Die Sealed-Cloud-Versiegelung

Transkript

1 Die Sealed-Cloud-Versiegelung Verschlüsselung allein genügt für sicheres Cloud Computing nicht Dr. Hubert Jäger Uniscon GmbH Dr. habil. Ralf Rieken Uniscon GmbH September 2015 Zusammenfassung Dieser Artikel stellt die Versiegelung des Sealed Cloud genannten Systemkonzepts vor. Dieses schützt nicht nur Inhalte einer Datenverarbeitung oder Kommunikation, sondern auch Metadaten, z.b. Verbindungsdaten, die aufzeigen, wer mit wem wann und wie lange kommuniziert. Solche Metadaten sagen viel über die Absichten der betroffenen Parteien aus und sind einfach zu analysieren. Aus diesem Grund erfordern ein adäquater Datenschutz und die Informations-Sicherheit auch den Schutz dieser Metadaten. Das System der Sealed Cloud verhindert auf technische Weise jeglichen Zugang zu Daten, auch während deren Verarbeitung. Normalerweise sind Mitarbeiter eines Anbieters in der Lage, Metadaten mitzulesen, selbst wenn Ende-zu-Ende-verschlüsselte Daten übertragen werden. Die technischen Maßnahmen, die den Anbieter vom Lesen dieser Daten ausschließen können, sind: eine geeignete Schlüsselverteilung, ein Data-Clean-Up im Fall eines Zugriffversuchs und eine Dekorrelation der Datenströme, die in die Sealed Cloud hinein- und herausfließen. Mit Ende 2014 bietet das System eine offene und versionierte Schnittstellenschicht für Cloud-Dienste an. Mit dieser können andere Dienste das umfassende Sicherheitskonzept der versiegelten Cloud nutzen. Im Rahmen des Trusted Cloud Programms des Bundesministerium für Wirtschaft und Energie wird dies am Beispiel zweier Cloud-Anwendungen demonstriert: Mit delegate zum Management von Identitäten für webbasierte Dienste und dem Kommunikationsdienst idgard für eine sichere und abhörsichere Kommunikation. 1

2 1 Einleitung Um ein Ausspähen von Daten zu verhindern, verlässt sich die Mehrheit der Systeme heute auf Verschlüsselung, so dass nur die jeweiligen Sender und Empfänger die kommunizierten Daten entschlüsseln können. Der physische Zugriff zu Signalen und Daten während der Übertragung oder der Speicherung kann toleriert werden, ohne unbefugtes Lesen der Inhalte befürchten zu müssen. Allerdings müssen bisherige Unicast-Systeme immer die Empfängeradressen dem Betreiber offenbaren, damit dieser die Nachrichten korrekt weiterleiten kann. Den Anbietern der Kommunikationsdienste liegen damit die Verbindungsdaten, die aufzeigen, wer mit wem wann und wie lange kommuniziert, offen vor. Solche Metadaten sagen viel über die Absichten der betroffenen Parteien aus und sind einfach zu analysieren. Aus diesem Grund erfordert der Datenverkehr zwischen Bürgern, Unternehmen und öffentlichen Einrichtungen auch den Schutz der Metadaten. Dies kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Weisen erfolgen: (1) Entweder durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten 1, (2) durch einen Multicast-Ansatz 2 oder (3) durch den Einsatz von Mix-Netzen 3. Bei Ersterem werden die Personen, die technisch Zugang zu den Metadaten haben, vertraglich zur Geheimhaltung verpflichtet. Im besten Falle werden die Tätigkeiten mit Zugang zu den Metadaten, nach dem Vier-Augen-Prinzip durch mehrere, sich gegenseitig überwachende Personen, gemeinsam ausgeführt. Die Datenskandale der letzten Monate zeigen, dass Metadaten mittels organisatorischer Maßnahmen jedoch nicht ausreichend sicher geschützt sind. Beim Multicast-Ansatz werden asymmetrisch verschlüsselte Daten nicht nur vom Sender an den Empfänger geschickt (wie bei Unicast-Systemen), sondern zusätzlich an mehrere andere Teilnehmer des Netzes verteilt. Weil die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wurde, kann nur dieser mit seinem privaten Schlüssel die Nachricht entschlüsseln. Die anderen Empfänger der verschlüsselten Information können den Adressaten der Nachricht nicht ableiten, sondern durch Entschlüsselungsversuche nur feststellen, dass sie nicht zu den Adressaten zählen. Der Anbieter und der Netzbetreiber wissen nur, welcher Netzteilnehmer wann wie viel versendet, jedoch nicht mit wem er kommuniziert. Die Verbindungsdaten bleiben ihm verborgen. Allerdings ist dieser Ansatz nur für Schmalband-Anwendungen geeignet, da sowohl bei den Netzteilnehmern sehr viel Rechenleistung als auch im Netz sehr hohe Übertragungskapazitäten benötigt werden. Ein dritter Ansatz verhindert den Zugriff auf die Empfängeradressen gar nicht, sondern verschleiert die Absenderadresse. Dies erfolgt über so genannte Mix-Netze, in denen die Nachrichten von der Senderadresse entkoppelt und an mehreren Zwischenknoten voneinander unabhängiger Betreiber mit einer Mehrzahl anderer Nachrichten vermischt werden. Damit kann der Empfänger der Nachricht die Absenderadresse für eine verbindliche Kommunikation zwar aus dem verschlüsselten Teil der Nachricht entnehmen, einem einzelner Betreiber der Knoten des Mix-Netzes bleibt dies verborgen. Auch dieser Ansatz ist aufgrund der hohen Verzögerungen in einem solchen Netz eher für Schmalband-Anwendungen geeignet. 1 e.g. das Informations-Sicherheits-Management nach BSI IT-Grundschutz 2 e.g. 3 e.g. 2

3 2 Die Versiegelung der Sealed Cloud Die der Sealed Cloud zu Grunde liegende Idee besteht darin, die Leistungsfähigkeit und Bedienungsfreundlichkeit eines normalen Web-Dienstes mit der gebotenen Sicherheit auszustatten. Mit Leistungsfähigkeit ist gemeint, dass die Signale weder nach einem Multicast-Schema noch über ein Netz von Mixknoten, sondern direkt mit der den Dienst bereitstellenden Infrastruktur ausgetauscht werden können. Mit gebotener Sicherheit ist gemeint, dass ein Satz aus rein technischen Maßnahmen den Zugriff sowohl zu den Inhalten als auch zu den Metadaten wirksam unterbindet. Insbesondere soll als Schutz gegen Angriffe von innen wie von außen keine Notwendigkeit für organisatorische Maßnahmen entlang der ersten Verteidigungslinie mehr bestehen, d.h. der Unsicherheitsfaktor Mensch soll ausgeschlossen werden. Der Satz aus technischen Maßnahmen setzt sich wie folgt zusammen 4 : Sichere Verbindung zum Rechenzentrum Damit keine besondere Software installiert wer- den muss, erfolgt die Verbindung vom Gerät des Nutzers aus zur Sealed Cloud mit einer klassischen SSL- Verschlüsselung. Allerdings werden nur starke Cipher, d.h. solche, mit langen Schlüsseln und ohne bekannte Implementierungsschwächen, akzeptiert. Da anders als bei gewöhnlichen Web-Servern keine privaten Schlüssel auf Server-Seite bekannt sein dürfen, kommt ein speziell abgesicherter Import des privaten Schlüssels durch einen unabhängigen Auditor nur zur Laufzeit des Servers zum Einsatz. Als Schutz gegen so genannte man-in-the-middle -Attacken stehen eine Browser- Erweiterung und, für mobile Geräte, Apps zur Verfügung, die bei falschen Zertifikaten sofort den Nutzer alarmieren. Nutzer können mit einem Einmalpasswort-Generator in Scheckkartenformat oder einem Zahlencode per SMS einen zweiten Faktor zur Absicherung der Authentisierung verwenden. Sicherheit gegen Zugriff auf die Daten während der Verarbeitung Damit weder der Betreiber der Infrastruktur noch der Anbieter des Dienstes die Möglichkeit hat, auf die Nutzerdaten während der Verarbeitung zuzugreifen, kommt ergänzend zur Verschlüsselung die neuartige Versiegelung zum Einsatz. Hierzu sind um alle Anwendungsserver des Dienstes in der so genannten data-clean-uparea mechanische Käfige mit elektro-mechanischen Schlössern angebracht. Auch sind alle elektronischen Schnittstellen zu den Servern entweder entfernt oder mit Filtern versehen, die nur den Nutzer-Zugriff gestatten; kein direkter Administrator-Zugang ist vorgesehen. Keiner dieser Server hat persistenten Speicher. Die elektronischen Schnittstellen sowie die mechanischen Komponenten der Käfige sind mit einer Vielzahl von Sensoren ausgestattet, die bei einem Zugangsversuch unmittelbar alarmieren. Im Falle einer solchen Alarmierung wird dann der data-clean-up ausgelöst. Das heißt, die Sitzungen der Nutzer auf den betroffenen Servern werden automatisch auf nicht betroffene Segmente umgelenkt und sämtliche Daten in den betroffenen Segmenten gelöscht. Zur Absicherung der Löschung wird sogar die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen. Dieselbe Prozedur wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt. 4 Hubert Jäger et.al. A Novel Set of Measures against Insider Attacks - Sealed Cloud, in: Detlef Hühnlein, Heiko Roßnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223, ISBN , pp

4 Sichere Speicherung bei der Sealed Cloud Das Prinzip der Versiegelung umfasst des Weiteren eine besondere Schlüsselverteilung, so dass der Betreiber über keinen Schlüssel zur Entschlüsselung der Profile in der Datenbank sowie der Dateien in den File-Systemen verfügt. Konkret werden die Schlüssel für die Profile in der Datenbank durch Hashketten aus Nutzername und Passwort erzeugt. Sobald die Hashwerte ermittelt sind, werden Nutzername und Passwort sofort wieder verworfen. Am Ende der Sitzung wird auch der ermittelte Hashwert gelöscht. Damit schließlich auch aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb der erwähnten data-clean-uparea ein rein volatiler meta-mapping server betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf hat. Sollte jemand einen Zugriff versuchen, würde der beschriebene data-cleanup automatisch ausgelöst. Da dieser Server jedoch rein volatil betrieben wird, ist für eine hohe Verfügbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig, zweitens müssen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden können. Zusätzliche Maßnahmen zum Schutz der Metadaten Damit von außen durch die Beobachtung des Verkehrsaufkommens keine Rückschlüsse auf die Metadaten erfolgen können, werden Benachrichtigungen über eben diesen Verkehr aufkommensabhängig zufällig verzögert. Außerdem wird die Größe der übertragenen Dateien künstlich auf die nächst größere Standardgröße erweitert, damit sich Metadaten weder über Zeit- noch über Größenkorrelationen ableitet lassen5. Kanonischer Satz an technischen Maßnahmen und daraus resultierender Schutz Da, mit der für die geschilderte Versiegelung notwendige kanonische Umfang der technischen Maßnahmen auch tatsächlich entsprechend der Spezifikation implementiert ist, ist eine Auditierung durch unabhängige Prüfer unabdingbar. Eine Integritätsprüfung durch eine vollständige chain of trust ist je Server installiert. Nicht vorgesehene Software kann daher nicht ausgeführt werden. Darüber hinaus muss die Implementierung so modular gestaltet sein, dass die Komplexität einer Prüfung überhaupt zugänglich ist. Der daraus resultierende Schutz für die Daten der Nutzer einer solchen versiegelten Verarbeitung umfasst beim Austausch von Ende-zu-Ende verschlüsselten Daten auch die Metadaten und bei allgemeineren Cloud-Anwendungen sowohl die Inhalte als auch die Metadaten auf rein technische und somit nicht kompromittierbare Weise. Wird im herkömmlichen Sicherheitskalkül mit Verschlüsselung und organisatorischen Maßnahmen gearbeitet, bleiben zwei Herausforderungen unbeantwortet: (1) Der Schutz für Inhalte und Metadaten, wenn unverschlüsselte Daten verarbeitet werden und (2) der Schutz für die besonders einfach analysierbaren Metadaten, wenn verschlüsselte Daten geroutet werden. Mit dem kanonischen Satz an technischen Maßnahmen wie es bei der Versiegelung erfolgt wird das grundsätzliche Sicherheitskonzept ergänzt. Mit der technischen Versiegelung können die Nutzerdaten gegen Angriffe von außen und innen geschützt werden. Mit dieser Versiegelung werden sowohl Inhalte als auch Metadatenvor unbefugten Zugriffen bewahrt. 5 Hubert Jäger, et.al. The First Uniscast Communication System protecting both Content and Metadata, accepted for publication in the proceedings of the World Telecommunication Congress

5 3 Anwendung durch öffentliche Verwaltung und Unternehmen Technischer Schutz vor Überwachung und Industriespionage. Das Thema Sicherheit in der Kommunikation mit externen Personen und Einrichtungen ist heute für Behörden und Unternehmen oft nur kompliziert lösbar. In Folge leidet die Sicherheit. Dieses Thema betrifft nahezu alle Organisationen, denn der Firmengrenzen überschreitende Austausch von Dokumenten erfolgt heute fast immer ohne Schutz meist einfach per . Die auf der Sealed Cloud basierende Anwendung idgard zum Beispiel kann mit seinen Funktionen zum sicheren Austausch von Dokumenten und Nachrichten über Firmengrenzen hinweg kritische Herausforderungen lösen und das bei einer einfachen Nutzung und geringen Kosten ohne dafür neue Software zu benötigen. Es genügt ein Web-Browser. Dank der Sealed-Cloud-Technologie kann der Dienst unter anderem, folgende Anwendungsfälle anbieten: 1. einen versiegelten Austausch vertraulicher Dokumente über Firmengrenzen hinweg 2. einen versiegelten Team-Arbeitsbereich und Datenräume für eine firmenübergreifende Zusammenarbeit 3. einen sicheren, mobilen Zugriff auf geschäftliche Unterlagen 4. einen versiegelten Chat von allen Endgeräten aus 5. ein versiegeltes Termin- und Ressourcenabstimmungstool (ähnlich wie Doodle) Effektivitätssteigerungen durch kontextorientiertes und mobiles Arbeiten Der Kommunikationsdienst verbindet Kommunikation auf derselben Ebene mit Bearbeitung. Diese store & share Kommunikation vermeidet den Wechsel zwischen separaten Systemen und ist auf allen Systemen und Geräten verfügbar PC, Smartphone und Tablet. Datenschutz und Compliance Da die Anwendung idgard als Sealed-Cloud-Service kostengünstig angeboten werden kann und eine hohe Bedienerfreundlichkeit aufweist, muss das System bei der Abwägung der Verhältnismäßigkeit als Datenschutzmaßnahme gemäß 3a und 9 BDSG i.d.r. berücksichtigt werden. Der Dienst sichert dergestalt ab, dass der relative Personenbezug bei der Verarbeitung nicht auflebt. Dadurch entfällt für Anhänger des Prinzips des relativen Personenbezugs die Verpflichtung zum Abschluss einer Vereinbarung zur Verarbeitung der Daten im Auftrag gemäß 11 BDSG6. So schützt er als erster Kommunikationsdienst für Geschäftskunden Inhalte und Metadaten. Der Anbieter des Dienstes hat keine Möglichkeit zur Kenntnisnahme der verarbeiteten Daten. Dadurch kann er sogar Berufsgeheimnisträgern eine rechtskonforme, elektronische Kommunikation über Organisationsgrenzen hinweg anbieten. Dies ist zurzeit nur mit der durch Uniscon bereits in der EU und in den USA patentierten7 Plattform Sealed Cloud möglich. 6 Steffen Kroschwald, Verschlüsseltes Cloud Computing Zeitschrift für Datenschutz, 2/2014, S EP , und andere 5

6 Option für datenschutzkonforme Vorratsdatenspeicherung Durch die Sealed-Cloud- Technik kann in einer weiteren Anwendung Sealed Freeze das Konzept einer datenschutzkonformen Speicherung für Anwendungen im Bereich Big Data implementiert werden. Insbesondere eignet sich Sealed Freeze auch als Lösung für die umstrittene Vorratsdatenspeicherung. Damit könnten gleichzeitig die verfassungsrechtlichen Bedenken der Datenschützer ausgeräumt als auch die Rahmenbedingungen für die Ermittler verbessert werden. Dies könnte der gesellschaftlichen Debatte zur Vorratsdatenspeicherung eine neue Wendung geben. 4 Fazit Versiegelung, wie in diesem Artikel vorgestellt, verhindert auf technische Weise, dass der Betreiber der Infrastruktur oder der Anbieter des Sealed-Cloud-Dienstes während der Verarbeitung der Nutzerdaten auf diese zugreifen kann. Die Kombination aus einer Reihe von technischen Maßnahmen, wie Data-Clean-Up, einer geschickten Schlüsselverteilung und der Dekorrelation der ein- und ausgehenden Datenströme, ergibt ein Sicherheitsniveau, das sogar Berufsgeheimnisträgern ermöglicht, Anwendungen als Cloud- Dienst zu nutzen. Da Verschlüsselung kombiniert mit Versiegelung die Kenntnisnahme der Daten durch Unberechtigte praktisch ausschließt, liegt keine Offenbarung nach 203 StGB vor. Jedoch auch für Stellen, die lediglich einem der Datenschutzgesetze, z.b. dem BDSG, unterworfen sind, ist die Nutzung eines Sealed Cloud basierten Dienstes anzuraten, weil dem Grundsatz der Datenvermeidung und - sparsamkeit gemäß 3a BDSG durch die genannten Eigenschaften in maximaler Weise Rechnung getragen wird. Copyright by Uniscon GmbH, September 2015 Uniscon universal identity control GmbH Geschäftsführer Dr. Hubert Jäger, Arnold Monitzer und Dr. Ralf Rieken Aufsichtsratsvorsitzender (Vorsitz) Herbert Kauffmann Agnes-Pockels-Bogen München, Germany Telefon: +49 (89) Amtsgericht München, Registernummer: Bankverbindung: Commerzbank München, Konto Nr , BLZ