Sicherheit

„Cloud Computing“ und seine Bedeutung

Cloud Computing im Fokus der europäischen Sicherheitsbehörden und ihrer Partner

Das Bearbeiten von Informationen aller Art, weg vom privaten Rechner oder dem unternehmenseigenen IT-System mit seinen höchst anfälligen und teuren Servern, hin zur Bearbeitung und Lagerung von Informationen aller Art auf Fremdservern, gewinnt zunehmend an Bedeutung, sowohl für die Wirtschaft als auch für private Anwender. Die Möglichkeiten, welche die Cloud bietet, sind schier unerschöpflich. Dort können Daten aller Art hinterlegt, abgelegt, gelagert und verarbeitet werden.
Die an die Cloud angeschlossenen Teilnehmer erhalten Zugriff auf die in der Cloud verfügbaren Informationen. Geeignete Schutzmaßnahmen sollen den Zugriff Unberechtigter auf diese Daten verhindern. Zweifel sind angebracht, ob die getroffenen Sicherheitsmaßnahmen zum Schutz der Daten ausreichend sind.
Aus Kostengründen haben die Nachrichten- und Sicherheitsdienste der USA, allen voran die National Security Agency (NSA) und das US-Verteidigungsministerium mit seiner Defense Intelligence Agency (DIA) bereits mit dem Aufbau eines, alle Aspekte des Nachrichten- und Sicherheitsbereichs abdeckenden, cloud-basierten Intelligence- und Security-Auswertesystems begonnen. Andere Behörden und ihre Partner werden folgen.

Behördliche Überwachung cloud-basierter Netzwerke

Auf Grund entsprechender Rechtsvorschriften in den USA (Patriot Act u.a.) müssen die Betreiber von IT- und Kommunikationseinrichtungen in den USA staatlichen Stellen Zugriff auf die in der Cloud befindlichen Informationen gewähren. Die US-Sicherheitsbehörden erhalten Zugriff auf die Verschlüsselungsalgorithmen der in den USA angewandten Verschlüsselungsverfahren.
In Europa fehlte bislang eine derartige Regelung. In den Mitgliedsstaaten erlauben nationale Regelungen bereits teilweise den Zugriff auf cloud-basierte IT-Einrichtungen, die sich auf dem jeweiligen nationalen Territorium befinden. Im Rahmen der Vereinheitlichung und Angleichung der Kommunikationsüberwachung in der EU (Lawful Interception) soll nun auch dieser Bereich staatlicher Überwachung und Kontrolle geöffnet werden.

Vorschlag der ETSI: Lawful Interception (LI) Cloud/Virtual Services (CLI)

Der Vorschlag der ETSI (European Telecommunications Standards Institute) enthält folgende Einzelschritte zur Überwachung der Cloud:

  • Telefongespräche und Telefonkonferenzen;
  • E-Mail Verkehr und andere netzgebundene Kommunikationsformen;
  • Zugriff auf das Internet durch einzelne IP-Inhaber, wobei künftige in Entwicklung befindliche zusätzliche Kommunikationsformen und Möglichkeiten nachträglich einbezogen werden sollen;
  • Überwachung „Sozialer Netzwerke“;
  • Teleconference;
  • Filesharing;
  • Virtual Activities, dabei ist sicherlich auch an die Überwachung des IP-basierten Fernsehens und des Internet-Radios gedacht.

Die Betreiber von Cloud-Einrichtungen werden verpflichtet, Ausleitungsmöglichkeiten des cloud-basierten Kommunikationsverkehrs (SINA-Box u.a.) an die Sicherheitsbehörden bereitzustellen und zu betreiben. Für die entsprechende Absicherung der ausgeleiteten Informationen ist zu sorgen (entsprechende Vorschriften der ETSI sind in der deutschen TKÜV bereits umgesetzt).
Die Cloud-Betreiber werden verpflichtet, auf Anforderung der zuständigen Behörden entsprechende Ausleitungsmaßnahmen ohne Zeitverzug durchzuführen. Auch sind durch den Betreiber der Cloud-IT-Systeme Möglichkeiten des „Dynamic Triggering“ zu schaffen.

Technische Ausgangsbasis für Cloud-Lawful Interception

Als Ausgangsbasis für das noch zu entwickelnde „Cloud-LI-System“ der ETSI liegen bereits entsprechende technische Spezifikationen (ETSI 101 671- Lawful Interception (LI); Handover interface for lawful interception of telecommunications traffic, wie auch ETSI 101 232-2: Service-specific details for Messaging services, ETSI TS 101 232-3; Service-specific details for internet access service sowie in ETSI TS 101 232-4: Layer 2 Services, ETSI TS 101 232-5, Multimedia Services) vor.
Bereits berücksichtigt ist die künftige Kommunikationsform Voice over LTE, einem neuen Standard im Mobilfunkbereich. Auch Peer to Peer-Services (P2P) werden im Vorschlag der ETSI angemessen berücksichtigt. Dabei kann auch davon ausgegangen werden, dass die satelittengestützte, cloudbasierte Kommunikation in die Überwachung mit einbezogen wird. Dies gilt auch für Anwendungen wie WiFi, DSL und mobile Zugänge zum Internet.
Nach den Vorstellungen der ETSI sollen die Clouds ständig überwacht werden. Hier ergeben sich sehr interessante Ansatzpunkte für das in Entwicklung begriffene, umfassende INDECT-Überwachungssystem der EU. Die Vereinigten Staaten verfügen bereits seit längerer Zeit über das System „TRAPWIRE“. Ein ähnliches System ist auch in Großbritannien im Einsatz.

Administrative Voraussetzungen für den Betrieb von Clouds

Die ENISA (European Network and Information Security Agency) widmet sich in ihrem Papier „Procure Secure – A guide to monitoring of security service levels in cloud contracts“ vorwiegend den betrieblichen und rechtlichen Aspekten der Datenverarbeitung in der Cloud und werden hier nicht weiter betrachtet.
 

Praxishinweise
  • Die Risiken der Nutzung von Clouds dürften jedem Anwender klar sein, insbesondere dann, wenn die Datenbestände außer Landes verfügbar gehalten werden.
  • Bei der von der EU initiierten Überwachung des „Cloud Computing“ und dem Zugriff der nationalen Nachrichten- und Sicherheitsdienste mit ihren vielfältigen, nicht kontrollierbaren Partnerbeziehungen und dem zu erwartenden Datenaustausch der Dienste mit „befreundeten“ Diensten, kann insbesondere bei Unternehmen, die ihre Daten in der Cloud bearbeiten, Abfluss auch sensitiver Daten erwartet werden.
  • Der umfassende Datenaustausch innerhalb der Sicherheitsdienste der EU lässt hier nicht zuletzt auch erwarten, dass höchst sensitive Daten unkontrolliert abfließen und deren Integrität durch die Dienste nicht mehr garantiert werden. Die Folgen für Betroffene, besonders bei Auslandsaufenthalten sind nur schwer abzuschätzen.

 


Quellen: ETSI DTR 101 567 V0.0.5 (2012-04) (Draft) Lawful Interception (LI); Cloud/Virtual Services, April 2012; Procure Secure – A guide to monitoring of security service levels in cloud contracts, ENISA, 2012.