Cloud-Sicherheit in der Diskussion
Schwarzrotgoldene Wolkenträume
Die Enthüllungen von Edward Snowden haben vor über einem Jahr eine Diskussion um die Aktivitäten der Geheimdienste losgetreten und Zweifel am Niveau der Informationssicherheit generell sowie insbesondere in der Cloud befeuert. Gegner des Cloud Computings sahen sich bestärkt, Cloud-Interessierte richteten ihren Blick mehr auf deutsche Anbieter. Doch inwieweit die Fokussierung auf eine "regionale Cloud" Nutzen stiftet, ist fraglich. Eine Zwischenbilanz.Edward Snowdens Veröffentlichung geheimer NSA-Unterlagen haben ab Sommer 2013 der breiten Öffentlichkeit vor Augen geführt, was Insider schon lange bemängelt hatten: dass es - nicht zuletzt dank freundlicher Unterstützung der US-amerikanischen und weiterer Geheimdienste - um die Informationssicherheit im Internet-Zeitalter wesentlich schlechter bestellt ist als allgemein angenommen. Privatanwender wie auch Unternehmensvertreter zeigten sich bestürzt, der deutsche IT-Branchenverband Bitkom reagierte empört: "Die informationelle Selbstbestimmung deutscher Verbraucher wird derzeit ebenso verletzt wie die Integrität wettbewerbsrelevanter Informationen in Unternehmen und vertraulicher Kommunikation in der Politik", klagte Bitkom-Präsident Prof. Dieter Kempf im November letzten Jahres [1].
Zu dieser Zeit erreichte die Reaktion der hiesigen IT-Industrie einen vorläufigen, wenn auch etwas halbherzigen Höhepunkt: Die Vizepräsidentin der EU-Kommission Viviane Reding regte an, dass die Europäer zwecks Datenschutz den Aufbau einer eigenen Cloud-Infrastruktur erwägen sollten [2], während Telekom-Chef René Obermann die Idee einer "deutschen Cloud" ins Spiel brachte, bei der der Datenverkehr zwischen deutschen Teilnehmern ausschließlich über innerdeutsche Leitungen geführt werden sollte. Das Telekom-Konzept, bald unter dem Spitznamen "Schlandnet" bekannt, wurde prompt von zahlreichen Wettbewerbern wie auch Netzwerkfachleuten als technisch unsinnig und lediglich Telekom-Interessen dienend kritisiert [3] - zumal die Telekom dank direkter Peerings mit anderen Tier-1-Carriern statt Teilnahme am deutschen DE-CIX-Peering-Point dem länderübergreifenden Datenverkehr jahrelang Vorschub geleistet hatte.
"Auch wenn dieser Wunsch prinzipiell gut nachvollziehbar ist, wird die Diskussion der Standortfrage aber doch sehr emotional geführt", so Andre Kiehne, Director Cloud Business bei Dimension Data Germany. "Denn die Cloud macht nicht an Ländergrenzen halt. Insofern ist eine rein deutsche Cloud wegen fehlender Grenzen beim digitalen Datentransfer kaum vorstellbar. Aufgrund der Globalität von Wirtschaftsbeziehungen und der Nutzung von Diensten internationaler Anbieter wäre dies in den meisten Fällen auch gar nicht wünschenswert."
Deutsche Cloud-Angebote im Aufwind
Nichtsdestoweniger führte der NSA-Skandal zu einer Rückbesinnung auf lokale Stärken und Player. Führende deutsche E-Mail-Anbieter fanden sich unter dem Label "E-Mail Made in Germany" zusammen [4], um E-Mails hiesiger Sender und Empfänger rein innerhalb der Landesgrenzen auszutauschen, einheimische Provider und Sicherheitsfirmen verzeichneten starken Zulauf [5], und die Initiative "Cloud Services Made in Germany" [6] - schon lange vor dem NSA-Skandal vom Ettlinger Cloud-Consulting-Haus Appsphere ins Leben gerufen - konnte sich über eine wachsende Zahl von Mitgliedern freuen.
Auch die von LANline seitdem befragten heimischen Service-Provider zeigten sich von der Marktentwicklung meist angetan.
Die reflexhafte Besinnung auf den inländischen Markt angesichts einer vorrangig als US-amerikanisch wahrgenommenen Bedrohung der Informationssicherheit birgt allerdings einige Tücken, wie neben Kiehne auch weitere IT-Fachleute gegenüber LANline bestätigten. "Die gelösten und ungelösten Security-Probleme der deutschen Cloud-Anbieter halten sich in etwa die Waage", meint zum Beispiel Eric M. Roßner, IT-Security-Spezialist beim Dortmunder IT-Dienstleister Materna. Vertrauen sei ein wichtiger Punkt, bei dem deutsche Cloud-Anbieter deutlich im Vorteil seien.
Allerdings warnt Roßner: "Nach wie vor ungelöst ist aber, dass deutsche Nachrichtendienste einen Zugriff auf die Daten verlangen können, aber selbst nicht frei sind von Ausspähungen fremder Dienste. Auch gängige Technologieplattformen wie Betriebssysteme und Netzwerktechnik stammen häufig aus den sogenannten Daten-Schurken-Ländern." Den deutschen Unternehmen fehle damit die Hoheit über die eingesetzte Hard- und Software. Selbstentwickelte sichere Technik aus Deutschland sei bislang nur rudimentär vorhanden.
René Büst, Senior Analyst und Cloud Practice Lead bei Crisp Research, rät jedoch davon ab, sich angesichts der generellen IT-Bedrohungslage so stark auf das Thema NSA zu versteifen: "Grundsätzlich steht der NSA-Skandal mit dem Thema Cloud-Security in keinem unmittelbaren Zusammenhang", mahnt der Cloud-Experte gegenüber LANline. Das Thema einer sicheren "deutschen Cloud" werde bei den Unternehmen überstrapaziert, der Fokus auf die wesentliche Problematik gehe verloren. "Bestenfalls lassen sich damit datenschutzrechtliche Probleme lösen", so Büst. "Wenn ein Angreifer, sei es ein Hacker oder ein Geheimdienst, ein potenzielles Ziel im Auge hat, dann wird er früher oder später auch erfolgreich sein. Wo ein Wille ist, dort ist auch ein Weg."
Zugleich warnt Büst aber davor, nun wieder ausschließlich auf intere RZ-Ressourcen zu setzen: "Den Segen im eigenen Rechenzentrum zu suchen, sollte gut überlegt sein." Die Infrastruktur eines professionellen Cloud-Service-Providers (CSP) sei häufig wesentlich sicherer als eine selbstbetriebene IT, könne der CSP doch stärker in IT, Know-how und Personal investieren als ein Durchschnittsunternehmen. "Dass ein eigenes Rechenzentrum beziehungsweise die eigene IT-Infrastruktur sicherer ist als die professionell betriebene Cloud eines Anbieters, ist ein Mythos", konstatiert der Crisp-Analyst.
"Unternehmen sollten Cloud-Service-Provider wählen, die entsprechende Erkennungs- und Abwehrmaßnahmen besitzen, unabhängig von deren Firmensitz", rät Thorsten Rosendahl, Security Advisor bei Cisco. Denn viele Länder würden im Ernstfall nicht nur Provider, sondern auch Unternehmen mit Auslandspräsenz zur Herausgabe sensibler Daten verpflichten. "Diese politische Herausforderung ist für viele Unternehmen heute größer als die technische", so der Cisco-Fachmann. "Ob in der Cloud oder im eigenen Netzwerk: Sicherheit hängt vom Vertrauen ab - in den Provider, in die eingesetzten Produkte, in die Gebäude und die eigenen Mitarbeiter."
Frage des Rechtsraums
"Sicherheitsbewusste Nutzer von Cloud-Services sollten darauf achten, dass nur sie allein Zugriff auf ihre Daten haben", rät Andre Kiehne von Dimension Data, "und das ist klar geregelt, solange wir uns im europäischen Rechtsraum bewegen. Das geltende Recht schützt sowohl die Auftragsdaten als auch die firmeneigenen Daten in der Cloud. Der Standort des Rechenzentrums ist dabei nachrangig." Deutschland wie auch Europa könnten auf eine solide Datenschutzgesetzgebung verweisen: "Die Verarbeitung der Daten in der Cloud unterliegt speziellen Datenschutz- und Sicherheitsanforderungen, die sich aus nationalen und internationalen Datenschutzvorgaben ableiten lassen, wie dem Bundesdatenschutzgesetz in Deutschland oder der europäischen Datenschutzrichtlinie 95/46/EG."
In puncto Beratung sieht Kiehne die Anbieter in der Pflicht: "Wir müssen Transparenz schaffen und dem Kunden jederzeit Auskunft erteilen können, wo seine Daten liegen und wer darauf Zugriff hat." Ein Unternehmen sollte laut Kiehne gegenüber einem CSP darauf bestehen, dass nicht nur die Service-Qualität im Vertrag klar geregelt ist, sondern auch die Sicherheit. Denn grundlegend für die sichere Nutzung der Cloud sei eine qualifizierte Analyse, welche Security-Mechanismen für bestimmte Daten und Anwendungen erforderlich sind.
Zu dieser Analyse gehört laut Franz Appel, Abteilungsleiter Produkt- und Portfolio-Management beim Münchner Service-Provider M-net, zunächst die Wahl einer geeigneten Lokation für die Datenspeicherung. So garantiere M-net, dass Kundendaten in Rechenzentren in Bayern mit höchsten Sicherheitsansprüchen vorgehalten und übertragen werden. "Die Housing Center verfügen dabei unter anderem über mehrstufige Zutrittsbarrieren und Rund-um-die-Uhr-Überwachung", erläutert Appel. "Die Anbindung an das M-net-eigene Übertragungsnetz erfolgt redundant auf zwei völlig getrennten Glasfaser-Zugangswegen." Zusätzlich biete der Münchner Provider Optionen wie zum Beispiel, die Datenübertragung zu verschlüsseln sowie Daten mittels Punkt-zu-Punkt-Verbindungen ohne Berührung des öffentlichen Internets zu übertragen.
Auch zahlreiche andere Anbieter haben sich der beliebten Kombination aus deutschem RZ-Standort und Verschlüsselung der Unternehmensdaten verschrieben, zum Beispiel der E-Mail-Sicherheitsexperte Antispameurope mit Sitz in Hannover, der im Rahmen seines Angebots Hornetdrive Kundendaten mittels Ende-zu-Ende-Verschlüsselung sichert und mehrfach redundant in deutschen Rechenzentren speichert. Einen interessanten Ansatz verfolgt Uniscon mit der "Sealed Cloud": Mit dieser vom BMWi geförderten Lösung verspricht der Münchner Cloud-Security-Spezialist nicht nur eine Verschlüsselung der Datenbestände, sondern zugleich die Verschleierung der Metadaten, um Zugriffsmuster vor den Auswertungen Neugieriger zu schützen.
Keine Entwarnung
Ein gut gesicherter deutscher RZ-Standort, Ende-zu-Ende-Verschlüsselung und klare vertragliche Regelungen, die neben der Service-Qualität auch die Informations- und Zugriffssicherheit abdecken - kann man damit also Entwarnung geben in Sachen Cloud Security? Wohl eher nicht, und dies vorrangig aus zwei Gründen: Erstens sickern im Rahmen der sogenannten "Consumerization" [7] immer mehr Consumer-Endgeräte, -Apps und -Services in den Berufsalltag ein - angebunden an die Clouds von Apple, Google, Facebook und Co., die in Sachen Unterminierung der Privatsphäre der NSA in keiner Weise nachstehen. Eine IT-Organisation, die dem Management die Möglichkeit einräumt (oder einräumen muss), per Iphone oder Ipad auf sensible Unternehmensdaten zuzugreifen, muss deshalb heutzutage sehr aufpassen, dass die vertraulichen Excel-Sheets nicht in der Icloud landen. Dort stünden sie nicht nur dem Zugriff durch Apple selbst zur Verfügung; zudem ist die Icloud ein beliebtes Ziel für Angreifer aller Art, wie jüngst der Skandal um durch Hacker veröffentlichte Nacktfotos von Filmstars und -sternchen belegte.
Zweitens ist auch die deutsche IT-Infrastruktur nicht so sicher, wie die deutschen Cloud-Anbieter es gerne glauben machen wollen - und dies gilt jenseits aller Backdoors, die die NSA oder deren britisches Pendant GCHQ in das Equipment von Cisco, Juniper, Huawei und Co. eingebracht haben könnten. Christopher Soghoian, IT-Sicherheitsexperte der US-Bürgerrechtsorganisation ACLU (American Civil Liberties Union), erläuterte dies in einer Stellungnahme, die er im Juni dieses Jahres für den NSA-Untersuchungsausschuss des Bundestages verfasst hatte [8]. Soghoian konstatierte angesichts der enormen personellen und finanziellen Mittel der NSA: "Daten in Deutschland aufzubewahren wird die Legionen der NSA-Cyberkrieger nicht abhalten." Soghoian rät deshalb, nationale Bemühungen nicht auf eine "deutsche Cloud", sondern auf die Problematik der Cloud-Verschlüsselung zu konzentrieren.
Zugleich entlarvte der IT-Experte der US-Bürgerrechtler in seiner Stellungnahme die hiesige Aufregung über den NSA-Skandal als zumindest in Teilen überzogen: Die Millionen durch die Amerikaner abgehörten Telefonate, so Soghoian, hätten die Deutschen eigentlich gar nicht überraschen dürfen. Denn das deutsche Mobilfunknetz sei "anfällig für das Abhören durch weithin verfügbares Equipment" - und eben nicht nur durch Spezialwerkzeuge der TAO (Tailored Access Organisation) der NSA. Vielmehr mache auch eine deutsche Firma - Rohde und Schwarz - seit Jahren gute Geschäfte mit sogenannter IMSI-Catcher-Technik (IMSI: International Mobile Subcriber Identity). "Die IMSI-Catcher, die dieses Unternehmen seit Mitte der 1990er-Jahre verkauft, nutzen bekannte Sicherheitslücken aus, die auch in den neuesten 600-Dollar-Smartphones noch vorhanden sind, die an Verbraucher in den Vereinigten Staaten und in Deutschland verkauft werden", so der ACLU-Informatiker.
Zu den zahlreichen Sicherheitsaktivitäten, mit denen die Deutsche Telekom seit letztem Jahr wieder für mehr Vertrauen sorgen will, zählen neben der Einrichtung eines "Cyber-Abwehrzentrums" (LANline berichtete, siehe [9]) auch die Ankündigung vom Dezember 2013, den verbesserten Verschlüsselungsalgorithmus A5/3 einführen zu wollen. Bislang, so mutmaßt Soghoian, habe die Telekom, wie die meisten Netzbetreiber, den veralteten Algorithmus A5/1 genutzt. Dieser, obschon bereits Ende der 1990er-Jahre von Forschern gebrochen, sei nach wie vor der weltweit verbreitetste Verschlüsselungsalgorithmus für Mobilfunknetze.
"Warum", fragt der IT-Spezialist der US-Bürgerrechtler, "waren 14 Jahre und der größte Überwachungsskandal seit Jahrzehnten nötig, damit die Kunden des führenden deutschen Mobilfunkanbieters das Upgrade auf einen sichereren Verschlüsselungsalgorithmus erhalten?" Soghohains ernüchternde Einschätzung: "Bis dato hat Deutschland überwachungsfreundliche Kommunikationsnetze priorisiert." Sprich: Die Möglichkeit, dass deutsche Polizeibehörden und Geheimdienste den Mobilfunkverkehr beispielsweise zwecks Bekämpfung von Kriminalität und Terrorismus abhören können, war der Bundesregierung stets wichtiger als der Schutz von Privatsphäre oder auch der Firmengeheimnisse deutscher Unternehmen.
Soghoian - der die Anwälte der ACLU zu IT-Sachverhalten berät - riet dem deutschen NSA-Untersuchungsausschuss deshalb, ebenfalls IT-Fachleute anzuheuern, die das Parlament bei der Kontrolle des nationalen Überwachungsapparats kompetent informieren können. Denn eine bessere IT-Sicherheit setzt ein tiefgehendes Verständnis für die Möglichkeiten und Grenzen der Überwachung wie der Abwehr von Übergriffen voraus. Angesichts der oben beschriebenen Prioritätenlage könnten Skeptiker allerdings Zweifel hegen, ob eine fundierte weitergehende Kontrolle - sofern sie denn eines Tages eingeführt wird - tatsächlich der IT-Sicherheit deutscher Unternehmen zugute kommen würde.
Der Autor auf LANline.de: wgreiner
Lesen Sie mehr zum Thema
