Sicherheit in der Cloud

Transkript

1 Blockseminar: Software as a Service, Cloud Computing und aktuelle Entwicklungen Sicherheit in der Cloud - Seminarausarbeitung - eingereicht von Christoph Koch Koch-Christoph@gmx.de Dozent(en) Prof. Klaus Küspert Dipl.-Inf. Andreas Göbel Friedrich-Schiller-Universität Jena Fakultät für Mathematik und Informatik Institut für Informatik Lehrstuhl für Datenbanken und Informationssysteme Juni 2010

2 Inhaltsverzeichnis 1 Datensicherheit & Datenschutz in der Cloud Einführung / Motivation Begrifflichkeiten Intention & Gefahren Rechtsgrundlagen Technische Herausforderungen Sicherheit vor unberechtigtem Zugriff Transport der Daten Isolation der Nutzerdaten Verschlüsselung der Daten Wirtschaftliche und soziale Herausforderungen Mangelnde Transparenz für den Kunden (Hoch-) Verfügbarkeit Sicherheit vor Administrator und Co Wirtschaftliche Stabilität des Anbieters Lock-In Standort der Daten Eingriffe durch Regierung und Behörden Schwachstelle Mensch Bewusstheit der Praxis Industrielle Haltung gegenüber Cloud Computing Etablierte Systeme Negative Schlagzeilen Zusammenfassung... 19

3 1 Datensicherheit & Datenschutz in der Cloud 1.1 Einführung / Motivation Durch das Cloud Computing wurden sprichwörtlich neue Maßstäbe hinsichtlich effizienter und flexibler Datenverarbeitung gesetzt. Privaten Anwendern sowie vor allem auch Unternehmen stellt sich nun die Möglichkeit, Rechenleistung ausschließlich nach Bedarf von einem entsprechenden Anbieter zu beziehen. Damit einher geht aber eine Auslagerung der eigenen internen IT-Prozesse in fremde Hände, wodurch neue Sicherheitsrisiken aufgeworfen werden. [Talb10] Nicht zuletzt ist es neben anderen Problemen auch genau dieser Sicherheitsaspekt, der dem Cloud Computing in der Praxis schwere Steine in den Weg legt. In einer Studie von Thales 1, die den Grund für eine Nichtnutzung von Cloud-Angeboten in der Industrie aufdecken wollte, äußerte eine Mehrheit von Unternehmen als Hauptursache für ihre Zurückhaltung die Bedenken hinsichtlich der Datensicherheit. [AAS10] Woraus diese Bedenken resultieren, wie man sie aktuell versucht zu beseitigen und welche Maßnahmen diesbezüglich noch ergriffen werden müssen, soll durch die folgende Ausführung gezeigt werden. 1.2 Begrifflichkeiten Fälschlicherweise werden im Alltag die Bezeichnungen Datensicherheit und Datenschutz oft synonym füreinander verwendet. Dabei unterscheiden sich die Kerngedanken der jeweiligen Schutzziele länderabhängig voneinander. Sind mit Datensicherheit, oder auch Informationssicherheit genannt, eher die Punkte Vertraulichkeit, Integrität und Verfügbarkeit aller Daten gemeint, so versteht man beispielsweise in Deutschland unter Datenschutz vor allem den Schutz vor Datenmissbrauch von ausschließlich persönlichen Daten. Was die einzelnen Aspekte aber im Detail bedeuten, soll im Folgenden kurz dargestellt werden: Datensicherheit: Vertraulichkeit Sämtliche Daten, ob im Speicher- oder Transferzustand, dürfen nur von berechtigten Personen gelesen beziehungsweise verändert werden. 1 Thales Group ( 2

4 Integrität Gespeicherte, aktuell verarbeitete oder übertragene Daten dürfen weder beschädigt, noch unbemerkt verändert werden. Alle getätigten Datenmanipulationen müssen nachvollziehbar sein. Verfügbarkeit Es muss ein dauerhafter oder entsprechend anders vereinbarter Zugriff auf Daten möglich sein. Datenschutz: Schutz vor Datenmissbrauch Der Schutz vor Missbrauch umfasst den Schutz vor Diebstahl, nicht gewollter Änderung und ungewollt herbeigeführtem Verlust dieser Daten, wobei diese Konzepte denen der Datensicherheit sehr ähneln. Zusammenfassend lässt sich festhalten, dass Datensicherheit und Datenschutz sehr eng miteinander verwandt, aber dennoch nicht identisch sind. Datensicherheit bezieht sich in ihrem Kerngedanken auf die Gesamtheit aller Daten, wohingegen sich Datenschutz nur auf private, personenbezogene Daten konzentriert und durch die Gesetzgebungen der Länder verpflichtend ist. Näheres dazu folgt im Abschnitt 1.4. [Fach10] [Laza04] 1.3 Intention & Gefahren Datensicherheit und Datenschutz nehmen heutzutage nicht ohne Grund eine wichtige Position in den Unternehmen ein. Bedrohungen existieren für die IT-Landschaften auf unterschiedlichste Weise und in besonderem Maße auch für die Cloud. Dabei resultieren diese Gefahren aus den verschiedensten Sachverhalten: Höhere Gewalt, wie beispielsweise Vulkanausbrüche, Blitzeinschläge, Feuer, Überschwemmungen, etc. Technische Systemausfälle Bedienungsfehler durch den Benutzer Sabotage (absichtliche Störung eines geplanten Ablaufes) 3

5 Spionage (unrechtmäßige Beschaffung geschützten Wissens) Social Engineering (zwischenmenschliche Beeinflussung mit dem Ziel, vertrauliche Daten zu erlangen) direkter Diebstahl, um an unberechtigte Informationen zu gelangen Malware (Schadprogramme die schädliche Funktionen beim Nutzer ausführen) Diese Liste könnte noch vielseitig weitergeführt werden. An dieser Stelle soll sie aber in ihrem beschränkten Umfang ausschließlich dazu dienen, die Notwendigkeit von Maßnahmen aufzuzeigen, Daten in jeglicher Hinsicht schützen zu müssen. [Laza04] 1.4 Rechtsgrundlagen Wie bereits erwähnt ist Datenschutz im Gegenteil zur Datensicherheit in vielen Ländern gesetzlich vorgeschrieben. Diesbezüglich besteht beispielsweise in Deutschland seit 1978 das Bundesdatenschutzgesetz (BDGS) 2. Weltweit existieren aber zwischen den Staaten unterschiedliche Vorstellungen von Datenschutz. In den USA ist alles erlaubt, was nicht explizit verboten ist und in Deutschland ist alles verboten, was nicht explizit erlaubt ist. Mit diesen Worten von Prof. Klaus Küspert wird deutlich, wie schwerwiegend die Probleme sind, die auch die Cloud Computing - Anbieter mit der globalen Verteilung ihrer Kundendaten haben. Die Freizügigkeit, die in bestimmten Staaten erlaubt ist, wird von anderen Datenschutzgesetzgebungen nicht akzeptiert. [Pete77] In der EU existiert bereits seit 1995 durch die Richtlinie 95/46/EG 3 ein einheitliches Mindestverständnis von Datenschutz. Dieses setzt vor jeder Übermittlung von personenbezogenen Daten eine vorherige Einwilligung der jeweils Betroffenen voraus und fordert zusätzlich das Unterlassen staatlicher Einflussnahme. In Deutschland wurde diese Richtlinie am 18. Mai 2001 umgesetzt, nachdem durch die EU aufgrund der Überschreitung der beschlossenen Umsetzungsfrist von drei Jahren ein Verletzungsverfahren eingeleitet wurde. Auch in diesem Jahr 2010 folgte ein erneutes Urteil des Europäischen Gerichtshofes, das die noch immer unkorrekte Umsetzung in Deutschland feststellte. Es bleibt also weiterhin Nachbesserungsbedarf. [Enge10] [Pata10] [RZ09]

6 2 Technische Herausforderungen Für die potentiellen Nutzer von Cloud Computing -Angeboten ist es essentiell, dass ihre Daten geschützt und vor allem auch hoch verfügbar sind. Um diesen Anforderungen gerecht zu werden, ergeben sich eine Vielzahl von Herausforderungen, die sich dem Prinzip des Cloud Computing stellen. Dabei ist allerdings zu beachten, dass sich sowohl die Cloud-Angebote (SaaS, PaaS, IaaS 4 ) wie auch die Cloud-Formen (Private, Community, Hybrid, Public Cloud 5 ) untereinander unterscheiden und dahingehend die in den beiden folgenden Kapiteln erläuterten Aspekte nicht stets für alle Arten des Cloud Computing zutreffend sind. [Telg10] Die im nächsten Abschnitt beschriebenen technischen Herausforderungen schildern sicherheitskritische Aspekte, die sich als eine Art Ablaufkette vom Nutzer zu seinen Daten in der Cloud beim Provider ergeben. 2.1 Sicherheit vor unberechtigtem Zugriff Da die Verwaltung der Kundendaten beim Cloud-Anbieter erfolgt, kann ein Zugriff auf diese ausschließlich über ein öffentliches oder ein entsprechend getunneltes Netzwerk erfolgen. Für die angesprochene Verbindung sind diverse Authentifizierungsmaßnahmen notwendig, um zum einen unerwünschte Eindringlinge fernzuhalten, aber auch um zum anderen im System eine Informationseinsicht nach dem Need-to-know -Prinzip zu gewährleisten. Das heißt Mitarbeiter, die am System eingeloggt sind, sollen auch nur auf die Daten Einsicht haben, die für die Ausübung ihrer Tätigkeit notwendig sind. [RZ09] Um dieser Forderung nachzukommen, setzt man in der Praxis aktuell vorwiegend auf Public-Key-Infrastrukturen (PKI). Damit werden Systeme bezeichnet, welche digitale Zertifikate ausstellen, verteilen und prüfen, sich aber zumeist in der Bereitstellung des Primärschlüssels unterscheiden: Speicherung der digitalen Signatur auf so genannten Smartcards 6 (teilweise bereits auf USB-Sticks integriert) oder auf an diese angelehnte SIM-Karten 7 Identifizierung über biometrische Verfahren 4 SaaS (Software as a Service), PaaS (Portal as a Service), IaaS (Infrastructure as a Service) 5 Cloud deployment models nach der CSA ( 6 Chipkarten mit integriertem Schaltkreis (Logik, Speicher und ggf. auch Mikroprozessor) 7 subscriber identity module - Karte mit integriertem Prozessor und Speicher, geschützt durch eine PIN 5

7 Cloud-Anbieter besitzen abhängig von ihrer wirtschaftlichen Größe zum Teil eigene Trust Center, welche selbst Zertifikate zur Authentisierung an ihrem System herausgeben. [RZ09] Vernachlässigt man also den der Vergangenheit angehörigen Aspekt, dass sich Nutzer lediglich über einen Nutzernamen und ein zugehöriges Passwort beim System identifizieren, kann mittels der oben genannten aktuellen Methoden ein durchaus akzeptabler Schutz vor unberechtigtem Zugriff auf die Cloud gewährleistet werden. So besteht durch die Vergabe von Zertifikaten sowohl die Möglichkeit, berechtigte Mitarbeiter im System zu erkennen, als auch Mitarbeiter sich gegenseitig erkennen zu lassen. Selbst bei einem Verlust des Primärschlüssels, im Beispiel der Smartcard-Nutzung, kann diese einfach vom System ausgeschlossen und gesperrt werden, sodass kein weiteres Risiko vor Eindringlingen bestehen bleibt. [RZ09] 2.2 Transport der Daten Wie bereits in Abschnitt 1.1 erwähnt, besteht eine der grundsätzlichen Ideen des Cloud Computing darin, IT-Ressourcen nicht mehr durch eigene Rechenzentren bereitzustellen, sondern diese von einem Anbieter aus der Cloud zu beziehen. Diese so genannte Wolke liegt, mit möglicher Ausnahme der privaten Cloud, im Regelfall nicht im kundeneigenen Umfeld, was bedeutet, dass zu ihr eine Verbindung über ein öffentliches oder getunneltes Netzwerk bereitgestellt werden muss. In Einzelfällen erfolgt die Kommunikation zwischen Nutzer und Cloud auch über dedizierte Punkt-zu- Punkt-Verbindungen. Zumeist aber erfolgt die Verwendung von virtuellen privaten Netzwerken (VPN) 8. Dabei wird über ein bestehendes öffentliches Netzwerk eine geschützte Verbindung zu einem VPN-Netz ermöglicht. [RZ09] Wichtig ist aber in jedem Fall, dass auch die notwendigen physikalischen Anforderungen erfüllt sind. So sollte die Netzwerkanbindung stabil, breitbandig und vor allem doppelt ausgelegt sein. Doppelt sollte sie sein, damit, gesetzt den Ausfall einer Verbindung, die jeweils noch verfügbare nahtlos den Dienst der ausfallenden übernehmen kann. [RZ09] 2.3 Isolation der Nutzerdaten Ziel des Datentransports vom Nutzer zum Anbieter ist die Wolke, hinter der sich diverse Rechenzentren des Cloud-Anbieters verbergen. Dort verteilen sich die Nutzerdaten über verschiedene Server, welche allerdings nicht nur Daten eines Kunden enthalten. Eine Ausnahme kann hierbei 8 virtual private network (zugehörige Vereinigung - 6

8 eine private Cloud darstellen, bei der ausschließlich die Daten eines Kunden auf einem dedizierten Server des Anbieters liegen. Bei sämtlichen anderen Formen ergibt sich aus der angesprochenen Verteilung ein nicht zu vernachlässigendes Risiko. Dabei obliegt es dem Provider, dafür zu sorgen, dass die Daten eines Kunden von denen eines anderen isoliert und geschützt gespeichert werden. Schließlich könnte Schadsoftware durch einen anderen Nutzer in die Cloud beziehungsweise die Serverlandschaft gelangen und von dort aus die privaten Daten bestimmter Nutzer ausspähen oder gar manipulieren. Um diesem Risiko entgegenzuwirken, setzt man in der Praxis auf virtuelle lokale Netzwerke (VLAN) 9, welche es ermöglichen, jedem Kunden ein eigenes (virtuelles) Netzwerk auf der Rechenlandschaft des Anbieters zuzuweisen. Jedes dieser VLANs realisiert für den Cloud Nutzer dabei eine gezielte Verknüpfung von bestimmten Partitionen der einzelnen Server. Auf diese Weise wird ermöglicht, dass jeder Kunde einen klar definierten Bereich hat, in dem er arbeiten oder auch mit anderen Kunden interagieren kann. Die Verwaltung der komplett voneinander isolierten VLANs erfolgt dabei zentral, zumeist durch einen Switch. Dort liegen auch die Informationen zur Zusammensetzung der einzelnen Netzwerke. [RZ09] Eine Isolation der Daten eines jeden Kunden auf den Servern des Cloud-Anbieters kann also gewährleistet werden. Was ist aber, wenn Unternehmen untereinander interagieren wollen? Auch hierfür muss der Provider eine Lösung bereitstellen. Dies ist aber beim Cloud Computing nicht weiter problematisch. Auf dem gleichen Weg, wie sich die Daten einzelner Kunden voneinander separieren lassen, können gewisse Anwendungen in der Cloud auch wieder entsprechend regelbasiert zusammengeführt werden. Nach selbigem Prinzip kann auch die sichere Kommunikation mit einer Anwendungslandschaft außerhalb der Cloud ermöglicht werden. In beiden Fällen bleibt die Isolation zu allen anderen Anwendern vollständig erhalten. [RZ09] 2.4 Verschlüsselung der Daten Einen Kernpunkt hinsichtlich der Sicherheit stellt die bisher nur am Rande angesprochene, aber in allen vorangehenden Abschnitten 2.1, 2.2, 2.3 bedeutsame, Verschlüsselung der Daten dar. Erst wenn Nutzerdaten in der Cloud vollständig durch kryptische Verfahren geschützt sind, kann dem Nutzer eine greifbare Zugestehung von Sicherheit gegeben werden. Während ein solcher Schutz für die Daten des Kunden beim Transport in die Cloud und aus dieser heraus besteht, liegen diese aber bislang unverschlüsselt auf den Servern der Anbieter und das ist gängige Praxis. Das Problem dabei ist, dass eine verschlüsselte Ablage gleichsam auch 9 virtual local area network, beschreibt ein logisches Teilnetz innerhalb eines physikalischen Netzwerkes 7

9 bedeuten würde, dass die Daten in der Cloud vor jeder Operation ent- und dann wieder verschlüsselt werden müssten. Selbst wenn man als Kunde diesen absolut unpraktikablen Aufwand der Sicherheit Willen in Kauf nehmen würde, müssten dazu trotzdem sämtliche Schlüssel ebenfalls in der Cloud, also beim Anbieter, gespeichert werden. Dem Nutzer bliebe dann nur die Zusage des Providers, seine Daten nicht einzusehen beziehungsweise unbefugt weiterzugeben. [Talb10] Mit einer viel versprechenden Methode, die Craig Gentry 10 im Jahr 2009 entwickelte, könnte diesem Problem Abhilfe geschaffen werden. Dabei ermöglicht ein spezielles Verschlüsselungsverfahren, dass kodierte Daten komplett innerhalb der Cloud verarbeitet werden können, ohne dass eine vorangehende Entschlüsselung stattfinden müsste. Beispielsweise ließe sich so aus codierten Mails Spam herausfiltern oder aus verschlüsselten Umsatzzahlen das Wachstum berechnen. Die jeweils resultierenden Ergebnisse dieser Verarbeitungen befinden sich dann ebenfalls in codierter Form. Das heißt, die Daten brauchen erst beim Kunden wieder entschlüsselt zu werden, weshalb es auch nicht mehr notwendig wird, dass der Cloud-Anbieter den Schlüssel speichert. [Talb10] Dem hierfür verwendeten Verfahren von Gentry liegt dabei die Form der homomorphen Verschlüsselung zugrunde. Bislang waren nur Vorgehensweisen bekannt, bei denen man die codierten Daten hinsichtlich einer einzelnen speziellen mathematischen Operation (beispielsweise Multiplikation) verändern konnte, um dadurch gleichsam die eigentliche Information dieser Daten zu ändern. Nun ist dies mittels Gentrys Verfahren, das auf einem so genannten Idealgitter aufbaut, sowohl für die Addition als auch für die Multiplikation und demzufolge für alle Operationen möglich. [Talb10] Dazu ein kurzes Beispiel: Kodierung veränderte Originalwert Operation Ergebnis Vergleich des Werts Kodierung bislang 5 C(5) * 2 C(5) * C(2) C(10) (bspw. RSA 11 ) 5 C(5) + 3 C(5) + C(3) C(8) x Gentry 5 C(5) * 2 C(5) * C(2) C(10) 5 C(5) + 3 C(5) + C(3) C(8) So viel versprechend diese Methodik aktuell klingt, ein großer Nachteil, der auch ihre Umsetzung auf die Praxis verhindert, bleibt vorerst noch bestehen - die Performance. Das Verfahren benötigt sehr viel Rechenleistung und ist somit noch nicht geeignet, um insbesondere auch beim Cloud Computing Anwendung zu finden. Daran wird aber bei IBM fortlaufend gearbeitet, so dass man der Zukunft positiv entgegenblicken kann. [Talb10] 10 Kryptologie-Forscher im IBM Watson Research Center 11 asymmetrisches Kryptosystem, benannt nach seinen Entwicklern (Rivest, Shamir und Adleman) 8

10 3 Wirtschaftliche und soziale Herausforderungen Analog zu den technischen Herausforderungen ergibt sich beim Cloud Computing auch eine Vielzahl von wirtschaftlichen und sozialen Herausforderungen, die aus dem neu geschaffenen Verhältnis zwischen Anbieter und Kunde resultieren. Diese beiden Akteure sind dabei voneinander verschieden, was bedeutet, dass kundeninterne (Cloud-) Strukturen im Folgenden ausgeschlossen werden sollen. 3.1 Mangelnde Transparenz für den Kunden Ein zentraler Kritikpunkt am Cloud Computing ergibt sich aus der bereits angesprochenen Auslagerung der privaten Daten in die Cloud. Dedizierte Rechenzentren (beim Kunden) werden durch den Cloud-Anbieter ersetzt, wodurch der Kunde die direkte Kontrolle, also die hausinterne Verarbeitung und Speicherung, seiner Daten verliert. Er gibt sich somit, genau wie bei einer Dienstleistung im herkömmlichen Sinne, vertrauensvoll in die Hände seines Anbieters, so dass er im Folgenden vom Markt, den herrschenden rechtlichen Rahmenbedingungen und von Zertifizierungen im Sinne der Einhaltung geforderter Standards abhängig wird. Dabei kann ihm niemand nachweislich garantieren, dass seine Daten beim Provider genauso sicher liegen, wie in seinem eigenen Rechenzentrum (zuvor). Der Nutzer des Cloud Computing verliert also durch dessen Verwendung die Möglichkeit, den Umgang mit seinen Daten und deren Aufenthaltsort weiterhin zu kontrollieren - etwaige Sicherheitsprobleme beim Anbieter entgehen seiner Obhut komplett. [AAS10] 3.2 (Hoch-) Verfügbarkeit Beim Cloud Computing hat der Nutzer keinen direkten Einfluss auf die Verfügbarkeit seiner Daten. Auch wenn Provider durch eine hoch redundante Infrastruktur robust scheinen, kann dem Kunden keine dauerhafte und einhundertprozentige (Hoch-) Verfügbarkeit garantiert werden. Problematisch wird es zudem bei schwerwiegenden Systemfehlern seitens der Anbieter. Diese können die gesamte Cloud schädigen und somit zu kundenübergreifenden Stillständen führen. Die Ausmaße eines solchen Szenarios sind weitreichend. Dass sie aber durchaus existieren, zeigte in der Vergangenheit 9

11 der Ausfall von Microsoft Azure 12, welches während seines Probebetriebs über 22 Stunden offline war. [AAS10] Mögliche Fehlerfälle, wie eben geschildert, können aber neben dem Verlust der bloßen Verfügbarkeit auch zu einem dauerhaften Verlust der Daten führen. Im Falle eines solchen Desasters müssen Mechanismen greifen, die eine Wiederherstellung der Daten leisten können. Der Provider steht also auch hier in der Pflicht, den Kunden über solche Absicherungsmaßnahmen zu informieren und diese beispielsweise durch Replikation zu gewährleisten. Wichtig ist in diesem Zusammenhang zudem die Zeit, die eine eventuell notwendige Restauration der Daten in Anspruch nehmen würde. Die Möglichkeit der Wiederherstellung allein reicht in der Praxis meist nicht aus. [Brod08] 3.3 Sicherheit vor Administrator und Co. Von großer Bedeutung ist aber auch das Vertrauen gegenüber dem Provider. Wie schon hinsichtlich der Thematik der Verschlüsselung (siehe Abschnitt 2.4) angedeutet, liegen die Kundendaten aktuell zumeist unverschlüsselt auf den Servern der Anbieter, wo sie unter anderem durch dortige Administratoren oder andere Mitarbeiter verwaltet werden. Die angesprochenen Personen könnten also jederzeit Einsicht in streng vertrauliche Informationen haben und diese unter Umständen sogar unbefugt weitergeben. Selbst wenn eine entsprechende Codierung nach aktuellen Standards - Craig Gentrys Methode der homomorphen Verschlüsselung ausgenommen - beim Anbieter gewährleistet wäre, müssten die Daten zur dortigen Verarbeitung ständig ent- und verschlüsselt werden, wobei das Schlüsselmaterial selbst auch beim Provider gespeichert wäre. Der Kunde sollte aus diesem Grund genaueste Absprache mit seinem Anbieter und gegebenenfalls dessen Cloud-Anbieter halten, um die dortige Zugriffsrechteverwaltung besonders für kritische Daten abzuklären. [Brod08] [AAS10] 3.4 Wirtschaftliche Stabilität des Anbieters Neben den bisher betrachteten Aspekten stellt auch die wirtschaftliche Stabilität des Cloud- Anbieters einen wichtigen Kritikpunkt für die Anbieterwahl dar. Dabei wird an dieser Stelle von den möglichen Folgen eines finanziellen Bankrotts beziehungsweise einer Insolvenz des Anbieters, welche im darauf folgenden Kapitel abgehandelt wird, vorerst abgesehen. Stattdessen sollen die 12 portal as a service - Angebot von Microsoft (seit 1. Februar 2010 offiziell verfügbar) 10

12 zumeist mit der wirtschaftlichen Stabilität einhergehenden Möglichkeiten betrachtet werden, die für den Kunden ausschlaggebend sein können. Prioritäten liegen dabei auf den angebotenen Services und der Leistungsfähigkeit, die der Anbieter gewährleistet, wobei sich in der Regel bereits hier schon erste große Unterschiede zwischen den Providern auftun. So bietet beispielsweise ein großer etablierter Cloud-Anbieter durch die Vielzahl an Kunden den Vorteil, ausreichend finanzielle Mittel zur Verfügung zu haben, um weitreichende Kapazitäten an Leistung bereitzustellen und aktuelle Technologien einzusetzen. Speziell diese können auch entscheidend sein, wenn es darum geht, aktuellen Sicherheitsanforderungen Stand zu halten oder dahingehend Präventionsmaßnahmen zu ergreifen. Weiterhin interessant für den Kunden ist die Fähigkeit des Anbieters, individuelle Kundenbedürfnisse befriedigen und branchenspezifisches Wissen bereitstellen zu können. So sind solvente Provider in der Lage, ihre Mitarbeiter entsprechend auszubilden und sie auch zur fortlaufenden Weiterbildung regelmäßig auf Schulungen zu schicken. [RZ09] Ein wirtschaftlich stabiler Anbieter sollte also dem Kunden ermöglichen, sich neben der gewünschten IT-Leistung auch das notwendige Branchen-Know-how kaufen zu können. 3.5 Lock-In Hat man sich als Kunde nach sorgfältiger Auswahl für einen Provider entschieden und seine IT- Landschaft in dessen Cloud verschoben, würde ein zukünftiger Anbieterwechsel immensen Aufwand nach sich ziehen. Der Begriff Lock-In bezeichnet den angesprochenen Sachverhalt - eine herbeigeführte Situation, welche nicht mehr durch die Aufwendung wirtschaftlich angemessener Kosten geändert werden kann. [ES97] Betrachtet man das beschriebene Szenario, ist zum einen die Auslagerung der IT-Landschaft des Kunden in die Cloud immer mit einer gewissen Anpassung verbunden, zum anderen geht mit einer solchen neben der eigenen Serverlandschaft auch das eigene IT-Know-how mehr und mehr verloren, weshalb man im Folgenden beim Kunden durchaus von einer fortwährenden Abhängigkeit vom Anbieter sprechen kann. Dementsprechend sollte dieser so gewählt werden, dass er neben den eigentlichen individuellen Anforderungen, auch eine wirtschaftlich stabile, zukunftssichere Lage vorweist. [Ruef09] Dennoch kann ein Anbieter keine Garantie für seine dauerhafte Beständigkeit geben. Der Kunde muss sich also dem Ernstfall, beispielsweise einer möglichen Insolvenz des Providers, bewusst sein und sich informieren, wie er seine Daten in einer solchen Situation zurückbekommt. 11

13 Im Idealfall kann der Anbieter ihm garantieren, die Daten sowohl lückenlos, als auch in einem vom Kunden importierbaren Format aus der Wolke zurück zu transferieren. [Brod08] [RZ09] 3.6 Standort der Daten Neben den bisher betrachteten, rein sicherheitstechnischen Schwierigkeiten treten allerdings durch das Cloud Computing auch neue datenschutzrechtliche Probleme auf. Diese resultieren vorwiegend aus dem Standort der Daten. Der Nutzer ist dazu verpflichtet, sich an die von seinem Niederlassungsort abhängigen Gesetzmäßigkeiten des Landes zu halten - sprich an das jeweils zutreffende (Bundes-) Datenschutzgesetz. Dementsprechend muss er zum Beispiel als deutsches Unternehmen dafür Sorge tragen, dass sämtliche gespeicherten Daten - sowohl eigene Daten, exemplarisch die der Mitarbeiter, als auch Daten im Auftrag Dritter - nur mit der Zustimmung ihrer Eigentümer weiterverwendet oder weitergegeben werden dürfen. Insbesondere umfasst dies ebenso den Schutz vor Diebstahl, ungewollter Veränderung und herbeigeführtem Verlust dieser digitalen Informationen. [Laza04] Mit der Auslagerung der IT-Landschaft in die Cloud muss sich der Nutzer vom Provider zusichern lassen, dass dieser vertrauensvoll mit den Daten verfährt und sie vor allem nur in Ländern speichert, deren Gesetzgebungen ein gefordertes Maß an Datenschutz und Datensicherheit nicht unterschreiten. Aus diesem Grund wurde mit der bereits im Abschnitt 1.4 angesprochenen Richtlinie 95/46/EG in der EU ein einheitlicher Mindeststandard verabschiedet, welcher dafür sorgte, dass sich diese Region im Folgenden besonders gut für die Stationierung von Cloud- Rechenzentren eignete und weiterhin eignet. [RZ09] Nichts desto trotz existieren aber neben den allgemein rechtlichen Auflagen auch vielerlei branchenspezifische Anforderungen. Aus diesem Grund ist beispielsweise in Frankreich und Polen verboten, Finanzdaten außerhalb der Landesgrenzen zu verwalten. In anderen Ländern wie den USA ist es im Regelfall nicht gestattet, Sicherheitstechnologien wie Verschlüsselung von Daten zu betreiben, da diese unter das Kriegswaffenkontrollgesetz fallen und deshalb nur in Ausnahmefällen einzusetzen sind. [RZ09] In diesem Zusammenhang existieren noch zahlreiche andere Richtlinien, die dem letztendlichen Durchbruch des Cloud Computing im Weg stehen. Besonders klar wird dies, wenn man bedenkt, dass es durch die bereits im Kapitel 2 erwähnte, extreme Virtualisierung der Netzwerke (VLAN, VPN, ) innerhalb der Wolke für die Provider nicht trivial ist, zu beeinflussen, in welchem Land die Daten eines bestimmten Kunden verarbeitet werden. Keine direkte Lösung, aber zumindest einen Ausweg aus diesem Problem, ist im Jahr 2000 durch die Einführung der Safe 12

14 Harbor Principles für Unternehmen des amerikanischen Raumes geschaffen wurden. Dieses verpflichtet die Mitglieder dazu, sich an datenschutzrechtliche Prinzipien zu halten, wie sie in ihrem Kern denen der EU entsprechen. Sollte zukünftig ein Verstoß gegen die beschlossenen Grundsätze erfolgen, so kann die Federal Trade Commission 13 entsprechende Sanktionen gegen den Störer einleiten. Prominente Mitglieder des Abkommens sind, wie an dieser Stelle bereits vermutet wird, gleichsam die führenden Anbieter auf dem Markt des Cloud Computing: Amazon, Google und Microsoft. [AAS10] [Fink02] Aber auch aus geografischer Sicht hat der Standort der Daten eine wichtige Rolle. Wie bereits erwähnt, werden im Regelfall vom Cloud-Provider ausreichend Mechanismen zum dauerhaften Schutz der Verfügbarkeit der Kundendaten bereitgestellt. Vernachlässigt man an dieser Stelle aber den genannten Aspekt, dann könnten ungewollte Zwischenfälle, wie Naturkatastrophen (Erdbeben, Stürme, Überschwemmungen, etc.) oder militärische Interaktionen, ganze Rechenzentren des Cloud-Anbieters lahm legen. Die sich daraus ergebenden Konsequenzen für die Verfügbarkeit der Daten des Kunden wären erheblich und könnten im schlimmsten Fall sogar in einem dauerhaften Datenverlust resultieren. [RZ09] 3.7 Eingriffe durch Regierung und Behörden Fernab der genannten sicherheitskritischen Aspekte sind in Zukunft Probleme denkbar, die gerade durch die reibungslos sichere Funktionalität des Cloud Computing entstehen können. So äußert sich Jonathan Zittrain 14 wie folgt zu diesem Thema: Für mich ist das größte Problem beim Cloud Computing nicht die Sidekick-Situation, wo Microsoft deine Daten verliert, sondern die verbesserte Möglichkeit für die Regierung, dein Zeug zu bekommen und zu zensieren." [Talb10] Damit spricht er die Leichtigkeit an, mit der für sämtliche Behörden der Zugriff auf zentral, beim Provider gespeicherte, nutzereigene Daten möglich wäre. Ergibt sich also ein entsprechender Anlass, dann steht für Regulierungsbehörden und Gerichte Tür und Tor offen, um auf einfache Art und Weise beispielsweise Zensurmaßnahmen durchzuführen oder auch Copyright-Ansprüche zu überprüfen. In einigen Ländern ist es sogar erlaubt, dass sich eben genannte Behörden komplette Daten-Backups aushändigen lassen dürfen ohne darüber informieren zu müssen. Der Provider wäre in der Pflicht, die Daten herausgeben zu müssen, ohne dass die Eigentümer Einfluss darauf hätten. Dabei ist es irrelevant, ob diese Daten zu Nutzern eines anderen Landes gehören. Hier spielt also ebenfalls die Örtlichkeit der Daten, aufgrund der unterschiedlichen Datenschutzgesetzgebungen der 13 unabhängig arbeitende Bundesbehörde der USA mit Zuständigkeit für die Zusammenschlusskontrolle und den Verbraucherschutz 14 Mitgründer des Berkman Center for Internet and Society 13

15 Staaten, eine wichtige Rolle. Auch aus diesem Grund verzichten bestimmte Provider bewusst darauf, Rechenzentren in solchen kontrollierenden und sanktionierenden Ländern zu errichten. [Talb10] [RZ09] Dass dieses Verhalten durchaus begründet ist und Szenarien, wie sie eben aufgezeigt wurden, tatsächlich praxisrelevant sind, wurde erst kürzlich eindrucksvoll bewiesen. So überführte das FBI im April 2010 Spammer anhand ihrer, in der Cloud von Google Docs gespeicherten, Daten, über welche der rechtswidrige Versand von ca. drei Millionen Werb s nachweisbar war. [Koss10] 3.8 Schwachstelle Mensch Trotz aller genannten Punkte - der Hauptunsicherheitsfaktor ist und bleibt der Mensch selbst. Erst wenn dieser die wachsende Komplexität beherrscht, um vorhandene Sicherheitslücken zu erkennen, können entsprechende Maßnahmen dagegen ergriffen werden. Dem nach zu kommen erfordert aber spezielles Know-how. Damit dieses vermittelt wird und sowohl der Kunde als auch der Mitarbeiter beim Anbieter die für ihn notwendige Expertise erhält, werden durch einige Cloud-Provider interne und externe Programme veranstaltet. Ziel dessen ist auf lange Sicht die Bereitstellung einer individuellen Sicherheitslösung für jedes Unternehmen, welche effizient und sinnvoll beim Kunden ihren Einsatz finden und zukünftig flexible Anpassungen ermöglichen soll. [RZ09] In der Praxis besteht in diesem Zusammenhang noch Verbesserungsbedarf - besonders hinsichtlich des richtigen Maßes an Fortbildung. Dies zeigt sich auch durch den folgenden Auszug, entnommen einer Pressemitteilung des Unternehmens Kroll Ontrack 15, in dem der dortige Managing Director Edmund Hilt auf die Problematik Mensch eingeht und gleichzeitig Erklärungen und Lösungen versucht aufzuzeigen. Fortschrittliche Speichermöglichkeiten durch Virtualisierung und Cloud Computing bieten optimierte und hochflexible Speicherlandschaften. Aber der Faktor Mensch lässt sich nicht ausblenden. Je komplexer eine Technologie ist, umso häufiger und folgenreicher werden Bedienungsfehler. Die Komplexität der neuen Speicherlandschaften erfordert ein deutliches Mehr an Fortbildung und eine intensive Einarbeitung. [KO09] 15 Unternehmen mit Tätigkeitsschwerpunkt Datenrettung und Datenwiederherstellung ( 14

16 4 Bewusstheit der Praxis 4.1 Industrielle Haltung gegenüber Cloud Computing Betrachtet man die Vielzahl an Herausforderungen, die sich durch das Cloud Computing ergeben und fokussiert dabei auf die Kernbereiche Verschlüsselung und Transparenz, dann scheint die Umsetzung der Wolke noch in weiter Ferne zu stehen. Doch dies ist weit gefehlt, denn Sicherheitsstandards, wie sie aktuell beim Cloud Computing gewährleistet sind, werden in der Industrie nur selten erreicht, geschweige denn übertroffen. In der Praxis ist es keine Seltenheit, dass Laptops oder USB- Sticks mit wichtigen internen Firmendaten gestohlen werden beziehungsweise verloren gehen. Ebenso lässt man sich dort laut entsprechenden Studien auch circa drei bis sechs Monate Zeit, um Sicherheits-Updates zu installieren. Dies alles ist weit gefehlt von den Forderungen an Sicherheit, die die Unternehmen selbst stellen und auch gegenüber dem Cloud Computing erwarten. [Talb10] Dementsprechend muss entgegen dem Fazit der Studie von Thales, auf die in der Einleitung verwiesen wurde, die Aussage berichtigt werden, denn in den meisten Fällen ist die Art und Weise, wie sich die Anbieter der Wolke gegenüber den Sicherheitsbedenken äußern, gerechtfertigt: Cloud Computing ist immer noch sicherer als alles, was Sie derzeit benutzen. Besonderen Stellenwert hat diese Aussage für kleinere und mittelständische Unternehmen. Ihnen fehlt meist das nötige Knowhow und vor allem die finanziellen Mittel, um mit aktuellen Sicherheitsstandards mithalten zu können. Der Cloud-Provider dagegen kann sich aufgrund der Skalierungseffekte gezielt um solche Problemstellungen kümmern und fortlaufend moderne Lösungen anbieten. Eine Beziehung der IT- Ressourcen aus der Cloud könnte also eine willkommene Erleichterung für den Kunden darstellen, da nicht mehr er selbst, sondern der Anbieter in der Pflicht wäre, sicherheitsrelevante Schutzmechanismen bereitzustellen. [Talb10] [AAS10] Ganz von der Verantwortung kann sich der Nutzer beim Cloud Computing aber nicht befreien. Er muss sorgfältig entscheiden, für welche Daten und Prozesse eine Auslagerung in die Cloud sinnvoll ist und darf die dadurch gebotenen Chancen und Risiken nicht außer Acht lassen. Vermutlich liegt hier der Knackpunkt für die (noch) verhaltene Akzeptanz der Wolke in der Industrie, wie eine weitere Studie der International Data Corporation (IDC) 16 zeigte. Laut dieser setzen momentan nur sieben Prozent aller befragten deutschen Unternehmen auf die Cloud, nur 14 Prozent planen oder prüfen eine Umstellung in der Zukunft und ganze sieben Prozent haben sich nicht einmal mit dem Thema Cloud Computing beschäftigt. Es kam sogar von vier Prozent der Befragten die Antwort, sich bewusst gegen die Wolke entschieden zu haben. [IDC09] [Peck09] 16 internationales Marktforschungs- und Beratungsunternehmen im IT-Bereich ( 15

17 In der Regel scheuen Unternehmen, aus Angst vor einem möglichen Verfügbarkeitsverlust und allgemeiner Ungewissheit, die Umstellung auf neue Architekturen und Methodiken. Um diesem Verhalten entgegenzuwirken, schloss sich im Jahr 2008 die so genannte Cloud Security Alliance (CSA) 17 zusammen. Sie hat sich zum Ziel gesetzt, Cloud Computing fortlaufend sicherer zu machen und in dem Zusammenhang auch ein richtungweisendes Paper 18 veröffentlicht. In dem Dokument werden Möglichkeiten, eventuelle Probleme durch eine Umstellung der IT-Struktur verschiedenster Unternehmensformen auf die Wolke und Lösungen diskutiert. Anhand der vorgeschlagenen Richtlinien lassen sich nahezu jegliche Bedenken gegenüber dem Cloud Computing beseitigen und die Sicherheitsrisiken auf ein Minimum beschränken. [AAS10] [CSA09] 4.2 Etablierte Systeme Auch wenn die Kritiker bis zum Zeitpunkt, wo das letzte sicherheitskritische Problem gelöst wird, nicht zum Schweigen kommen werden, weist das Cloud Computing bereits heute eine Vielzahl an erfolgreichen, etablierten Systemen auf. Von Saas bis Iaas existieren Lösungen, die aus dem Alltag sowohl für Privat- als auch Geschäftsanwender nicht mehr wegzudenken sind. Einige namhafte unter Ihnen sollen im Folgenden kurz aufgereiht werden: Amazon Elastic Compute Cloud - Infrastructure as a Service Angebot von Amazon Web Services Google App Engine - code.google.com/appengine/ Platform as a Service Angebot von Google Google Docs - docs.google.com/ Software as a Service Angebot von Google Windows Azure - Platform as a Service Angebot von Microsoft Force.com - Platform as a Service Angebot von Saleforces Security Guidance for Critical Areas of Focus in Cloud Computing mittlerweile erschienen in Version

18 4.3 Negative Schlagzeilen Spricht der Experte von Cloud Computing, dann redet er von technologischen Möglichkeiten und aufkommenden Risiken, er spricht von Sicherheitslöchern und von Maßnahmen diese zu stopfen. Doch bei allem denkt er an vergangene Ereignisse, die dem Vertrauen in die Cloud schwere Schäden zugeführt haben. Auf ein paar der medienwirksamsten Vorfälle soll im nächsten Abschnitt kurz eingegangen werden. Eine der bekanntesten dieser Schlagzeilen stellte im März 2009 die Panne bei dem Text & Tabellen Tool Google Docs dar. Personen, denen einmalig Zugriffsrecht auf nutzereigene Dokumente vergeben wurde, hatten plötzlich selbige Berechtigungen für alle anderen privaten Ablagen des gleichen Inhabers, egal ob diese explizit freigegeben worden waren oder nicht. Laut Google selbst seien von der angesprochenen Panne weniger als 0,05% aller Dokumente betroffen gewesen. Bezieht man diesen Prozentsatz aber auf die Vielzahl aller in Google Docs gespeicherten Dokumente, dann ist an dieser Stelle von einem weitreichenden Vorfall die Rede, der seinen Schatten über die Wolke legte. [Schw09] Ungefähr ein halbes Jahr später, ist es wieder Google Docs, das in den Medien negative Präsens zeigte. Diesmal aus dem Grund, dass ohne explizite Erlaubnis der Dokumentenersteller fremde Personen auf deren private Briefe mit teilweise enthaltenen Bank-, Telefon- und Adressdaten zugreifen konnten. Als Ursache dessen vermutete man ein Update, welches Ordnerfreigaben ermöglichen sollte. Zur Entlastung des Konzerns stellte sich aber später heraus, dass die betroffenen Nutzer des SaaS Angebotes von Google eine Dokumentenvorlage verwendeten, die automatisch die Freigaben entsprechend veränderte. Auch wenn demnach hierbei menschliches Versagen der Grund für die Aufruhr war, zeigt der Vorfall deutlich, wie schwierig es für den Nutzer ist, richtig mit den Diensten der Cloud umzugehen und wie gravierend sich geringfügige Bedienungsfehler auswirken können. [Bach09] In den USA kam es im Oktober 2009 auch bei der Microsoft-Tochter Danger 19, welche unter anderem den Online-Speicher des T-Mobile 20 Sidekick bereitstellt, zu einem Aufsehen erregenden Zwischenfall. Während einer Server-Migration traten Probleme auf, die zu einem erheblichen Datenverlust führten. Das Brisante dabei ist, dass Danger über kein ausgereiftes Backup- System verfügte. Zudem beauftragte die Microsoft-Tochter für die Wartung und Reparatur ihrer Server das Unternehmen Hitachi 21. Das Resümee des Ganzen war ein breiter serverseitiger Datenverlust von Adressen, Kalendereinträgen, Fotos, etc. der Sidekick-Nutzer. Diesen blieb vorerst nur die Möglichkeit, Kopien der alten Daten vom Sidekick wieder in die Cloud zu senden, falls das 19 Unternehmen, dass unter anderem auf services für mobile Endgeräte spezialisiert ist ( 20 Weltweit agierender Mobilfunkkonzern ( 21 Elektro- und Maschinenbauunternehmen mit Hauptsitz in Japan ( 17

19 Endgerät nicht komplett ausgeschaltet war. Später allerdings gelang es nach aufwendigen Restaurationsarbeiten Danger eine Vielzahl der Daten zu rekonstruieren und den Verlust für die Endnutzer zu mindern. Um aber der, aus diesem Vorfall hervorgehenden, gewaltigen Empörung entgegenzuwirken, welche sowohl auf T-Mobile, als auch auf Microsoft kein gutes Licht warf, bot T-Mobile allen betroffenen Nutzern eine Entschädigungszahlung in Höhe von 100 Dollar an. Nichts desto trotz zeigte sich aber hieran wieder einmal, dass das Cloud Computing in seinen Arten noch nicht die Sicherheit gewährleisten kann, wie sie sich der Kunde wünscht. [Baye09] [Wilk09] An dieser Stelle könnten noch viele weitere Beispiele aufgeführt werden, die weitere Argumente gegen das Cloud Computing bekräftigen würden. Auch andere namenhafte Provider wie beispielsweise Amazon mit ihrem Simple Storage Service (S3) fänden dabei Erwähnung. Bei allen derartigen Schwachstellen darf allerdings nicht in Vergessenheit geraten, dass in eigenen Unternehmensnetzwerken solche Vorfälle ebenfalls - wahrscheinlich sogar noch wesentlich öfter - auftreten, wie eben gezeigt. Einzig die Ausmaße solcher Fehler wären dabei im Normalfall wesentlich geringer. [Hens08] 18

20 5 Zusammenfassung Über den Wolken muss die Freiheit wohl grenzenlos sein. So wie es Reinhard Mey hier besingt, könnten in Zukunft für sämtliche Beteiligte am Cloud-Geschäft alle Ängste [und] alle Sorgen [unter Ihnen] verborgen [bleiben]. Doch bis dahin ist es noch ein langer Weg, denn noch gibt es Sicherheitsrisiken, die es zukünftig zu bewältigen gilt. Daran wird gearbeitet, denn hält man allein an dem Verschlüsselungsansatz von Gentry fest und glaubt an eine zukünftig performante Umsetzung, dann fallen fast alle Probleme wie ein Kartenhaus in sich zusammen. So bräuchte der Nutzer keine Angst mehr vor Missbrauch oder unbefugter Einsicht anderer in seine Daten haben. Ein erster Schritt ist in diesem Zusammenhang getan, denn an den Universitäten Bristol und Leuven wurde aus dem Gentry-Ansatz Mitte des Jahres 2010 bereits ein entsprechend effizientes Verschlüsselungsverfahren abgeleitet. Leider arbeitet dieses aber noch nicht komplett vollhomomorph, weshalb die Daten über die Verarbeitung hinweg mehr und mehr schmutzig werden. Betrachtet aber der Nutzer diesen Fortschritt und die vielseitigen Verfügbarkeitssicherungsmaßnahmen, dann kann er ein Vertrauen zum Provider entwickeln, das ihn die mangelnde eigene Transparenz verschmerzen lassen kann. Dem Durchbruch der Cloud stände dann maximal noch die Regierung im Weg. Dieses Risiko allein wird aber dem Ansturm der Wolke nicht standhalten können, denn sogar die EU selbst fördert das Cloud Computing mit 130 Millionen Euro. Wichtig ist, dass die Triebwerke nicht still stehen und das tun sie definitiv nicht, nicht bei IBM, nicht bei Amazon, Google, Microsoft oder irgendeinem anderen Cloud-Provider. Wohin die Reise geht ist noch unklar. Fakt bleibt aber - abgehoben ist der Flieger schon. [Rjoe09] [Simo10] 19