End-to-End-Security, Teil 1: Wo Cloud-Dienste offene Lücken lassen

Deutschland ist notorisch skeptisch, wenn es um die Sicherheit von Cloud-Services geht, besonders seit bekannt ist, dass die NSA keine Grenzen kennt. Dabei gibt es durchaus praktikable Verschlüsselungslösungen und tauglichen Transportschutz. Das Dumme ist nur: Cloud-Dienste brauchen lesbare Daten.

Unter dem Radar in die Cloud

Von Uli Ries

Unternehmen bekommen im Handumdrehen reichlich Rechenleistung, Speicherplatz, Service, Support und Software für vergleichsweise kleines Geld – die Vorteile von Cloud-Diensten sind den meisten klar. Auch die Gefahren, die beim Einsatz einer Cloud-Lösung drohen, können Fachleute ebenso rasch skizzieren. Weit weniger übersichtlich wird es hingegen, wenn es um die beste, die gängigste, die nutzerfreundlichste oder die sicherste Methode geht, den Umgang mit der Wolke von Anfang bis Ende abzusichern. Zu vielfältig sind die Nutzungsszenarien und Schutzbedürfnisse der einzelnen Anwender, als dass man Faustregeln für die End-to-End-Security in die Cloud (und zurück) formulieren könnte. Es gibt aber tragfähige Ansätze für fast alle Fälle.

Signiert und codiert

Das wohl gängigste Beispiel für End-to-End-Sicherheit ist die E-Mail-Verschlüsselung per PGP oder S/MIME. Der Vergleich mit der Kommunikation zwischen Client und SaaS-Anwendung (Software as a Service) hinkt zwar ein wenig, da bei E-Mail immer zwischen Client und Client, bei SaaS aber zwischen Client und Server verschlüsselt wird, doch das Grundprinzip ist dasselbe: In beiden Fällen verschlüsselt der Client die Nachricht bereits vor dem Versand und nur der Empfänger kann sie entschlüsseln (sofern er den passenden Key bzw. das richtige Zertifikat hat). An der Übermittlung beteiligte Server und Gateways sehen keine Inhalte im Klartext – und das ist entscheidend. Nicht erst seit staatliche Spionageprogramme wie PRISM öffentlich bekannt sind, sollten Unternehmen ausschließlich digital signierte und verschlüsselte E-Mails verschicken – ganz egal, ob sie den E-Mail-Server im eigenen Rechenzentrum betreiben oder auf eine gehostete Lösung in der Cloud zugreifen.

Serie: End-to-End-Security
Teil 1 formuliert die Aufgaben einer durchgängigen Verschlüsselung – auch im Cloud Computing. Teil 2 geht genauer auf die Transportsicherheit ein: Perfect Forward Secrecy.

So weit, so sicher. Sehr wahrscheinlich nehmen Cloud-Anwender aber noch viele weitere Dienste in Anspruch, die gleichfalls geschützt werden müssen. Henrik Davidsson, Director für Sicherheit in der EMEA-Region bei Juniper Networks, zählt auf, warum es für Cloud-Anwender keine eindeutige Standardlösung gibt:

Mobile Security, Absichern des Endgeräts, Mobile Device Management, Verschlüsselungstechniken für Dateien oder Datenbanken, Anwendungssicherheit, Rechenzentrumssicherheit, Absichern des Netzwerks, Intrusion Prevention oder auch DDoS-Gegenmittel – all diese Faktoren oder eine beliebige Kombination dieser Faktoren gilt es vor dem Gang in die Cloud zu betrachten, wenn man End-to-End-Sicherheit erreichen will.“
MittelstandsWiki 15.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserem Magazin zur CeBIT 2014. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Einsperren statt aussperren

So unterschiedlich die Möglichkeiten und Schutzszenarien auch sind, eines bleibt immer gleich: „Der Anwender muss wissen, was er eigentlich schützen will. Dazu gehört auch, den Kontext zu kennen, in dem Dateien und Daten verwendet werden“, betont Thomas Hemker, Security Strategist bei Symantec.

Damit rückt Hemker ein längst bekanntes Prinzip namens DLP (Data Leakage Prevention) wieder in den Blickpunkt. Es beruht auf der Erkenntnis, dass hartnäckige Späher am Ende in jedes Netz gelangen, und konzentriert sich darauf, die Diebe nicht mit der Beute davonkommen zu lassen. DLP ist jedoch nie so recht in Schwung gekommen, da es dem Kunden viel Arbeit abverlangt: Ein Unternehmen muss seine Daten sauber klassifizieren, bevor es auch nur einen einzigen nicht erlaubten Datentransfer unterbinden kann.

Thomas Hemker zufolge wird DLP nicht zuletzt aufgrund der wachsenden Verbreitung von Cloud-Lösungen langsam besser akzeptiert. Cloud-Projekte befassen sich meist nur mit einem Ausschnitt der Daten eines Unternehmens (z.B. nur mit den für das CRM relevanten Kundendaten oder den für Big-Data-Analysen ausgelagerten Daten), sodass das Klassifizieren schneller über die Bühne geht.

Schlüssel und Generalschlüssel

Und noch etwas ist nahezu allen End-to-End-Security-Konzepten gemeinsam: Sie bauen auf den Einsatz von digitalen Schlüsseln – und diese müssen im Unternehmen zentral verwaltet werden. Andernfalls droht die Gefahr, dass ein Mitarbeiter unbeabsichtigt (oder absichtlich) den Schlüssel vernichtet, mit dem er seine Daten codiert hat. Ohne Key-Management könnte der Arbeitgeber dann den Klartext nicht wieder herstellen. „Damit Verschlüsselung von den Anwendern akzeptiert wird, muss sie transparent passieren. Kein Nutzer will sich mit den technischen Herausforderungen herumschlagen. Und auch Administratoren sind nicht zwangsläufig Kryptoexperten. Sie müssen also auch komplexe Encryption-Lösungen verwalten können, ohne sich in den Tiefen von Algorithmen und Private Keys zu verlieren“, sagt Thomas Hemker.

Der Vorteil für Cloud-Anwender: Die zur Absicherung von Dateien oder E-Mails gängigen Verschlüsselungstechniken gibt es bereits seit Jahren, sie sind bewährt und Enterprise-tauglich. Von daher gibt es auch hinreichend Management-Lösungen wie Symantecs Encryption Server, die Anwendern und IT-Spezialisten das Leben erleichtern. Kunden müssen also nichts über Kryptografie wissen, sondern lediglich gemeinsam mit einem Dienstleister erfassen, was sie eigentlich schützen wollen.

Sicher, aber unhandlich

Anhand des leicht nachvollziehbaren Beispiels E-Mail zeigt sich, dass Verschlüsselung auch Haken hat. Eine der größten Schwächen der End-to-End-Sicherheit besteht genau darin, dass die beteiligten Server mit den Dateien bzw. Nachrichten nichts anfangen können. Ein Cloud-basierter Antimalware-Dienst etwa kann eine an die Nachricht angehängte Schadsoftware nicht erkennen, wenn diese verschlüsselt ist. Zwar verschickt (noch) kein Cybergangster mit S/MIME gesicherte Spam-Attachments. Aber Geschäftspartner können dies durchaus tun, sei es aus Versehen oder mit Absicht.

Teil 2 dieser Serie fragt, was Cloud-Services mit verschlüsselten Daten anfangen sollen, und geht genauer auf die Technologie ein: SSL/TLS und Perfect Forward Secrecy (PFS).
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links