Zugangsdaten

Durch die zentrale Verwaltung der Leistungen bei Cloud-Anbietern können Angreifer durch den Diebstahl von Zugangsdaten oft auf mehrere Systeme gleichzeitig zugreifen. Neben den üblichen Methoden um Zugangsdaten zu schützen, müssen für diese kritischen Bereiche noch weitere Maßnahmen ergriffen werden. Eine automatische Benachrichtigung des Administrators bei einer Aktivität (Login, Änderung, …) oder eine Zwei-Wege-Authentifizierung können hier die Sicherheit deutlich erhöhen.

Zugriffsrechte

Mitarbeiter mit kriminellen Absichten stellen für jedes Unternehmen eine potentielle Gefahr dar. Bei Cloud-Computing kommen jedoch noch die Mitarbeiter des Anbieters zusätzlich hinzu, die nicht den unternehmenseigenen Richtlinien unterliegen. Um hier die Gefahr zu verringern, sollten mehrere Ebenen von Zugriffsrechten eingerichtet werden, damit jede Person nur auf die wirklich notwendigen Bereiche zugreifen kann. Des Weiteren sollten alle Zugriffe protokolliert werden – das Protokoll sollte somit auch die Mitarbeiter der Cloud-Anbieter beinhalten. Hier ist es ebenfalls empfehlenswert eine Benachrichtigungsfunktion einzurichten.

Schnittstellen

Der Zugriff auf viele Cloud-Dienste erfolgt über offen protokollierte Schnittstellen. Um hier die Sicherheit zu erhöhen sollten alle Zugriffe verschlüsselt erfolgen und mit entsprechend starken Authentifizierungs-Methoden abgesichert werden. Des Weiteren sollten zudem alle Zugriffe protokolliert werden um potentielle Angriffe zu erkennen.

Geteilte Ressourcen

Durch die flexible Skalierbarkeit werden die Daten in viele Cloud-Rechenzentren auf mehreren Systemen verteilt und mit andern Kunden gemeinsam genutzt Immer wieder gibt es Meldungen, dass es Angreifern gelungen ist aus virtuellen Maschinen auszubrechen und somit die Möglichkeit besteht andere virtuelle Instanzen auf demselben Host anzugreifen. Daher müssen Anbieter Techniken einsetzen, um die einzelnen Kundenbereiche klar voneinander abzugrenzen und dafür Sorge tragen, dass kein Ausbruch aus einer virtuellen Maschine möglich ist.

Verschlüsselung

Oftmals werden von den Cloud-Anbietern keine konkreten Informationen veröffentlicht welche Verschlüsselungs-Algorithmen sie einsetzen. Außerdem gibt es einige Anbieter, bei denen die Übertragung (noch) komplett unverschlüsselt stattfindet. Auch allgemeine Verschlüsselungen bei denen ein Anbieter alle Daten von allen Kunden mit demselben Passwort verschlüsselt, sollten als unsicher angesehen werden. Alle Übertragungen und Verbindungen müssen verschlüsselt erfolgen, sobald unternehmenskritische oder Datenschutz relevante Daten in der Cloud gespeichert werden, sollten diese mit einem individuellen Passwort ergänzt werden, welches dem Cloud-Anbieter nicht bekannt ist.

Datenlokalität

Der Vorteil der Cloud ist, dass die Ressourcen beliebig skaliert werden können und von überall aus abgerufen werden können. Aber nicht alle Anbieter legen offen in welchem Land die Daten gespeichert werden. So kann es zu datenschutzrechtlichen Problemen kommen, wenn beispielsweise personenbezogene Daten außerhalb der EU gespeichert werden. Diese sollten mit dem Cloud-Anbieter vertraglich geregelt werden in welchem Land die Daten gespeichert werden.

Sicherheitsvorfälle

Da bei Cloud-Umgebungen die Angriffe auch über die Cloud-Infrastruktur selbst erfolgen können, muss der Anbieter gegen diese Art von Angriffen eine Strategie ausgearbeitet haben. Dazu gehört unter anderem, dass im Zweifelsfall erfolgreiche Angriffe den entsprechenden Kunden gemeldet werden und diese damit entsprechende Maßnahmen, wie zum Beispiel die Änderung aller Passwörter, ergreifen können. Da Kunden in Cloud-Umgebungen jedoch nicht auf alle Ebenen eines Systems zugreifen können, haben die Cloud-Anbieter die Aufgabe relevante Daten für eine Ermittlung zu erheben und zu sichern. Zur Erfüllung dieser Aufgabe muss der Anbieter vertraglich verpflichtet werden entsprechende Beweise zu sichern.

Kündigung

Nachdem ein Vertrag mit einem Cloud-Anbieter gekündigt wurde, müssen alle Daten vollständig gelöscht werden. Da sich auch hier wieder mehrere Kunden die Infrastruktur teilen und Ressourcen wieder schnell freigegeben werden können, muss das Löschen sicher erfolgen. Es muss darauf geachtet werden, dass vertraglich vereinbart wird, wann und wie die verbleibenden Daten von einem Cloud-Anbieter gelöscht werden. Wichtig dabei ist, dass diese Regelungen sich auch auf alle Duplikationen und Backups beziehen müssen.

Missbrauch

Cloud-Infrastrukturen können allerdings auch für Angriffe genutzt bzw. missbraucht werden. So hat der deutsche Hacker Thomas Roth mit Hilfe geclusterten GPU-Instanzen SHA1 verschlüsselte Passwörter der NSA dechiffriert. Dabei erwies sich die Miete für den Cloud-Dienst günstiger als die Kosten für die Nutzung eines illegalen Botnetzes. Der Missbrauch einer Cloud-Infrastruktur wird dadurch begünstigt, dass es bei einigen Cloud-Anbieter möglich ist sich anonym, d.h. nur durch die Angabe einer Kreditkarte zu registrieren.Es wäre wünschenswert, dass alle Cloud-Anbieter die Identität einer Person besser überprüfen um illegale Aktivitäten zu unterbinden.

Im nächsten Teil “Der Konflikt mit dem Datenschutz” wird auf die Problematik mit dem Datenschutz näher eingegangen um warum die Transparenz eine wichtige Rolle spielt.

Dieser Blogbeitrag ist Teil der Artikelserie “Sicherheit in der Wolke”.
Hier geht es zu den anderen Teilen:

Teil 1: Was ist Cloud-Computing?
Teil 2: Der Weg zur Cloud
Teil 3: Arten und Ebenen von Clouds
Teil 4: Vor- und Nachteile der Cloud
Teil 5: Sicherheit und Cloud-Computing
Teil 6: Gefahren beim Cloud-Computing
Teil 7: Der Konflikt mit dem Datenschutz
Teil 8: Zusammenfassung