8Hakin9 EXTRACLOUD COMPUTING- SICHERHEIT IN DERWOLKETobias ScheibleMit Cloud Computing kann Rechenleistung, Speicherkapazi...
9www.hakin9.euVerfügung und diese werden von immer mehr Menschen ge-nutzt. Diese mobilen Endgeräte sind vergleichsweise re...
10Hakin9 EXTRAEbenen von CloudsEs wird zwischen drei Ebenen bei Cloud Computing unter-schieden [9]. Die erste Ebene repräs...
11www.hakin9.euAbhängigkeitWerden Geschäftsprozesse in die Cloud verlagert, begibtsich ein Unternehmen in eine starke Abhä...
12Hakin9 EXTRAaktive AngriffeBei einem aktiven Angriff greift der Angreifer direkt auf dasSystem zu. Dabei werden zum Beis...
13www.hakin9.euhaben. Dazu gehört unter anderem, dass im Zweifelsfall erfol-greiche Angriffe den entsprechenden Kunden gem...
14Hakin9 EXTRACloud Computing unterliegt grundsätzlich den gleichen An-griffsgefahren wie eine traditionelle Infrastruktur...
Upcoming SlideShare
Loading in...5
×

HAKIN9 Cloud-Computing - Sicherheit in der Wolke - Artikel von Tobias Scheible

2,957

Published on

Mit Cloud Computing kann Rechenleistung, Speicherkapazität
und Software in dem Umfang gemietet werden, wie sie tatsächlich
benötigt wird. Damit können Unternehmen sich auf ihre Kerngeschäfte
konzentrieren, ohne dass die IT zum limitierenden Faktor
wird. Für den Einsatz entscheidend sind neben den Anforderungen
von technischer Seite jedoch vor allem die Sicherheit, der Datenschutz
und die Compliance Rahmenbedingungen. Dieser Artikel
befasst sich vorrangig mit einer Erläuterung der grundlegenden
Funktionsweise und anschließend intensiver mit dem komplexen
Bereich „Sicherheit“.

Hakin9 Extra 4/2012 – Sicherheit in der Cloud

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,957
On Slideshare
0
From Embeds
0
Number of Embeds
9
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

HAKIN9 Cloud-Computing - Sicherheit in der Wolke - Artikel von Tobias Scheible

  1. 1. 8Hakin9 EXTRACLOUD COMPUTING- SICHERHEIT IN DERWOLKETobias ScheibleMit Cloud Computing kann Rechenleistung, Speicherkapazitätund Software in dem Umfang gemietet werden, wie sie tatsächlichbenötigt wird. Damit können Unternehmen sich auf ihre Kernge-schäfte konzentrieren, ohne dass die IT zum limitierenden Faktorwird. Für den Einsatz entscheidend sind neben den Anforderungenvon technischer Seite jedoch vor allem die Sicherheit, der Daten-schutz und die Compliance Rahmenbedingungen. Dieser Artikelbefasst sich vorrangig mit einer Erläuterung der grundlegendenFunktionsweise und anschließend intensiver mit dem komplexenBereich„Sicherheit“.An einem Dokument mit einem über die ganze Welt verteiltenTeam arbeiten, mehrere Terrabyte Daten mit einem Smartpho-ne verwalten oder ein ganzes Unternehmen mit einem Brow-ser organisieren: das alles ist Cloud Computing.Der Name Cloud Computing stammt von der Metapher „Wol-ke“. Diese „Wolke“ dient in Netzwerkdiagrammen zur Darstel-lung eines nicht näher spezifizierten Bereiches. Vereinfachtkann das Konzept wie folgt erläutert werden: anstatt eine eige-ne IT-Infrastruktur zu betreiben, greift man auf die Infrastruktureines Cloud-Anbieters zurück und mietet sich die benötigtenRessourcen. Durch dieses Vorgehen sind IT-Leistungen undRessourcen quasi überall verfügbar, da sie als Service überdas Internet bezogen werden. Der Vorteil für Unternehmenliegt in einer deutlichen Kostenersparnis und einer verbes-serten Flexibilität. Gerade kleine und mittlere Unternehmenkönnen auf diese Weise innovative Leistungen in einer belie-bigen Anzahl in Anspruch nehmen, ohne in den Aufbau unddas Personal für die Wartung von großen Rechenzentren zuinvestieren.Bill Gates ahnte bereits 2005 die Entwicklung des Cloud Com-putings voraus und wies seine Mitarbeiter in einer Rundma-il auf die Chancen und Gefahren dieser Entwicklung in derIT-Branche hin. Mit den Worten „Der nächste grundlegendeWandel steht uns bevor“ beschrieb er die Veränderung. „Diebreite und reichhaltige Basis des Internets wird eine ‚Service-Welle’ von Anwendungen und Erfahrungen lostreten, die so-fort zur Verfügung stehen werden”, so Gates weiter. Mit demSatz „Diese neue Welle wird sehr disruptiv sein.” machte erallen klar, wie ernst die Lage ist und welche AnstrengungenMicrosoft aufbringen muss, um diesen Wandel erfolgreich zumeistern [1].Immer größer und effizienter werdende Rechenzentren wer-den die Preise für Cloud Computing in Zukunft immer weitersinken lassen. Dadurch wird es für Unternehmen immer unat-traktiver eine eigene Infrastruktur aufzubauen [2]. Sobald einUnternehmen jedoch seine IT-Leistung aus einer Cloud bezie-ht, kann sich dadurch ein Wettbewerbsvorteil ergeben, da dieKonkurrenz eine ähnliche Kostenreduktion erreichen muss,um langfristig im Markt zu bestehen.Heutzutage können Unternehmen bereits ihre Lizenz- undWartungskosten reduzieren, indem sie auf reine Software as aService, kurz SaaS-Lösungen setzen. Der mobile Bereich hataußerdem das Cloud Computing beflügelt. Es stehen immermehr Endgeräte in Form von Smartphones und Tablets zur
  2. 2. 9www.hakin9.euVerfügung und diese werden von immer mehr Menschen ge-nutzt. Diese mobilen Endgeräte sind vergleichsweise rechen-schwach und nutzen Cloud Services mithilfe der installiertenApps.Cloud-Beispiel Google DriveEines der bekanntesten Beispiele für die Verwendung von Clo-ud Computing ist die webbasierte Office-Anwendung GoogleDrive (früher mit Google Docs und in Deutschland mit GoogleText & Tabellen bezeichnet). Die Dokumente werden hierbeiunabhängig vom Standort der Benutzer irgendwo in den Re-chenzentren des Suchmaschinen-Giganten gespeichert. DieBedienung der Office Anwendung erfolgt über einen Web-browser. Die Berechnungen in der Tabellenkalkulation werdenin riesigen Server-Farmen durchgeführt und dem Benutzerwird nur das Ergebnis ausgegeben. Die eigentlichen Reche-nvorgänge bleiben für den Benutzer in der Cloud verborgen.Durch dieses Vorgehen steht jedem Nutzer eine Office-An-wendung zur Verfügung, die nicht installiert werden muss unddie jederzeit und überall auf alle gespeicherten Dokumentezugreifen kann. Die minimale Anforderung zur Nutzung diesesDienstes ist ein Rechner mit einem Webbrowser und ein Inter-netzugang. Weitere bekannte Beispiele für Cloud-Anwendun-gen sind Dropbox, Flickr und iCloud.Der Weg zur CloudBisher dominierten grundsätzlich zwei Modelle die Datenve-rarbeitung. Die Verarbeitung von Daten mit Großrechnern inRechenzentren ist dabei die älteste Variante. Hier wurden dieBerechnungen zentral von speziellem Personal durchgeführt.Diese Systeme kamen hauptsächlich in der Wissenschaft undin großen Verwaltungen zum Einsatz. Das nächste Modell istdie Client-Server-Architektur, bei der mehrere Rechner übereinen Server miteinander verbunden sind. Hierbei greifen zumBeispiel mehrere Clients auf eine zentrale Datenbank im loka-len Netzwerk zu [3]. Als weiterer Entwicklungsschritt ist nundas Cloud Computing dazugekommen. Anwendungen wer-den nicht mehr lokal ausgeführt und Daten nicht mehr lokalgespeichert. Sowohl die Ausführung der Anwendung als auchdie Speicherung der Daten wird auf externe Infrastrukturenausgelagert. Die dafür verwendeten Technologien sind nichtneu, aber deren Nutzung beschreitet einen neuen Weg. ZumBeispiel verwenden Webanwendungen ähnliche Prinzipienwie sie beim Cloud Computing Einsatz finden und stellen demNutzer verborgene Leistung zur Verfügung.Allerdings agiert Cloud Computing nicht nur im Bereich vonAnwendungen, sondern vor allem auch auf der Ebene vonDaten und Rechenleistung. So betreibt zum Beispiel Dropboxeigene Server für die Website und die Verwaltung der Be-nutzer, benutzt aber für die Speicherung der großen Daten-mengen den Cloud-Service S3 von Amazon.Geschwindigkeit für die CloudErst die Weiterentwicklung und Ausbau der Internetbandbreiteermöglichte die Entwicklung und Nutzung von Cloud Com-puting. Umso größer die Geschwindigkeit, desto komplexereLeistungen können über das Internet angeboten werden. Derehemalige CEO von Google, Eric Schmid, hatte schon 1993während seiner Zeit bei SUN diese Entwicklung beschrieben:„Wenn das Netzwerk so schnell wie der Prozessor wird, wirdder Computer ausgehöhlt und über das Netzwerk verteilt.”Ende der 90er-Jahre erfolgte mit dem Dotcom-Boom der groß-flächige Ausbau der Netzbandbreite. Modems wurden immerschneller und der ISDN-Anschluss wurde eingeführt [4]. DieRechenzentren wurden untereinander mit Glasfaserverbin-dungen vernetzt und die gesamte Netzwerkinfrastruktur wur-de immer schneller. Nach der Jahrtausendwende etabliertesich der DSL-Breitbandanschluss immer mehr und machte soeine schnelle Verbindung in vielen Bereichen verfügbar. Mit-tlerweile sind bis zu 100 MBit/s Internetanschlüsse über dasFernsehkabel verfügbar und haben damit die lokale Netzwer-kgeschwindigkeit erreicht, die noch vor ein paar Jahren Stan-dard war. Der nächste Schritt in der globalen Vernetzung istder Glasfaseranschluss für private Nutzer. Die Telekom hatmittlerweile die Liste mit Städten veröffentlicht, in denen dasFiber-To-The-Home-Netz mit einer Geschwindigkeit von 200MBit/s im Downstream und 100 MBit/s im Upstream startenwird [5]. Und Google hat selbst in den USA ein Glasfaser-An-gebot mit einer Geschwindigkeit von 1 GBit/s gestartet [6]. InLondon startet der britische Kabelnetzbetreiber Virgin Mediaeinen Versuch für Anschlüsse mit einer Übertragungsrate von1,5 GBit/s [7]. Damit hat die Geschwindigkeit des Internetseine Schwelle erreicht mit der sie mit lokalen Netzwerken gle-ichziehen kann.Arten von CloudsGrundsätzlich kann Cloud Computing in zwei Bereiche un-terteilt werden: Public und Private Clouds [8]. Public Cloudswerden von externen Anbietern betrieben und von vielenBenutzern in Anspruch genommen. Zum Beispiel laufen aufder Cloud-Platform Windows Azure mehrere Instanzen vonunterschiedlichen Kunden. Private Clouds werden von einemUnternehmen betrieben und stellen eine Inhouse-Lösungdar. Ein bekanntes Beispiel dafür ist die Dropbox AlternativeownCloud, die auf einem eigenen Webserver installiert wer-den kann. Eine Mischform aus diesen beiden Formen stelltdie Hybrid Cloud dar. Hierbei betreibt ein Unternehmen einePrivate Cloud und nutzt eine Public Cloud als Backup-Lösungoder um Lastspitzen abzufangen. So können mehrere QNA-P-NAS-Systeme zu einer lokalen Private Cloud miteinanderverknüpft werden und es kann über den Public Cloud AnbieterElephantDrive ein Backup erstellt werden. Eine Sonderformstellt die Community Cloud dar. Hier schließen sich mehrereUnternehmen zusammen und nutzen gemeinsam eine PrivateCloud.CLOUD COMPUTING - SICHERHEIT IN DER WOLKE
  3. 3. 10Hakin9 EXTRAEbenen von CloudsEs wird zwischen drei Ebenen bei Cloud Computing unter-schieden [9]. Die erste Ebene repräsentiert die Infrastruktur(IaaS - Infrastructure as a Service). Hier werden zum BeispielDateien gespeichert und es wird auf Datenbanken zugegrif-fen. Unter dem Namen Amazon Web Services stellt Amazonmehrere Cloud-Dienste bereit. So können mit dem ServiceElastic Compute Cloud (EC2) von Amazon virtuelle Host er-stellt werden, die in der Cloud von Amazon betrieben werden.Ein weiterer Anbieter auf der Infrastruktur Ebene ist zum Be-ispiel IBM mit der SmartCloud.In der nächsten Ebene, die als PaaS - Platform as a Servicebezeichnet wird, werden Programme direkt ausgeführt. Hierkann zum Beispiel die Google App Engine oder Windows Azu-re genutzt werden, um schnell eine Entwicklungsumgebungaufzusetzen oder beliebig skalierbare Leistungen für eine Pro-duktivversion abzurufen.Die letzte Ebene der Cloud ist die Software selbst. Hier wirddem Benutzer das Interface als Service bereitgestellt. DiesesPrinzip wird als Software as a Service bezeichnet. Das promi-nenteste Beispiel hierfür ist die oben bereits erwähnte OfficeAnwendung Google Drive.Die unterschiedlichen Ebenen der Cloud lassen sich beliebigmiteinander kombinieren und auch mit Nicht-Cloud-Anteilenverknüpfen, sodass eine scharfe Abgrenzung der „Wolke“ na-hezu unmöglich ist. Laut Definition ist jedoch grundsätzlichvon Cloud Computing die Rede, sobald Ressourcen flexibelüber das Internet zugeteilt werden können.Die Spannbereite reicht dabei wie bereits erläutert über meh-rere Ebenen hinweg von einfacher Rechenleistung, überSpeicherkapazität bis hin zu Software. Im Vergleich zur klas-sischen IT-Outsourcing stehen bei Cloud Computing die sch-nellere Flexibilität und die Grundprinzipien „Nutzung nach Be-darf“ und „Bezahlung nach Nutzung“ im Vordergrund.Oftmals wird das Webhosting ebenfalls als Cloud bezeichnet.Streng genommen handelt es sich an dieser Stelle aber nichtum Cloud Computing, da sich die benötigten Ressourcen nor-malerweise auf einem Server befinden.VORTEILECloud Computing ist der nächste Schritt in der Evolution derInformationstechnologie, allerdings ist es mehr als ein reinesIT- oder das Technologie-Management Thema. Denn durchdie stärkere Unabhängigkeit von Geschäftsprozessen undden IT-Ressourcen sind Unternehmen flexibler und könnenschneller Innovation hervor bringen [10 S.20, 11 S.8].EinfachheitBei vielen Cloud Diensten kann man sich online anmeldenund die Dienste direkt danach nutzen. Viele Dienste, wiedie Online-CRM Anwendungen von Salesforce, abstrahierenkomplexe Prozesse für die Benutzer. So kann eine komplexeAnwendung die auf vielen Servern läuft einfach über ein We-binterface bedient werden.KostenersparnisBei Cloud Computing können schnell Ressourcen gebuchtwerden, die im Moment benötigt werden. Gerade durch die„Bezahlung nach Nutzung“ müssen Ressourcen nicht gezahltwerden die normalerweise nur zur Sicherheit vorgehalten wer-den müssen. So nutzt das Online-Empfehlungsportal Qypedie Google Apps für die Nutzung von E-Mails und Kalendern.Damit musste keine eigene kostenintensive Mail-Server-Infra-struktur installiert und gepflegt werden.SkalierbarkeitKleine Unternehmen müssen keine Infrastruktur aufbauen,sondern nutzen die Dienste der Cloud. Und damit können siebenötigte Ressourcen je nach Bedarf buchen. Flickr, die Platt-form für den Austausch von Fotos, speichert beispielsweisealle Daten in der Cloud von Amazon. So konnten sich die En-twickler auf die Programmierung des Systems konzentrierenund Flickr konnte kontinuierlich wachsen, ohne dass es einenEngpass bei der Speicherkapazität gab.ZukunftssicherheitDer Vorteil bei Cloud Computing ist, dass sich Spezialisten ingroßen Rechenzentren um tausende einzelner Rechner küm-mern. Durch den Charakter von Cloud-Angebote können ein-zelne Rechner ausgetauscht werden ohne dass der Betriebbeeinträchtigt wird. Damit lassen sich während des BetriebsHardware-Komponenten austauschen und Software aktuali-sieren. Damit regeneriert sich die Cloud von selbst und istimmer auf dem neuesten Stand. So nutzt man bei der Online-Office Variante von Microsoft Office 365 immer die neuestenVersionen.NachhaltigkeitGreen-IT ist in letzter Zeit eines der Hype-Themen und auchbei Cloud-Computing kommt es zum Zuge. So können großezentrale Rechenzentren effizienter betrieben werden als vielekleine lokale Zentren, da deren Auslastung konstanter ist. Inkleinen Zentren liegen zur Pufferung von Lastspitzen jedochoft viele Ressourcen brach. Amazon nutzt diesen Aspekt fürdie eigenen Rechenzentren und die Cloud Angebote geschicktaus. So greifen in der Vorweihnachtszeit sehr viele Benutzerauf Amazon zu, und es wird mehr Leistung als sonst für dieeigene Website benötigt. Im Gegenzug befinden sich aber vie-le Mitarbeiter des Unternehmens im Urlaub und somit werdendie Cloud-Dienste nicht so stark wie normal genutzt.NACHTEILEDen Vorteilen stehen natürlich auch einige Nachteile ge-genüber. Die grundlegende Eigenschaft der Cloud, dass Da-ten “irgendwo” gespeichert werden, kann schnell zu einemNachteil werden. So werden geschäftsinterne Daten und dasKnow-how des Unternehmens extern gespeichert und verwal-tet [10 S.20, 11 S.8].
  4. 4. 11www.hakin9.euAbhängigkeitWerden Geschäftsprozesse in die Cloud verlagert, begibtsich ein Unternehmen in eine starke Abhängigkeit vom jewe-iligen Anbieter. Geht dieser Anbieter insolvent oder muss ausanderen Gründen den Geschäftsbetrieb einstellen, steht esschlecht um die Kundendaten. Oftmals besteht keine Chance,auf die Rohdaten direkt zuzugreifen. Außerdem können dieseDaten oft ohne die passende Software nicht mehr weiterver-wendet werden.InternetzugangDa auf viele Dienste über das Internet zugegriffen wird, entste-hen zusätzliche Abhängigkeiten. Besteht keine Internetverbin-dung zum Anbieter, ist kein Arbeiten mehr möglich. Es kann aneiner Unterbrechung des eigenen Internetanschlusses liegenoder an einer Unterbrechung im jeweiligen Rechenzentrum.Da die benötigte Netzwerkinfrastruktur deutlich komplexerist als beim lokalen Betrieb, erhöht sich das Risiko einer Un-terbrechung.VerwaltungDabei spielen auch Einflussfaktoren eine Rolle, die nicht aufden ersten Blick offensichtlich sind. So ist es dem Internet-Start-Up Radio.de ergangen. 48 Stunden war das Unterneh-men lahmgelegt. Es konnten weder E-Mails versendet oderempfangen werden noch konnten interne Dokumente geöffnetwerden. Und das an beiden Standorten, in Hamburg und Inns-bruck, obwohl die Netzwerkinfrastruktur in Ordnung war. DerGrund für diesen Blackout war ein Fehler in der Abrechnung.Radio.de nutzt für die Büroanwendungen die Dienste von Go-ogle. Durch einen Fehler im Bezahlsystem konnte sich keinMitarbeiter mehr einloggen [12].VerlässlichkeitDie Zentralisierung hat auch dazu geführt, dass mehrere Un-ternehmen von einem Anbieter abhängig sind. So hat eineStörung bei Amazon dafür gesorgt, dass die bekannten Dien-ste Foursquare, Quora und Reddit gleichzeitig mit Störungenzu kämpfen hatten. Diese Störung war so gravierend, dassDaten unwiederbringlich verloren gegangen sind.InteroperabilitätDer Wechsel eines Cloud-Anbieters ist nicht ohne weiteresmöglich, da ein automatischer Umzug nicht vorgesehen istund die Anbieter untereinander inkompatibel sind. Mittlerweilegibt es zwar erste Ansätze für die Entwicklung von Standardsim Cloud Computing, um beispielsweise Daten zwischen An-bietern auszutauschen und somit einen Wechsel des Anbie-ters vorzunehmen. Jedoch braucht diese Entwicklung nocheinige Zeit um sich als Standard zu etablieren.Sicherheit & DatenschutzDie beiden Punkte Sicherheit und Datenschutz stellen zusam-men die größten Nachteile im Vergleich mit anderen Infra-strukturen dar und damit die größten Hürden für die Verwen-dung von Cloud Computing. Im Nachfolgenden werden diesebeiden Punkte genauer betrachtet.SICHERHEIT UND CLOUD COMPUTINGDie Sicherheitsmaßnahmen beim Cloud Computing unter-scheiden sich nicht grundlegend von den Sicherheitsmaßna-hmen bei herkömmlichen IT-Infrastrukturen. Anforderungen,Bedrohungen, Richtlinien und Kontrollen sowie Governanceund Compliance sind größtenteils identisch [13 S.4].Aufgrund der Unterschiede in der gemeinsamen Nutzung, Te-ilung, Kontrolle und Verwaltung von Ressourcen sind jedocheinige Anpassungen und andere Gewichtungen notwendig.Gerade durch den typischen Charakter von Cloud Computingkann es zu Schwachstellen kommen, da viele Schnittstellenbenutzt werden und die Daten auf viele Server oder sogarAnbieter verteilt sind. Dieses System bietet neben den obengenannten Vorteilen auch die Gefahr einer Vielzahl von An-griffspunkten.Für einen besseren Überblick werden die verschiedenen An-griffsarten in Kategorien unterteilt. So kann von passiven undaktiven sowie von externen und internen Angriffen gespro-chen werden [11 S.12].passive AngriffeBei einem passiven Angriff findet kein Eingriff in das Cloud-System statt. Meist erfolgt der Angriff durch das Abfangender Kommunikation zwischen einem Benutzer und der Clo-ud. Da durch dieses Vorgehen keine Veränderung am Systemvollzogen wird, sind diese Angriffe nur sehr schwer zu erken-nen. Ein typisches Beispiel für ein derartiges Szenario ist einMan-in-the-middle-Angriff. Schutz gegen diese Art von Angrif-fen bietet nur eine durchgängige Verschlüsselung, wobei derSchlüssel außerhalb der Cloud auf einem alternativen Wegausgehandelt werden sollte.CLOUD COMPUTING - SICHERHEIT IN DER WOLKE
  5. 5. 12Hakin9 EXTRAaktive AngriffeBei einem aktiven Angriff greift der Angreifer direkt auf dasSystem zu. Dabei werden zum Beispiel Sicherheitslücken au-sgenutzt oder Passwörter per Brut-Force geknackt. Bei die-ser Art von Angriff hinterlässt der Angreifer Spuren, durch dieder Angriff erkannt und mit denen der Angreifer im besten Fallidentifiziert werden kann.externe AngriffeHier wird das Cloud-System von einer unbeteiligten Personvon außerhalb angegriffen. Dabei kann man zwischen Hac-kern, Crackern und Script-Kiddies unterscheiden. Diese un-terscheiden sich nach Erfahrungslevel und Motivation. Hackerhaben meist ausgeprägt Kenntnisse und versuchen Sicherhe-itsmechanismen der Systeme zu überwinden. Ihre Motivationist es mit ihren Fähigkeiten Schwachstellen aufzuzeigen undnicht Systeme anzugreifen. Cracker hingegen haben meistdas gleiche Wissensniveau, allerdings handeln sie aus kom-merziellen Interessen oder aus emotionalen Gründen, wiezum Beispiel um Rache zu nehmen. Oft erfolgen auch Angrif-fe um ein System zu kapern und von diesem aus einen ver-schleierten oder größeren Angriff zu starten. Cracker werdenbeispielsweise auch von Konkurrenten beauftragt um Systemzu sabotieren oder Informationen zu stehlen. Script-Kiddieshaben dagegen oftmals keine tieferen IT-Fähigkeiten undführen Angriffe mit fertigen Skripten durch. Häufig kennen siedie verwendeten Funktionen nicht und sind sich der Konsequ-enzen ihre Handlungen nicht bewusst.interne AngriffeNeben den Angriffen von außerhalb, spielen Angriffe aus demNutzerfeld, also von internen Personen mit Bezug zum Un-ternehmen eine zunehmende Rolle. Zu den potentiellen inter-nen Angreifern gehören neben den (ehemaligen) Mitarbeiternauch Praktikanten, externe Mitarbeiter, Kooperationspartnerund Mitarbeiter des Cloud-Anbieters oder auch andere Kun-den des Cloud-Anbieters.GEFAHREN BEIM CLOUD COMPUTINGZugangsdatenDurch die zentrale Verwaltung der Leistungen bei Cloud An-bietern können Angreifer durch den Diebstahl von Zugangs-daten oft auf mehrere Systeme gleichzeitig zugreifen. Nebenden üblichen Methoden um Zugangsdaten zu schützen, müs-sen für diese kritischen Bereiche noch weitere Maßnahmenergriffen werden. Eine automatische Benachrichtigung desAdministrators bei einer Aktivität (Login, Änderung, ...) odereine Zwei-Wege-Authentifizierung können hier die Sicherheitdeutlich erhöhen.ZugriffsrechteMitarbeiter mit kriminellen Absichten stellen für jedes Unter-nehmen eine potentielle Gefahr dar. Bei Cloud Computingkommen jedoch noch die Mitarbeiter des Anbieters zusätzlichhinzu, die nicht den unternehmenseigenen Richtlinien un-terliegen. Um hier die Gefahr zu verringern, sollten mehrereEbenen von Zugriffsrechten eingerichtet werden, damit jedePerson nur auf die wirklich notwendigen Bereiche zugreifenkann. Des Weiteren sollten alle Zugriffe protokolliert werden- das Protokoll sollte somit auch die Mitarbeiter der Cloud-An-bieter beinhalten. Hier ist es ebenfalls empfehlenswert eineBenachrichtigungsfunktion einzurichten.SchnittstellenDer Zugriff auf viele Cloud-Dienste erfolgt über offen protokol-lierte Schnittstellen. Um hier die Sicherheit zu erhöhen solltenalle Zugriffe verschlüsselt erfolgen und mit entsprechend star-ken Authentifizierungs-Methoden abgesichert werden. DesWeiteren sollten zudem alle Zugriffe protokolliert werden umpotentielle Angriffe zu erkennen.Geteilte RessourcenDurch die flexible Skalierbarkeit werden die Daten in vieleCloud-Rechenzentren auf mehreren Systemen verteilt undmit andern Kunden gemeinsam genutzt Immer wieder gibtes Meldungen, dass es Angreifern gelungen ist aus virtuellenMaschinen auszubrechen und somit die Möglichkeit bestehtandere virtuelle Instanzen auf demselben Host anzugreifen.Daher müssen Anbieter Techniken einsetzen, um die ein-zelnen Kundenbereiche klar voneinander abzugrenzen unddafür Sorge tragen, dass kein Ausbruch aus einer virtuellenMaschine möglich ist.VerschlüsselungOftmals werden von den Cloud-Anbietern keine konkretenInformationen veröffentlicht welche Verschlüsselungs-Algo-rithmen sie einsetzen. Außerdem gibt es einige Anbieter, beidenen die Übertragung (noch) komplett unverschlüsselt statt-findet. Auch allgemeine Verschlüsselungen bei denen ein An-bieter alle Daten von allen Kunden mit demselben Passwortverschlüsselt, sollten als unsicher angesehen werden. AlleÜbertragungen und Verbindungen müssen verschlüsselt er-folgen, sobald unternehmenskritische oder Datenschutz re-levante Daten in der Cloud gespeichert werden, sollten diesemit einem individuellen Passwort ergänzt werden, welchesdem Cloud-Anbieter nicht bekannt ist.DatenlokalitätDer Vorteil der Cloud ist, dass die Ressourcen beliebig ska-liert werden können und von überall aus abgerufen werdenkönnen. Aber nicht alle Anbieter legen offen in welchem Landdie Daten gespeichert werden. So kann es zu datenschutzre-chtlichen Problemen kommen, wenn beispielsweise perso-nenbezogene Daten außerhalb der EU gespeichert werden.Diese sollten mit dem Cloud-Anbieter vertraglich geregeltwerden in welchem Land die Daten gespeichert werden.SicherheitsvorfälleDa bei Cloud-Umgebungen die Angriffe auch über die Clo-ud-Infrastruktur selbst erfolgen können, muss der Anbietergegen diese Art von Angriffen eine Strategie ausgearbeitet
  6. 6. 13www.hakin9.euhaben. Dazu gehört unter anderem, dass im Zweifelsfall erfol-greiche Angriffe den entsprechenden Kunden gemeldet wer-den und diese damit entsprechende Maßnahmen, wie zumBeispiel die Änderung aller Passwörter, ergreifen können. DaKunden in Cloud-Umgebungen jedoch nicht auf alle Ebeneneines Systems zugreifen können, haben die Cloud-Anbieterdie Aufgabe relevante Daten für eine Ermittlung zu erhebenund zu sichern. Zur Erfüllung dieser Aufgabe muss der Anbie-ter vertraglich verpflichtet werden entsprechende Beweise zusichern.KündigungNachdem ein Vertrag mit einem Cloud-Anbieter gekündigtwurde, müssen alle Daten vollständig gelöscht werden. Dasich auch hier wieder mehrere Kunden die Infrastruktur teilenund Ressourcen wieder schnelll freigegeben werden können,muss das Löschen sicher erfolgen. Es muss darauf geachtetwerden, dass vertraglich vereinbart wird, wann und wie dieverbleibenden Daten von einem Cloud-Anbieter gelöscht wer-den. Wichtig dabei ist, dass diese Regelungen sich auch aufalle Duplikationen und Backups beziehen müssen.MissbrauchCloud-Infrastrukturen können allerdings auch für Angriffe ge-nutzt bzw. missbraucht werden. So hat der deutsche HackerThomas Roth mit Hilfe geclusterten GPU-Instanzen SHA1verschlüsselte Passwörter der NSA dechiffriert [14]. Dabeierwies sich die Miete für den Cloud-Dienst günstiger als dieKosten für die Nutzung eines illegalen Botnetzes. Der Miss-brauch einer Cloud-Infrastruktur wird dadurch begünstigt,dass es bei einigen Cloud-Anbieter möglich ist sich anonym,d.h. nur durch die Angabe einer Kreditkarte zu registrieren.Eswäre wünschenswert, dass alle Cloud-Anbieter die Identitäteiner Person besser überprüfen um illegale Aktivitäten zu un-terbinden.DER KONFLIKT MIT DEM DATENSCHUTZEiner der noch nicht vollständig geklärten Aspekte ist der da-tenschutzkonforme Umgang mit den Daten in der Cloud, wobeisich der Begriff „Datenschutz“ im deutschen Recht im Wesen-tlichen auf personenbezogene Daten bezieht. Wenn die Datenauf Servern in verschiedenen Ländern verteilt werden, unter-liegen diese auch den jeweiligen landestypischen Gesetzen.Somit wird einer der größten Vorteile des Cloud Computings,die hohe Abstraktion, zu einem Problem. Daher muss bei derAuswahl des Anbieters darauf geachtet werden, in welchenLändern und damit nach welchen Gesetzen die Daten ges-peichert werden [15]. Es kommt zum Beispiel zu Problemen,wenn personenbezogene Daten außerhalb der EuropäischenUnion gespeichert werden. Die außereuropäischen Ländergelten als datenschutzrechtlich kritisch bzw. unsicher [16]. AlsAusnahme ist hier die USA zu sehen, da zwischen der USAund der EU eine Safe-Harbor-Vereinbarung existiert [17].Neben personenbezogenen Daten unterliegen jedoch auchandere Dokumente rechtlichen Vorschriften, so müssen be-ispielsweise steuerlich relevante Dokumente grundsätzlichim Inland aufbewahrt bzw. archiviert werden. Das gleiche gilt,gemäß des deutschen Handelsrechts auch für Buchungsbe-lege und Handelsbriefe. Der Tatsache, dass die Unterneh-men, die die persönlichen Daten erheben für die Sicherheitund den Datenschutz verantwortlich sind und nicht der CloudComputing-Anbieter sind zu beachten [18]. Wichtig ist auch zuberücksichtigen, dass viele Cloud-Anbieter selbst ein Subun-ternehmen beauftragen. So werden die Daten von Dropbox inder Cloud von Amazon gespeichert, wodurch die Daten denRegelungen von Amazon unterliegen. Gerade diese Unsi-cherheit macht eine eigene private EU-Cloud für Unterneh-men interessant.Eines der Hauptprobleme ist, dass die Cloud-Anbieter nichtalle Schritte und Maßnahmen offenlegen. So wird in der Re-gel nicht veröffentlicht welche Prozesse angewandt werdenum Daten vor unbefugten Zugriffen zu schützen. Die fehlendeTransparenz in diesem Bereich verhindert heutzutage nochden breiten Einsatz von Cloud-Computing.DAS PROBLEM DER TRANSPARENZOftmals praktizieren heutige Anbieter Sicherheit durch Ver-schleierung, allerdings kann ein hoher Sicherheitlevel nur mitTransparenz erreicht werden [11 S. 29]. Solange die Anbie-ter nicht offenlegen, wie die Daten und System gesichert sindund wo sich die dazugehörigen Infrastrukturen befinden, istkein Vergleich und vor allem keine Kontrolle über die eige-nen Dienste und Daten möglich [19 S.9]. Aber vor allem istdadurch nicht klar wer theoretischen Zugriff hat, und welcheMaßnahmen zur Sicherung angewendet werden. Durch diefehlenden Informationen können deshalb Public Clouds nichtdatenschutzkonform genutzt werden. Außerdem stehen sieoftmals auch im Widerspruch zu vorhandenen IT-Complian-ce Regeln. Ein dokumentiertes Datenschutzmanagement undein veröffentlichtes IT-Sicherheitsmanagement Konzept istderzeit leider noch bei fast keinem Anbieter anzutreffen.Ein Ansatz um für mehr Transparenz zu sorgen ist die Ein-führung von Cloud Compliance um die nachweisbare Einhal-tung von unternehmensinternen und vertraglichen Regelun-gen zur Nutzung oder Bereitstellung von Cloud ComputingLeistungen zu garantieren. Damit kann Cloud Compliance diebestehende Zurückhaltung und die Vorbehalte gegenüber denAngeboten zum Cloud Computing reduzieren. Allerdings müs-sen dabei die beiden Herausforderungen der Neuartigkeit undder Komplexität bewältigt werden. Dadurch dass unterschie-dliche Anbieter auf Grund ihrer unterschiedlichen Leistungennicht verglichen werden können, müssen jeweils individuelleVereinbarungen getroffen werden. Allerdings können die Clo-ud-Compliance Regelungen auf den klassischen und bereitsvorhandenen IT-Compliance-Anforderungen aufbauen, da essich ja um eine neue Nutzungsmethode handelt und nicht umeine neue Technik. Duch dieses Vorgehen sollten also dieklassischen IT-Risiken wie Sicherheit, Verfügbarkeit, Vollstän-digkeit und Nachvollziehbarkeit bereits abgedeckt sein.ZUSAMMENFASSUNGCloud Computing hat die IT-Branche stark verändert und wirddie zukünftige Entwicklung noch weiter stark beeinflussen. Einoft gezogener Vergleich ist die Entwicklung in der Stromwirt-schaft am Ende des 19. Jahrhunderts. Damals erfolgte eineUmstellung von vielen kleinen Stromerzeugern hin zu einemlandesweiten Stromnetz mit zentralen Großkraftwerken. Das-selbe geschieht nun gerade in der IT-Branche. Ressourcenwie Speicherplatz und Rechenleistung werden von Cloud-An-bietern in großen Rechenzentren bereitgestellt. Dieser Pro-zess fördert eine Art Demokratisierung der IT-Branche. Einkleines Start-Up kann per Cloud mit einem globalen Unterneh-men konkurrieren, ohne eine eigene Infrastruktur aufbauen zumüssen. Zudem treibt die schnelle Entwicklung bei den mobi-len Plattformen die Weiterentwicklung zusätzlich flott voran.Durch diese Entwicklung verschieben sich auch die Sicherhe-itsmaßnahmen weg von einzelnen Rechner und Server bis hinzu zentralen Systemen.CLOUD COMPUTING - SICHERHEIT IN DER WOLKE
  7. 7. 14Hakin9 EXTRACloud Computing unterliegt grundsätzlich den gleichen An-griffsgefahren wie eine traditionelle Infrastruktur. Allerdingssteigt die Gefahr eines Angriffs durch die Vereinfachung undZentralisierung. So kann zum Beispiel ein Angreifer durchdas Ausspähen von Zugangsdaten Zugriff auf eine kompletteInfrastruktur mit mehreren Servern bekommen. Durch dieseKomplexität müssen neuen Prozesse entwickelt werden, zumBeispiel die Schulung von Personal gegen Social Engine-ering Angriffe, um die Sicherheit zu erhöhen. Und gerade inPublic Clouds und auf geteilten Infrastrukturen wandelt sichder Aufbau von Schutzmechanismen. So müssen Systemenicht mehr nur vor Angriffen von außerhalb geschützt werden,sondern auch vor Angriffe von innen heraus. Mit der Verte-ilung auf verschiedenen und unbekannten Systemen erhöhtsich die Komplexität und die Anzahl potentiellen Angriffspunk-te deutlich. Nur eine sichere Verschlüsselung, die durch denKunden selbst und nicht durch den Cloud-Anbieter erfolgt,kann einen zuverlässigen Schutz seiner Daten gewährleisten.Ebenso sind starke Authentizität- und Zugangskontrollennotwendig um sicherzustellen, dass kein unbefugter Zugriffausgeführt wird.In Bereich der Transparenz haben Cloud-Anbieter noch star-ken Aufholbedarf und müssen neue Methoden entwickelnum rechtskonforme Dienste zu ermöglichen und damit auchdas berechtigte Vertrauen der Kunden zu gewinnen. Nebender Anstrengungen der Anbieter müssen jedoch auch dieForschung, die Wirtschaft und Behörden gemeinsam neueSchutzstandards erarbeiten und entwickeln um eine gemein-sam rechtliche Basis zu schaffen.AutoreninformationTobias Scheible arbeitet als wissenschaftlicher Mitarbeiteran der Hochschule Albstadt-Sigmaringen am VerbundprojektOpen Competence Center for Cyber Security. In dem Projektwerden nebenberufliche Fort- und Weiterbildungsmaßnah-men entwickelt, wie beispielsweise der Bachelor-StudiengangIT-Sicherheit und der Master-Studiengang IT-Compliance,E-Fraud & E-Discovery. Außerdem ist der Autor begeisterterWeb-Entwickler und schreibt in seinem Blog unter http://sche-ible.it über seine Ideen, Erfahrungen und die Faszination desInternets.Internet: http://scheible.itTwitter: @TobiasScheibleQuellen[1] http://scripting.com/disruption/mail.html[2] http://winfwiki.wi-fom.de/index.php/Kostensenkungspoten-zial_durch_Cloud_Computing[3] http://www.bundestag.de/dokumente/analysen/2010/clo-ud_computing.pdf[4] http://de.wikipedia.org/wiki/Geschichte_des_Internets#Do-tcom-Boom_Ende_des_20._Jahrhunderts[5] http://www.heise.de/netze/meldung/Telekom-schaltet-er-ste-Glasfaseranschluesse-1666557.html[6] http://www.golem.de/news/google-fiber-ansturm-auf-1-gbit-s-fuer-70-us-dollar-1209-94469.html[7] http://www.golem.de/1104/82945.html[8] http://de.wikipedia.org/wiki/Cloud_Computing#Organisato-rische_Arten_von_Clouds[9] http://www.cloud-practice.de/know-how/ebenen-von-clo-ud-services[10] http://www.prozeus.de/imperia/md/content/prozeus/bro-schueren/prozeus_broschuere_cloudcomputing_web.pdf[11] http://www.stiftungaktuell.de/files/cloudcomputing_win-kelmann.pdf[12] http://www.zeit.de/2011/08/Cloud-Computing[13] https://www.rsa.com/innovation/docs/10764_CLWD_BRF_1009_DE.pdf[14] http://www.zdnet.de/41540830/hacker-knackt-passwoer-ter-mithilfe-der-amazon-cloud/[15] http://www.computerwoche.de/management/it-strate-gie/2362186/[16] http://www.it-business.de/news/recht/vorschriften-regulie-rungen/compliance/articles/253091/[17] http://www.searchsecurity.de/themenbereiche/sicherheits-management/compliance/articles/292425/[18] http://www.welt.de/wirtschaft/webwelt/article12680570/Beim-Cloud-Computing-drohen-gefaehrliche-Luecken.html[19] http://www.wolke.hs-furtwangen.de/assets/files/Sicherhe-itsprobleme_fuer_IT-Outsourcing_durch_Cloud_Computing2.pdf

×