Cloud Computing im Fokus der europäischen Sicherheitsbehörden und ihrer Partner
Das Bearbeiten von Informationen aller Art, weg vom privaten Rechner oder dem unternehmenseigenen IT-System mit seinen höchst anfälligen und teuren Servern, hin zur Bearbeitung und Lagerung von Informationen aller Art auf Fremdservern, gewinnt zunehmend an Bedeutung, sowohl für die Wirtschaft als auch für private Anwender. Die Möglichkeiten, welche die Cloud bietet, sind schier unerschöpflich. Dort können Daten aller Art hinterlegt, abgelegt, gelagert und verarbeitet werden.
Die an die Cloud angeschlossenen Teilnehmer erhalten Zugriff auf die in der Cloud verfügbaren Informationen. Geeignete Schutzmaßnahmen sollen den Zugriff Unberechtigter auf diese Daten verhindern. Zweifel sind angebracht, ob die getroffenen Sicherheitsmaßnahmen zum Schutz der Daten ausreichend sind.
Aus Kostengründen haben die Nachrichten- und Sicherheitsdienste der USA, allen voran die National Security Agency (NSA) und das US-Verteidigungsministerium mit seiner Defense Intelligence Agency (DIA) bereits mit dem Aufbau eines, alle Aspekte des Nachrichten- und Sicherheitsbereichs abdeckenden, cloud-basierten Intelligence- und Security-Auswertesystems begonnen. Andere Behörden und ihre Partner werden folgen.
Behördliche Überwachung cloud-basierter Netzwerke
Auf Grund entsprechender Rechtsvorschriften in den USA (Patriot Act u.a.) müssen die Betreiber von IT- und Kommunikationseinrichtungen in den USA staatlichen Stellen Zugriff auf die in der Cloud befindlichen Informationen gewähren. Die US-Sicherheitsbehörden erhalten Zugriff auf die Verschlüsselungsalgorithmen der in den USA angewandten Verschlüsselungsverfahren.
In Europa fehlte bislang eine derartige Regelung. In den Mitgliedsstaaten erlauben nationale Regelungen bereits teilweise den Zugriff auf cloud-basierte IT-Einrichtungen, die sich auf dem jeweiligen nationalen Territorium befinden. Im Rahmen der Vereinheitlichung und Angleichung der Kommunikationsüberwachung in der EU (Lawful Interception) soll nun auch dieser Bereich staatlicher Überwachung und Kontrolle geöffnet werden.
Vorschlag der ETSI: Lawful Interception (LI) Cloud/Virtual Services (CLI)
Der Vorschlag der ETSI (European Telecommunications Standards Institute) enthält folgende Einzelschritte zur Überwachung der Cloud:
- Telefongespräche und Telefonkonferenzen;
- E-Mail Verkehr und andere netzgebundene Kommunikationsformen;
- Zugriff auf das Internet durch einzelne IP-Inhaber, wobei künftige in Entwicklung befindliche zusätzliche Kommunikationsformen und Möglichkeiten nachträglich einbezogen werden sollen;
- Überwachung „Sozialer Netzwerke“;
- Teleconference;
- Filesharing;
- Virtual Activities, dabei ist sicherlich auch an die Überwachung des IP-basierten Fernsehens und des Internet-Radios gedacht.
Die Betreiber von Cloud-Einrichtungen werden verpflichtet, Ausleitungsmöglichkeiten des cloud-basierten Kommunikationsverkehrs (SINA-Box u.a.) an die Sicherheitsbehörden bereitzustellen und zu betreiben. Für die entsprechende Absicherung der ausgeleiteten Informationen ist zu sorgen (entsprechende Vorschriften der ETSI sind in der deutschen TKÜV bereits umgesetzt).
Die Cloud-Betreiber werden verpflichtet, auf Anforderung der zuständigen Behörden entsprechende Ausleitungsmaßnahmen ohne Zeitverzug durchzuführen. Auch sind durch den Betreiber der Cloud-IT-Systeme Möglichkeiten des „Dynamic Triggering“ zu schaffen.
Technische Ausgangsbasis für Cloud-Lawful Interception
Als Ausgangsbasis für das noch zu entwickelnde „Cloud-LI-System“ der ETSI liegen bereits entsprechende technische Spezifikationen (ETSI 101 671- Lawful Interception (LI); Handover interface for lawful interception of telecommunications traffic, wie auch ETSI 101 232-2: Service-specific details for Messaging services, ETSI TS 101 232-3; Service-specific details for internet access service sowie in ETSI TS 101 232-4: Layer 2 Services, ETSI TS 101 232-5, Multimedia Services) vor.
Bereits berücksichtigt ist die künftige Kommunikationsform Voice over LTE, einem neuen Standard im Mobilfunkbereich. Auch Peer to Peer-Services (P2P) werden im Vorschlag der ETSI angemessen berücksichtigt. Dabei kann auch davon ausgegangen werden, dass die satelittengestützte, cloudbasierte Kommunikation in die Überwachung mit einbezogen wird. Dies gilt auch für Anwendungen wie WiFi, DSL und mobile Zugänge zum Internet.
Nach den Vorstellungen der ETSI sollen die Clouds ständig überwacht werden. Hier ergeben sich sehr interessante Ansatzpunkte für das in Entwicklung begriffene, umfassende INDECT-Überwachungssystem der EU. Die Vereinigten Staaten verfügen bereits seit längerer Zeit über das System „TRAPWIRE“. Ein ähnliches System ist auch in Großbritannien im Einsatz.
Administrative Voraussetzungen für den Betrieb von Clouds
Die ENISA (European Network and Information Security Agency) widmet sich in ihrem Papier „Procure Secure – A guide to monitoring of security service levels in cloud contracts“ vorwiegend den betrieblichen und rechtlichen Aspekten der Datenverarbeitung in der Cloud und werden hier nicht weiter betrachtet.
Praxishinweise
|
Quellen: ETSI DTR 101 567 V0.0.5 (2012-04) (Draft) Lawful Interception (LI); Cloud/Virtual Services, April 2012; Procure Secure – A guide to monitoring of security service levels in cloud contracts, ENISA, 2012.
