Vogelfreie Daten

Glaubt man Umfragen unter IT-Entscheidern, sind mindestens zwei Drittel von ihnen gerade in Sicherheitsfragen noch unsicher [2]. Ihnen ist unwohl, dass sie nicht genau wissen, was mit ihren Daten eigentlich passiert. Zwar rühmen sich fast alle Anbieter von Cloud-Lösungen, umfassende Maßnahmen zur Verschlüsselung von Daten und Übertragungen anzubieten. Details sind aber schwerer zu erhalten: Eine Festplattenverschlüsselung nützt wenig, wenn die Schlüssel schlecht gesichert sind, eine SSL-Absicherung ist nutzlos, wenn sich Zertifikate fälschen lassen oder Anwendungen sie nicht nutzen. Die Beteuerung von Sicherheit nützt wenig, ein Nachweis tut not.

Für Public wie Private Clouds stellt sich jeweils die Frage, wer wie nah an welche Daten herankommt. Wenn die Kundenliste bei einem gehosteten System in einem Verzeichnis liegt und der Nachbar auf demselben Rechner nur ein Directory entfernt seine Daten verwaltet, reicht mitunter schon ein User-Exploit, um Verzeichnisberechtigungen zu umgehen. Das Beispiel lässt sich auch auf andere Bereiche der Cloud ausdehnen: Nutzen Anbieter Virtualisierungen, droht der theoretisch und durchaus auch praktisch von Sicherheitsteams nachgewiesene Ausbruch aus dem Container. Wer erst einmal Zugriff auf einen Hypervisor erlangt, darf alle Daten einsehen.

Selbst wenn zwei Wettbewerber ihre Dienste auf unterschiedliche Bare Metals beim selben Hoster auslagern, lässt sich vielleicht der Datenverkehr zum Wettbewerber abhören oder zumindest einer Verkehrsanalyse unterziehen. Solange Unternehmen ihre Mailserver im Haus haben, müssen perfide Konkurrenten einen gemeinsamen Provider in ihre Machenschaften einweihen. In der Cloud reicht ein angemieteter Server mit Root-Rechten im selben Segment.

E-Mail verschlüsseln nach wie vor die wenigsten - selbst wenn Vorsichtige ihre Inhalte schützen, geben in diesem Szenario Kommunikationsmatrizen interessante Einblicke, wer mit welchen Partnern wie oft Nachrichten austauscht.

Neue Netzstrukturen

Egal auf welcher Ebene ein Cloud-Dienst operiert, Sicherheitsverantwortliche sind gut beraten, möglichst viel über die tatsächliche Umgebung zu erfahren. Mag sein, dass eigentlich vorgesehen ist, nur einige Webservices zum Customer-Relations-Management zu nutzen. Vielleicht lassen sich ja auch eigene Softwaremodule hochladen und ausführen? Aber vielleicht sind ja auch Netzwerk-Schnittstellen verfügbar, sodass sich ein eigener Sniffer schreiben lässt? Die Sniffer-Bibliothek Libpcap gibt es beispielsweise auch für Java [3] oder Python [4].

Nicht immer ist transparent, wie Virtualisierungen den Netzverkehr zwischen einzelnen Segmenten trennen. Simulieren die Treiber eigene Ethernet-Segmente oder adressieren sie die Pakete nur so, dass sie dort ankommen, wo sie hingehören? Das wäre nämlich schlecht, da sich so Angreifern das ganze Arsenal von ARP-Angriffen öffnen würde [5]. Insofern ist aus Sicht der Sicherheit weniger wichtig, welche Services ein Cloud-Dienst geschäftsmäßig anbietet, sondern vielmehr, welcher Art die technischen Möglichkeiten sind, die sich dessen Kunden bieten, etwa die eines Promiscous Mode oder anderer Netzstatistiken.