Die Gefahr der Wolke –  Sicherheitsaspekte rund um die Cloud

 

Die Vorteile der Cloud liegen klar auf der Hand, geringere Kosten, einfachere Einrichtung und Wartung. Allerdings bedarf die Nutzung der Cloud eine andere Herangehensweise an das Thema Sicherheit, als bei eigenen Lösungen. 

Die Sicherheit – in der Cloud Umgebung ist von anderen Faktoren und Umständen abhängig, als bei klassischen, meist internen Lösungen. Der Umzug in die Cloud löst z.T. Probleme ab, während neue Sicherheitsrisiken entstehen. Im Folgenden möchten wir einige sicherheitsrelevante Aspekte betrachten, die bei der Verwendung einer Cloud Infrastruktur bedacht werden sollten. 

Geografische Situation:

Bei der Verarbeitung und Speicherung von Daten bei einem Dienstleister könnten Daten auch in Regionen verarbeitet werden, die anderen Gesetzen und Regulatoren unterliegen als an dem Ort des Nutzers. So könnten dort beispielsweise Strafverfolgungsbehörden Zugang zu Daten erhalten, die in der Ursprungsregion vor solchen Zugriffen geschützt wären. Im allgemeinen kann der Umgang mit den Daten einem völlig anderen Maßstab folgen. Ein Beispiel ist die Schließung des Share-Hosters megaupload.com durch das (US-amerikansiche) FBI.  Die dahinter stehende Firma war in Hong Kong ansässig. Nutzern aus aller Welt wurde der Zugriff auf Inhalte verwehrt, auch jenen, die mit der Schließung nicht in Zusammenhang standen.

Geteilte Ressource

In dem Anwendungsfall der Public Cloud werden Daten und Ressourcen verschiedener Kunden auf der gleichen Hardware verarbeitet und gespeichert. Das bedeutet, konkurrierende Unternehmen nutzen gegebenenfalls die selben Ressourcen. Der Cloud Anbieter muss allen Nutzern je nach Anforderung unterschiedliche Rechte einräumen und gleichzeitig sicherstellen, dass die Daten nur für berechtigte Nutzer sichtbar sind. In der Praxis wird die Trennung durch – virtuelle Maschinen erwirkt. Diese sollen die geteilte Hardware durch Software-technische Verkapselung voneinander trennen. Diese Balance bietet Angriffsfläche für Attacken und birgt Risiken für Fehler und Sicherheitslücken.

Vertrauen gegenüber dem Cloud Provider:

Bei der Verwendung von Cloud service jeglicher Art, wird mit dem Auslagern von Daten und Ressourcen, auch ein großer Teil der Kontrolle über jene abgegeben. Cloud Provider gewähren i.d.R. nur minimalen Einblick in ihre Systeme und Sicherheitsarchitekturen und geben als Grund für dieses Vorgehen Sicherheitsrisiken an. Auch die Sicherung der Daten, vor Verlust und Diebstahl (auf physischer und auf digitaler Ebene) liegt in der Verantwortung des Betreibers. Eine hundertprozentige Sicherheit vor z.B Naturkatastrophen oder dem Zugriff von Dritten gewährt kein Cloud Anbieter. 

Auch die Verfügbarkeit liegt in der Hand des Anbieters und kann je nach Absprachen bzw. beanspruchten Servicemodell variieren. Bei Problemen ist der Kunde vollständig auf den Anbieter angewiesen. Vorfälle in der Vergangenheit bestätigen diese Problematik: AWS war beispielsweise in Folge von Hackerangriffen vorübergehend nicht erreichbar.

Doch auch Mitarbeiter und extern Beauftragte der Cloud-Provider stellen potenziell ein Sicherheitsrisiko für die Kunden da. Sie könnten z.B bei Wartungen – mit Dateien in Berührung kommen und diese gegebenenfalls missbräuchlich verwenden. So ist es für Nutzer/Kunden nahezu unmöglich, den Überblick, wer wann Zugriff auf welche Daten hat, zu behalten.

Die Beispiele geben einen kleinen Überblick über die Herausforderungen, vor denen Cloudbetreiber und Cloud-Nutzer stehen. Die größte Herausforderung für den Nutzer besteht darin, die Chancen und Risiken durch die Nutzung der Cloud abzuschätzen und anschließend ggf. einen großen Teil der Kontrolle an den Cloud Anbieter ihrer Wahl abzutreten. Dieser Abhängigkeit stehen jedoch viele Vorteile gegenüber.

Für die Betreiber ist die zentrale Aufgabe, die Sicherheitsrisiken für sich und die Nutzer so gering wie möglich zu halten und dennoch profitable am Markt agieren zu können.

Wie geht’s weiter ? 

Wie die Cloudbetreiber und Nutzer die Sicherheit auf verschiedenen Ebenen gewährleisten, erfahrt ihr in einem folgenden Blogbeitrag.

 

 

 

Quellen:

Neumann, P. G. (2014). Risks and Myths of Cloud Computing and Cloud Storage. Communications of the ACM, 57(10), 25. 

NANAVATI, M., COLP, P., AIELLO, B., & WARFIELD, A. (2014). Cloud Security: A Gathering Storm. Communications of the ACM, 57(5), 70–79.

Wikipedia contributors. (2019, 23. April). security of cloud computing products and services

Print Friendly, PDF & Email

2 thoughts on “Die Gefahr der Wolke –  Sicherheitsaspekte rund um die Cloud

  1. Nun ich denke da sollte man einfach wenig Vertrauen. Wie heißt es so schön, there is no cloud, only other people’s computers. Und meine EInstellung dazu: ich schicke fremden Leuten nicht meine privaten Daten (außer dem Finanzamt). Aber zum Glück gibt es ja technische Mittel, um das zu vermeinden: Zero Knowledge und Client Side Encryption machens’s möglich. Denn gut verschlüsselte Daten, dürfen auch Fremde gerne haben.
    Was halt noch bedenklicher ist: Die “Cloud”, das ist alles was im Netz steht, und das ist bei vielen glaube ich noch nicht angekommen. Dieser Kommentar (der nun auf einem HWR-Rechner liegt), der Suchverlauf, die Bestell- und Kreditkartendaten beim ominösen Onlinehändler und jedes Kennwort, das ich irgendwo eingegeben habe. Und diese Daten kann ich persönlich (noch) nicht ordentlich verschlüsseln. Ich muss auf Dritte vertrauen z.B. Kennwörter nur als Hash zu speichern. Und dieser Moment, wo ich selbst nicht mehr für meine Sicherheit sorgen kann, ist der mE beängstigendste. Wie beim Autofahren – man kann sich noch so viel Mühe geben. Wenn einem jemand betrunken reinfährt, ist es um die Sicherheit geschehen. Wir sollten aufpassen, dass unser Internet nicht zu einer Autbahn voller betrunkener Fahrer wird oder alternativ Mechanismen zur Hand haben, mit denen wir uns vor diesen Unachtsamkeiten schützen können.
    (Ohne überhaupt darüber nachzudenken, wie wir die Vielen schützen, die sich in dieser neuen Welt noch nicht selbst schützen können.)

  2. Jonathan Czerwinska

    Vielen Dank für diesen gedanklichen Anstoß. Ich glaube das Viele und vermutlich auch ich, täglich zum Teil intimste Daten über das Internet verschicken, häufig auch ohne Kenntnis darüber oder aktive Zustimmung.

    Um in dem Bild zu bleiben: Im Straßenverkehr kontrolliert hin und wieder die Polizei ob die gesetzlichen Alkohol Grenzen auch eingehalten werden, im Internet gibt es diese Instanz nicht. Es bleibt also jedem frei sich mit einem sehr sicheren Auto wappnen und hoffen dass es gut geht oder zuhause zu bleiben.

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.