschlüsselten Daten auch die Metadaten und bei allgemeineren Cloud-Anwendungen sowohl die Inhalte als auch die Metadaten auf rein technische und somit nicht kompromittierbare Weise geschützt sind. Wird im herkömmlichen Sicherheitskalkül mit Verschlüsselung und organisatorischen Maÿnahmen gearbeitet, bleiben zwei Herausforderungen unbeantwortet: (1) Kein Schutz für Inhalte und 5 Hubert Jäger, et.al. The First Uniscast Communication System protecting both Content and Metadata, accepted for publication in the proceedings of the World Telecommunication Congress

5 Metadaten, wenn unverschlüsselte Daten verarbeitet werden und (2) selbst dann kein Schutz für die besonders einfach analysierbaren Metadaten, wenn verschlüsselte Daten geroutet werden. Mit dem kanonischen Satz an technischen Maÿnahmen der Versiegelung wird das grundsätzliche Sicherheitskalkül komplettiert. Mit der neuartigen Versiegelung schützt IDGARD die Nutzerdaten gegen Angrie von Auÿen und Innen. Mit der neuartigen Versiegelung schützt IDGARD sowohl Inhalte als auch Metadaten. 3 Anwendung durch öentliche Verwaltung und Unternehmen Technischer Schutz vor Überwachung und Industriespionage. Das Thema Sicherheit in der Kommunikation mit externen Personen und Einrichtungen ist heute für Behörden und Unternehmen leider oft nur kompliziert lösbar. In Folge leidet die Sicherheit. Dieses Thema betrit nahezu alle Organisationen, denn der Firmengrenzen überschreitende Austausch von Dokumenten erfolgt heute leider fast immer ungeschützt meist per . IDGARD löst mit seinen Funktionen zum sicheren Austausch von Dokumenten und Nachrichten über Firmengrenzen hinweg kritische Herausforderungen und das bei sehr einfacher Nutzung und geringen Kosten ohne neue Software. Ein Web-Browser genügt. IDGARD bietet, unter anderem, folgende Anwendungsfälle: 1. Versiegelter Austausch vertraulicher Dokumente mit Kollegen, Kunden und Partnern 2. Versiegelter Teamarbeitsbereich, Datenräume für rmenübergreifende Zusammenarbeit 3. Sicherer, mobiler Zugri auf geschäftliche Unterlagen 4. Versiegelter Chat von allen Endgeräten 5. Termin- und Ressourcenabstimmungen (ähnlich Doodle) Eektivitätssteigerungen durch kontextorientiertes und mobiles Arbeiten. IDGARD verbindet Kommunikation auf derselben Ebene mit Bearbeitung. Diese store & share Kommunikation vermeidet den Wechsel zwischen separaten Systemen und ist auf allen Systemen und Geräten verfügbar PC, Smartphone und Tablet. Datenschutz und Compliance. Da IDGARD als Sealed-Cloud-Service sehr kostengünstig angeboten werden kann und eine sehr hohe Bedienerfreundlichkeit aufweist, kann das System bei der Abwägung der Verhältnismäÿigkeit als Datenschutzmaÿnahme gemäÿ Ÿ 3a und Ÿ 9 BDSG i.d.r. kaum ausgeschlagen werden. Es schützt so gut, dass der relative Personenbezug bei der Verarbeitung nicht auebt. Dadurch entfällt für Anhänger des Prinzips des relativen Personenbezugs die Verpichtung zum Abschluss einer Vereinbarung zur Verarbeitung der Daten im Auftrag gemäÿ Ÿ 11 BDSG 6. IDGARD schützt als erster Kommunikationsdienst für Geschäftskunden Inhalte und Metadaten. Der Anbieter des Dienstes hat keine Möglichkeit zur Kenntnisnahme der 6 Steen Kroschwald, Verschlüsseltes Cloud Computing Zeitschrift für Datenschutz, 2/2014, S

6 verarbeiteten Daten. Dadurch bietet es sogar Berufsgeheimnisträgern rechtskonforme, elektronische Kommunikation über Organisationsgrenzen hinweg. Dies ist nur mit der durch Uniscon weltweit patentierten 7 Plattform Sealed Cloud Technologie möglich. Weiterer gesamtgesellschaftlicher Nutzen. Durch die Sealed-Cloud-Technik kann in einer weiteren Anwendung Sealed Freeze das Konzept einer datenschutzkonformen Speicherung für Anwendungen im Bereich Big Data implementiert werden. Insbesondere eignet sich Sealed Freeze auch als Lösung für die umstrittene Vorratsdatenspeicherung. Damit können gleichzeitig die verfassungsrechtlichen Bedenken der Datenschützer ausgeräumt als auch die Rahmenbedingungen für die Ermittler verbessert werden. Dies gibt der gesellschaftlichen Debatte zur Vorratsdatenspeicherung eine neue Wendung. 4 Fazit Versiegelung, wie in diesem Artikel vorgestellt, verhindert auf technische Weise, dass weder der Betreiber der Infrastruktur noch der Anbieter des Sealed-Cloud-Dienstes während der Verarbeitung der Nutzerdaten auf diese zugreifen kann. Die Kombination aus einer Reihe von technischen Maÿnamen, wie Data-Clean-Up, einer geschickten Schlüsselverteilung und der Dekorrelation der ein- und ausgehenden Datenströme, ergibt ein Sicherheitsniveau, das sogar Berufsgeheimnisträgern ermöglicht, Anwendungen als Cloud-Dienst zu nutzen. Da Verschlüsselung kombiniert mit Versiegelung die Kenntnisnahme der Daten durch Unberechtigte praktisch ausschlieÿt, liegt keine Oenbarung nach Ÿ 203 StGB vor. Jedoch auch für Stellen, die lediglich einem der Dateschutzgesetze, z.b. dem BDSG, unterworfen sind, ist die Nutzung von IDGARD Sealed Cloud anzuraten, weil dem Grundsatz der Datenvermeidung und -sparsamkeit gemäÿ Ÿ3a BDSG durch die genannten Eigenschaften in maximaler Weise Rechnung getragen wird. 7 EP , und andere 6