{

Tobias Scheible
Referent, Autor & Softwareingenieur
Risk-Management in der Cloud

Datum: Mittwoch, 29. Mai 2013

Autor: Tobias Scheible

Kommentar(e): 9 Kommentare

Kategorie: Vermischtes

Tags: Artikelserie, Datenlokalität, Gefahren, Kündigung, Missbrauch, Risk-Management, Schnittstellen, Sicherheitsvorfälle, Verschlüsselung, Zugangsdaten, Zugriffsrechte

Teil 6: Gefahren beim Cloud-Computing

Im sechsten Teil der Artikelserie “Sicherheit in der Wolke” geht es um die Gefahrenquellen im Cloud-Computing-Umfeld. Die Faktoren sind nicht neu, aber die Art der Anwendung hat sich geändert und damit auch die Priorisierung.

Zugangsdaten

Durch die zentrale Verwaltung der Leistungen bei Cloud-Anbietern können Angreifer durch den Diebstahl von Zugangsdaten oft auf mehrere Systeme gleichzeitig zugreifen. Neben den üblichen Methoden um Zugangsdaten zu schützen, müssen für diese kritischen Bereiche noch weitere Maßnahmen ergriffen werden. Eine automatische Benachrichtigung des Administrators bei einer Aktivität (Login, Änderung, …) oder eine Zwei-Wege-Authentifizierung können hier die Sicherheit deutlich erhöhen.

Zugriffsrechte

Mitarbeiter mit kriminellen Absichten stellen für jedes Unternehmen eine potentielle Gefahr dar. Bei Cloud-Computing kommen jedoch noch die Mitarbeiter des Anbieters zusätzlich hinzu, die nicht den unternehmenseigenen Richtlinien unterliegen. Um hier die Gefahr zu verringern, sollten mehrere Ebenen von Zugriffsrechten eingerichtet werden, damit jede Person nur auf die wirklich notwendigen Bereiche zugreifen kann. Des Weiteren sollten alle Zugriffe protokolliert werden – das Protokoll sollte somit auch die Mitarbeiter der Cloud-Anbieter beinhalten. Hier ist es ebenfalls empfehlenswert eine Benachrichtigungsfunktion einzurichten.

Schnittstellen

Der Zugriff auf viele Cloud-Dienste erfolgt über offen protokollierte Schnittstellen. Um hier die Sicherheit zu erhöhen sollten alle Zugriffe verschlüsselt erfolgen und mit entsprechend starken Authentifizierungs-Methoden abgesichert werden. Des Weiteren sollten zudem alle Zugriffe protokolliert werden um potentielle Angriffe zu erkennen.

Geteilte Ressourcen

Durch die flexible Skalierbarkeit werden die Daten in viele Cloud-Rechenzentren auf mehreren Systemen verteilt und mit andern Kunden gemeinsam genutzt Immer wieder gibt es Meldungen, dass es Angreifern gelungen ist aus virtuellen Maschinen auszubrechen und somit die Möglichkeit besteht andere virtuelle Instanzen auf demselben Host anzugreifen. Daher müssen Anbieter Techniken einsetzen, um die einzelnen Kundenbereiche klar voneinander abzugrenzen und dafür Sorge tragen, dass kein Ausbruch aus einer virtuellen Maschine möglich ist.

Verschlüsselung

Oftmals werden von den Cloud-Anbietern keine konkreten Informationen veröffentlicht welche Verschlüsselungs-Algorithmen sie einsetzen. Außerdem gibt es einige Anbieter, bei denen die Übertragung (noch) komplett unverschlüsselt stattfindet. Auch allgemeine Verschlüsselungen bei denen ein Anbieter alle Daten von allen Kunden mit demselben Passwort verschlüsselt, sollten als unsicher angesehen werden. Alle Übertragungen und Verbindungen müssen verschlüsselt erfolgen, sobald unternehmenskritische oder Datenschutz relevante Daten in der Cloud gespeichert werden, sollten diese mit einem individuellen Passwort ergänzt werden, welches dem Cloud-Anbieter nicht bekannt ist.

Datenlokalität

Der Vorteil der Cloud ist, dass die Ressourcen beliebig skaliert werden können und von überall aus abgerufen werden können. Aber nicht alle Anbieter legen offen in welchem Land die Daten gespeichert werden. So kann es zu datenschutzrechtlichen Problemen kommen, wenn beispielsweise personenbezogene Daten außerhalb der EU gespeichert werden. Diese sollten mit dem Cloud-Anbieter vertraglich geregelt werden in welchem Land die Daten gespeichert werden.

Sicherheitsvorfälle

Da bei Cloud-Umgebungen die Angriffe auch über die Cloud-Infrastruktur selbst erfolgen können, muss der Anbieter gegen diese Art von Angriffen eine Strategie ausgearbeitet haben. Dazu gehört unter anderem, dass im Zweifelsfall erfolgreiche Angriffe den entsprechenden Kunden gemeldet werden und diese damit entsprechende Maßnahmen, wie zum Beispiel die Änderung aller Passwörter, ergreifen können. Da Kunden in Cloud-Umgebungen jedoch nicht auf alle Ebenen eines Systems zugreifen können, haben die Cloud-Anbieter die Aufgabe relevante Daten für eine Ermittlung zu erheben und zu sichern. Zur Erfüllung dieser Aufgabe muss der Anbieter vertraglich verpflichtet werden entsprechende Beweise zu sichern.

Kündigung

Nachdem ein Vertrag mit einem Cloud-Anbieter gekündigt wurde, müssen alle Daten vollständig gelöscht werden. Da sich auch hier wieder mehrere Kunden die Infrastruktur teilen und Ressourcen wieder schnell freigegeben werden können, muss das Löschen sicher erfolgen. Es muss darauf geachtet werden, dass vertraglich vereinbart wird, wann und wie die verbleibenden Daten von einem Cloud-Anbieter gelöscht werden. Wichtig dabei ist, dass diese Regelungen sich auch auf alle Duplikationen und Backups beziehen müssen.

Missbrauch

Cloud-Infrastrukturen können allerdings auch für Angriffe genutzt bzw. missbraucht werden. So hat der deutsche Hacker Thomas Roth mit Hilfe geclusterten GPU-Instanzen SHA1 verschlüsselte Passwörter der NSA dechiffriert. Dabei erwies sich die Miete für den Cloud-Dienst günstiger als die Kosten für die Nutzung eines illegalen Botnetzes. Der Missbrauch einer Cloud-Infrastruktur wird dadurch begünstigt, dass es bei einigen Cloud-Anbieter möglich ist sich anonym, d.h. nur durch die Angabe einer Kreditkarte zu registrieren.Es wäre wünschenswert, dass alle Cloud-Anbieter die Identität einer Person besser überprüfen um illegale Aktivitäten zu unterbinden.


Im nächsten Teil “Der Konflikt mit dem Datenschutz” wird auf die Problematik mit dem Datenschutz näher eingegangen um warum die Transparenz eine wichtige Rolle spielt.


Dieser Blogbeitrag ist Teil der Artikelserie “Sicherheit in der Wolke”.
Hier geht es zu den anderen Teilen:

Teil 1: Was ist Cloud-Computing?
Teil 2: Der Weg zur Cloud
Teil 3: Arten und Ebenen von Clouds
Teil 4: Vor- und Nachteile der Cloud
Teil 5: Sicherheit und Cloud-Computing
Teil 6: Gefahren beim Cloud-Computing
Teil 7: Der Konflikt mit dem Datenschutz
Teil 8: Zusammenfassung

  • Artikel teilen:

Über Tobias Scheible

Tobias Scheible

Tobias Scheible arbeitet als wissenschaftlicher Mitarbeiter an der Hochschule Albstadt-Sigmaringen am Institut für wissenschaftliche Weiterbildung. Dort arbeitet er am Projekt „Open C3S - Open Competence Center for Cyber Security“ und entwickelt unter anderem das Studienmodul „Cloud Computing“ für den berufsbegleitenden Master-Studiengang IT-Governance, Risk and Compliance Management. Außerdem ist er begeisterter Web-Entwickler und realisiert bereits seit über 15 Jahre Web-Projekte.

Alle Blog-Artikel Website Facebook Twitter Xing

Kommentare

Mainboarder

Letztendlich ist es wichtig, den Gedanken hinter der Cloud und die Funktionsweise zu verstehen.
Nur dann kann man auf Gefahren schließen und Wege finden, wie diese zu minimieren sind.

Wenn man überlegt wie viele der Clouddienste-Nutzer wohl etwas tiefer mit Servern und Netzwerken vertraut sind, wird man merken, dass es einem die Dienste extrem einfach und komfortabel machen.

Mit einem entsprechenden Preis.

Aber schon alleine das Konzept von DE-Mail zeigt, dass die Cloud auch Politiker lieben, obwohl sie besser die Finger davon lassen sollten.

Claas

Cloud ist immer so eine Sache…sensible Daten aus der Firma würde ich dort nicht lagern wollen. Das mache ich lokal. Für „Familienkram“ wie Fotos und Videos ist die Cloud jedoch ok, so lange die Daten auch zu Hause vorhanden sind 🙂

Gruß
Claas

Tommy

Ich selber nutze Dropbox und bin begeistert, dass ich mir überhaupt keine Sorgen mehr um Datenverlust machen muss.

Dass meine Daten für findige Internetuser unter Umständen zugänglich sind, stört mich ehrlich gesagt nicht. Ich bin überzeugt, dass die meinen Computer viel einfacher hacken. Ausserdem halte ich es wie Claas: Familienkram ist ok – Bankdaten würd ich nicht hochladen.

LG Tommy

Benny

Ich sehe in der Cloud immernoch dieses Problem vonwegen: „was ist, wenn wirklich was passiert?!“ Ich meine, ich hab da einigermaßen sensible Daten, oder generell Daten – unabhängig davon ob sensibel oder nicht – und dann komm ich online und sehe: „HGW, Sie wurden erfolgreich gehackt und irgendjemand hat alle ihre Daten geklaut“ Gerade bei Bildern o.ä. ist dies Schade. Klar, man kann die Bilder selbst sichern, indem man sie in ein RAR-Archiv packt und mit PW versieht. aber dennnoch möchte ich meine Sachen nicht bei jemand anderem auf dem PC wissen… Auch nicht bei einem Cloud-Dienstleister. Letztendlich wird das zwar noch irgendwann auf mich zukommen, durch die schnelle Technikentwicklung, aber das alles muss – für mich – erst sicherererer (PayPal sei dank für den Slogan) werden.
LG
Benny

Michael W.

Ich sehe das mit den Cloud-Diensten immer noch sehr skeptisch. Immer wieder werden Webdienste, die man eigentlich für „sicher“ hielt, geknackt. Siehe Evernote, und ich denke es gibt etliche Leute, die dort auch sensible Daten speichern. Oder Ttwitter…

Ich nutze zwar selbst einen Cloud Service, jedoch nur als Backup bzw um Dokumente zu teilen. Es wird nichts an Daten komplett ausgelagert, alles muss redundant sein.

Teil 8 der Artikelserie: HAKIN9 Artikel Zusammenfassung › Cloud Computing Blog

[Als Spam markiert von Antispam Bee | Spamgrund: Lokale Spamdatenbank]
[…] und Ebenen von Clouds Teil 4: Vor- und Nachteile der Cloud Teil 5: Sicherheit und Cloud-Computing Teil 6: Gefahren beim Cloud-Computing Teil 7: Der Konflikt mit dem Datenschutz Teil 8: […]

Cloud-Artikelserie Teil 2: Der Weg zur Cloud › Cloud Computing Blog

[Als Spam markiert von Antispam Bee | Spamgrund: Lokale Spamdatenbank]
[…] und Ebenen von Clouds Teil 4: Vor- und Nachteile der Cloud Teil 5: Sicherheit und Cloud-Computing Teil 6: Gefahren beim Cloud-Computing Teil 7: Der Konflikt mit dem Datenschutz Teil 8: […]

Mario

Einzige Alternative ein eigenes NAS System??
Was wenns brennt?? Haben in der HZD nen neuen Serverraum bekommen 7 m unter der Erde. Aber wer kann sich das privat leisten?
Das Leben ist Risiko! Datensicherung auch?
Nichts ist 100%ig

Tobias Scheible

Hallo Mario,

vielen NAS-Systeme bieten eine Möglichkeit zu Replikation an. Ich setzt dann immer auf ein zweites NAS, in gleicher Größe und meist ohne RAID, typischerweise beim Geschäftsführer zu Hause. Dann erfolgt jede Nacht automatisch eine Synchronisation. Das Hilft schon einmal gegen den total Verlust.

Grüße
Tobias

Schreibe einen Kommentar!

Hilfe zum Kommentieren

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen oder eine Gefährdung anderer Besucher darstellen, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und sie haben die Möglichkeit, ein Avatar-Bild zu verwenden. Dazu müssen Sie mit Ihrer E-Mail Adresse bei Gravatar angemeldet sein. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

nach oben