Verschlüsselung allein genügt nicht
Versiegelte Wolke
Um ein Ausspähen von Daten zu verhindern, verlässt sich die Mehrheit der Systeme heute auf Verschlüsselung. Doch Metadaten lassen sich nach wie vor sammeln und auswerten. Mit einer als "Sealed Cloud" bezeichneten Technik kann man diese Sicherheitslücke schließen.
Bisherige Unicast-Systeme müssen dem Betreiber immer die Empfängeradressen offenbaren, damit dieser die Nachrichten korrekt weiterleiten kann. Den Anbietern von Kommunikationsdiensten liegen damit die Verbindungsdaten offen vor. Diese zeigen auf, wer mit wem, wann und wie lange kommuniziert. Solche Metadaten sagen viel über die Absichten der betroffenen Parteien aus und sind einfach zu analysieren.
Aus diesem Grund erfordert der Datenverkehr zwischen Bürgern, Unternehmen und öffentlichen Einrichtungen auch den Schutz der Metadaten. Dies setzt man entsprechend dem Stand der Technik bislang auf dreierlei Arten um: entweder durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten [1], durch einen Multicast-Ansatz [2] oder durch den Einsatz von Mix-Netzen [3].
Beim ersten Ansatz werden die Personen, die technisch Zugang zu den Metadaten haben, vertraglich zur Geheimhaltung verpflichtet. Im besten Fall führen mehrere sich gegenseitig überwachende Personen die Tätigkeiten mit Zugang zu den Metadaten nach dem Vier-Augen-Prinzip gemeinsam aus. Seit Edward Snowden ist klar, dass Metadaten mittels organisatorischer Maßnahmen nicht ausreichend geschützt sind. Beim Multicast-Ansatz schickt das System asymmetrisch verschlüsselte Daten nicht nur vom Sender an den Empfänger direkt, sondern verteilt sie zusätzlich an mehrere andere Netzteilnehmer. Weil die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wurde, kann nur dieser mit seinem privaten Schlüssel die Nachricht entschlüsseln. Die anderen Empfänger der verschlüsselten Information können den Adressaten der Nachricht nicht ableiten, sondern durch Entschlüsselungsversuche nur feststellen, dass sie nicht zu den Adressaten zählen. Der Anbieter und der Netzbetreiber wissen, welcher Netzteilnehmer wann wie viel versendet, jedoch nicht, mit wem er kommuniziert. Die Verbindungsdaten bleiben ihm verborgen. Der Ansatz ist für Unternehmen ungeeignet: Die Netzteilnehmer brauchen viel Rechenleistung; dazu kommt noch, dass auch im Netz sehr hohe Übertragungskapazitäten erforderlich sind.
Ein dritter Ansatz verhindert den Zugriff auf die Empfängeradressen überhaupt nicht, sondern verschleiert stattdessen die Absenderadresse. Dies erfolgt über so genannte Mix-Netze. In ihnen sind die Nachrichten von der Senderadresse entkoppelt und an mehreren Zwischenknoten voneinander unabhängiger Betreiber mit vielen anderen Nachrichten vermischt. Damit kann der Empfänger der Nachricht die Absenderadresse für eine verbindliche Kommunikation zwar aus dem verschlüsselten Teil der Nachricht entnehmen, dem einzelner Betreiber der Knoten dieses Mix-Netzes bleibt sie verborgen. Dieser Ansatz ist jedoch aufgrund der hohen Verzögerungen zu langsam für eine effiziente Unternehmenskommunikation.
Versiegelung
Die einer "Sealed Cloud" zugrunde liegende Idee besteht darin, die Leistungsfähigkeit und Bedienungsfreundlichkeit eines normalen Web-Dienstes mit der Sicherheit auszustatten, die gerade Unternehmen verlangen müssen, um trotz der digitalen Herausforderungen nachhaltig und regelkonform zu bleiben. Ein solches System verwendet rein technische Maßnahmen, um den Zugriff auf Inhalte und Metadaten zu unterbinden und zum Schutz gegen Angriffe von innen und außen die organisatorischen Maßnahmen entlang der ersten Verteidigungslinie komplett zu ersetzen [4].
Damit Nutzer keine besondere Software installieren müssen, schützt eine klassische SSL-Verschlüsselung den Transport der Daten vom Gerät aus zum Rechenzentrum. Das System akzeptiert dabei nur starke Cipher, also solche mit langen Schlüsseln und ohne bekannte Implementierungsschwächen. Anders als bei gewöhnlichen Web-Servern dürfen die privaten Schlüssel auf Server-Seite nicht bekannt sein. Deshalb kommt ein speziell abgesicherter Import des privaten Schlüssels durch einen unabhängigen Auditor zum Einsatz, wobei dieser nur zur Laufzeit des Servers stattfindet. Zum Schutz vor "Man in the Middle"-Angriffen gibt es eine Browser-Erweiterung und - für mobile Geräte - Apps, die bei falschen Zertifikaten sofort den Benutzer alarmieren. Ein Nutzer kann sich zusätzlich mit einem Einmalpasswort (Generator) oder einem Zahlencode per SMS einloggen (zweiter Faktor zur Authentisierung).
Damit weder der Betreiber der Infrastruktur noch der Anbieter einer darauf laufenden Anwendung auf die Nutzerdaten während der Verarbeitung zugreifen kann, kommt ergänzend zur Verschlüsselung die so genannte "Versiegelung" zum Einsatz. Die Anwendungs-Server im RZ einer "Sealed Cloud" sind in mechanischen Käfigen mit elektromechanischen Schlössern eingeschlossen. Die elektronischen Schnittstellen zu den Servern wurden entfernt oder mit Filtern versehen, die einzig dem Benutzer erlauben, auf seine Daten zuzugreifen. Der Administrator hat keinen Zugang.
Keiner dieser Server hat persistenten Speicher. Die elektronischen Schnittstellen sowie die mechanischen Komponenten der Käfige sind mit Sensoren ausgestattet, die bei einem Zugangsversuch unmittelbar Alarm auslösen. In diesem Fall startet ein "Data Clean-up": Die Daten auf den betroffenen Servern werden auf nicht betroffene Segmente umgelenkt und dann gelöscht. Damit sicher ist, dass keine Daten auf den Geräten sind, schaltet sich die Stromversorgung zu den Servern ab. Data Clean-ups setzen nicht nur dann ein, wenn das System angegriffen wird, sondern auch, wenn Service-Arbeiten anstehen.
Dekorrelation zum Schutz der Metadaten
Der RZ-Betreiber besitzt keinen Schlüssel zur Entschlüsselung der Protokolle in der Datenbank, ebenso wenig für die Dateien in den File-Systemen. Diese Schlüssel werden durch Hash-Ketten aus Benutzername und Passwort erzeugt. Sobald die Hash-Werte ermittelt sind, verwirft das System beides sofort wieder. Ist eine Session zu Ende, löscht es auch den ermittelten Hash-Wert. Damit aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb des erwähnten "Data Clean-op"-Bereichs ein rein volatiler "Meta-Mapping-Server" betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf haben.
Damit niemand Rückschlüsse auf die Metadaten ziehen kann, indem er den Datenfluss beobachtet, verzögert das System die Benachrichtigung über ein- und ausgehende Datenpakete aufkommensabhängig und zufällig. Außerdem erweitert es die Größe der übertragenen Dateien künstlich auf die nächst höhere Standardgröße. Ziel dieser Maßnahme ist es zu verhindern, dass sich Metadaten über Zeit- oder über Größenkorrelationen ableitet lassen.
Ein Wort zur Auditierung: Neben einer "statischen Attestierung", deren Aufgabe es ist, die Zuverlässigkeit der Komponenten zu prüfen, arbeitet der Betreiber der Sealed Cloud zusammen mit einer neutralen Zertifizierungsstelle an einer "dynamischen Attestierung". Mit ihr prüft das System auch bei laufendem Betrieb, ob weiterhin alle Voraussetzungen für den zertifizierten Ablauf erfüllt sind. Treten Abweichungen auf, nimmt es die betroffenen Server oder Server-Teile außer Betrieb. Außerdem meldet das System den Fehler an die zertifizierende Stelle.
Lesen Sie mehr zum Thema
