Datensicherheit in der Cloud

Matthias Aumüller, Mario Hoffmann und Gerd Brost

Dynamische Skalierbarkeit, höhere Flexibilität und die Aussicht auf Kostensenkung haben in den vergangenen Jahren zu einer deutlichen Zunahme an cloudbasierten Lösungen geführt.
Insbesondere unternehmensinterne Prozesse, wie Human Resource Management (HRM), Data Management, Customer Relationship Management (CRM) und Enterprise Resource Planning (ERP), konnten von diesen Vorteilen profitieren. Als Folge davon liegen die Hauptherausforderungen nach wie vor beim Zugriffsschutz, der Transparenz und Datensicherheit. Dies erfordert spezifische Sicherheitsmaßnahmen sowohl in der Infrastruktur als auch auf Plattform- und Service-ebene, die im BMBF-geförderten Forschungsprojekt Sealed Cloud untersucht werden.

Dynamische Skalierbarkeit, höhere Flexibilität und die Aussicht auf Kostensenkung haben in den vergangenen Jahren zu einer deutlichen Zunahme an cloudbasierten Lösungen geführt.
Insbesondere unternehmensinterne Prozesse, wie Human Resource Management (HRM), Data Management, Customer Relationship Management (CRM) und Enterprise Resource Planning (ERP), konnten von diesen Vorteilen profitieren. Als Folge davon liegen die Hauptherausforderungen nach wie vor beim Zugriffsschutz, der Transparenz und Datensicherheit. Dies erfordert spezifische Sicherheitsmaßnahmen sowohl in der Infrastruktur als auch auf Plattform- und Service-ebene, die im BMBF-geförderten Forschungsprojekt Sealed Cloud untersucht werden.

Die Anzahl an webbasierten Lösungen zur Unterstützung von Unternehmensprozessen hat stark zugenommen. Externe Geschäftspartner, Lieferanten und Kunden werden hierüber direkt in die jeweiligen Geschäftsprozesse mit einbezogen. Die fortschreitende Digitalisierung und Vernetzung führt dabei zu einem wachsenden Bestand an vertraulichen, schützenswerten Daten und Geschäftsprozessinformationen. Diese liegen über mehrere Quellen verteilt, in unterschiedlichen Formaten, häufig redundant, bei Geschäftspartnern, Behörden, auf fremden oder eigenen IT-Systemen.
Für die Unternehmen bedeutet dies nicht nur eine Zunahme an Komplexität beim Datenmanagement, sondern auch einen immer stärkeren Verlust an Kontrolle darüber, was mit sicherheitsrelevanten Informationen passiert, z.B. wer in welchem Umfang darauf zugreift oder an wen extern gespeicherte Informationen ohne das Wissen des Unternehmens noch weitergegeben werden. Aus diesem Grund werden cloudbasierte Lösungen derzeit noch kritisch bewertet [1].
Befürchtungen, dass Administratoren des Cloud-Betreibers oder „interne Angreifer“ auf Daten zugreifen können, senken so die Akzeptanz von Cloud-Lösungen und halten potenzielle Anwender von der Nutzung externer Cloud-Dienste ab. Unklarheiten über die Vertrauenswürdigkeit der fremden Infrastrukturen, fehlende Kontrolle und Unsicherheiten darüber, wie es um die Geheimhaltung vertraulicher Daten steht, behindern die Portierung unternehmenskritischer Dienste und Applikationen auf Cloud Computing-Basis [2].

Sealed Cloud unterstützt vertrauenswürdiges Hosting
Das Forschungsprojekt „Sealed Cloud“ [3] realisiert eine „versiegelte“ Infrastruktur für cloudbasierte Anwendungen, die das Risiko eines bewussten oder unbewussten Datenmissbrauchs seitens des Betreibers mit technischen Mitteln verringert. Als Schutz gegen interne Angreifer verhindert die Sealed Cloud den Zugriff des Personals des Cloud-Betreibers auf unverschlüsselte Daten. Ausschließlich der rechtmäßige Eigentümer der Daten ist in der Lage, auf „seine Daten“ in lesbarer und somit nutzbarer Form zuzugreifen.
Ermöglicht wird dies, durch verschiedene technische Verfahren und Vorrichtungen, welche in ihrer Kombination zu dem erhöhten Sicherheitsniveau der Sealed Cloud beitragen. Neben physischem Zugriffsschutz durch elektromechanisch versiegelte Cloud-Racks sorgen automatisierte Prozesse zur Datenlöschung für die Geheimhaltung der in der Sealed Cloud gespeicherten Informationen. Das verwendete Cloud-Betriebssystem ist eine speziell gehärtete OpenStack-Variante und tokenbasierte Identifizierungsvorgänge beschränken den Zugang zum Sealed Cloud-System auf einen ausgewählten Personenkreis. Der Einsatz eines Trusted Platform Module (TPM) als Hardware-Vertrauensanker innerhalb des Systems stellt zudem die technische Integrität von Anwendungen und Daten sicher. Daneben überwachen Monitoring-Komponenten den aktuellen Status der gesamten Cloud-Infrastruktur und liefern Rückmeldungen über eventuelle Sicherheitslücken (Bild 1).

Bild 1: Komponenten für einen vertrauenswürdigen
cloudbasierten Datenaustausch.

Diese neuartige „Betreibersicherheit“ bietet ein Sicherheitsniveau vergleichbar einer Privaten Cloud und eröffnet so die Möglichkeit, sicherheitsrelevante Dienste und Anwendungen, wie HRM, CRM und ERP, auf Cloud-Basis zu realisieren.

Secure Data Store zur Daten- und Dienstintegration
Zum Schutz sicherheitsrelevanter Daten wurden mehrere Basiskomponenten für die vertrauenswürdige Funktionsweise einer Sealed Cloud Infrastruktur und letztlich eines sicheren Cloud-basierten Datenaustauschs entwickelt. Eine wichtige Komponente ist der Cloud-Dienst „Secure Data Store“ (SDS as a Service) – der SDSaaS ermöglicht die vertrauenswürdige Verwaltung verteilter, prozessrelevanter Daten. Weitere Sealed Cloud spezifische Komponenten betreffen die Anwenderauthentifizierung und vertrauenswürdige Datenübertragung (Monitor), die sichere Speicherung, Verwaltung und Verarbeitung von Zugriffsrechten (Policies), die Identifizierung und Autorisierung vertrauenswürdiger Daten-Konsumenten (Relying Parties) sowie das Schlüsselmanagement (Key Mngt). Für den eigentlichen Informationsfluss bedeutet dies, dass beispielsweise der Anwender (Data Owner) Daten im SDS ablegt, der Host (realisiert als Sealed Cloud) den SDS als Dienst anbietet und der Daten-Konsument Anwenderdaten auf dem SDS abfragt (Bild 1).
Anwenderauthentifizierung und vertrauenswürdige Datenübertragung: SDS-Anwender nutzen zu diesem Zweck ein webbasiertes Frontend, über das sie ihre Informationen in den SDS eintragen, modifizieren und auch wieder rückstandslos entfernen können. Neben der webbasierten Variante bietet der SDS zudem ein Application Programming Interface (API), welches den Zugriff mittels mobiler Apps ermöglicht.
Zur Erhöhung des Sicherheitsniveaus unterstützt der SDS neben klassischer Benutzername/Passwort-Authentifizierung ID-Token in Form von Smartcards oder Near Field Communication-fähiger Endgeräte. Der Datentransfer vom Anwender zum SDS erfolgt über einen sicheren Kanal und jeweils erst, nachdem die Daten auf dem Endgerät des Anwenders verschlüsselt wurden. So ist sichergestellt, dass bereits während der Datenübertragung keine nicht autorisierten Parteien Kenntnis von den geheim zuhaltenden Informationen erhalten.
Sichere Speicherung, Verwaltung und Verarbeitung von Zugriffsrechten und Daten: Basis des SDS auf dem jeweiligen Host-System ist eine Datenbank zur Speicherung sowohl von Informationen als auch von Verweisen auf externe Quellen. Die Datenbank verwaltet Daten, Dokumente sowie Meta-Daten (u.a. zur Klassifikation von Informationen). Die Datenbank kann sich auf nur einem einzigen vertrauenswürdigen SDS-Host befinden, alternativ lässt sich die Datenmenge aber auch auf mehrere Hosts splitten. Dies verhindert, dass ein Betreiber ggf. in den Besitz eines vollständigen Datensatzes gelangt.
Vertrauenswürdige Programmausführung: Der SDS wird in einer Sealed Cloud betrieben.
Sie bietet die vertrauenswürdige Umgebung zur Ausführung des SDS. Damit sich Anwender sicher sein können, dass ihre Daten vertraulich behandelt werden, untersucht die ausführende Cloud-Plattform basierend auf [4] und [5] im Vorfeld den Programmcode des SDS auf sicherheitskritische oder Daten kompromittierende Inhalte. Wurde die SDS-Applikation als sicher befunden, wird die Anwendung im Anschluss „versiegelt“ und ist künftig nur noch über ihre API ansprechbar. Ein Austausch der SDS-Applikation, deren Aktualisierung oder das Einschleusen von neuem Quellcode wird damit unterbunden.
Vertrauenswürdige Daten-Konsumenten: Die Sealed Cloud trägt außerdem dafür Sorge, dass der Betreiber der Cloud-Infrastruktur keinen Einblick auf die im SDS gespeicherten Informationen nehmen kann. Zugriff und Datenverarbeitung bleiben dem Eigentümer der Daten vorbehalten. Er ist dabei jedoch in der Lage, Dritte für einen Zugriff auf bestimmte, im jeweiligen Kontext gerade benötigte Informationen zu autorisieren.
Mit Hilfe von Attribute Based Encryption (ABE) [6] ist der SDS-Anwender zudem in der Lage, feingranulare Zugriffsrechte zu definieren und so detailliert festzulegen, wer welchen Anteil an Informationen innerhalb eines bestimmten Prozesses entschlüsseln und damit einsehen und nutzen kann. Der SDS setzt ABE auf Basis einer kryptografischen Bibliothek der Johns Hopkins University [7] um.
Mit der Verschlüsselung auf Basis der ABE kann der Anwender außerdem kontrollieren, dass seine Daten nur von Betreibern anderer vertrauenswürdiger, sicherer Infrastrukturen abgerufen werden können. Basis hierfür ist ein auf Seite des Datenkonsumenten vorhandenes Modul zur Überprüfung von dessen Infrastruktur, „Monitor“ genannt. Der Monitor kontrolliert den Zustand und das Verhalten der Infrastruktur des Empfängers und garantiert hierüber, dass sich das Daten anfragende System so verhält wie vereinbart.
Der Monitor selbst ist ebenfalls durch eine TPM-basierte Integritätsmessung abgesichert [8]. Über remote attestation ist der SDS-Anwender in der Lage, die korrekte Funktionsfähigkeit des Monitors jederzeit zu kontrollieren. Es ergibt sich hiermit ein implizites Vertrauensmodell – arbeitet der Monitor nachgewiesen korrekt, kontrolliert er die Daten empfangenden Infrastrukturen korrekt und garantiert damit, dass sich diese so (vertrauenswürdig) verhalten, wie vorgesehen.

Fazit und Ausblick
Die Zunahme an cloudbasierten Lösungen verlagert immer mehr sicherheitsrelevante Unternehmensinformationen in fremdkontrollierte und dadurch weniger vertrauenswürdige IT-Infrastrukturen und führt gleichzeitig zu einer wachsenden Komplexität bei der Verwaltung dieser Informationen. Der SDSaaS unterstützt Anwender mittels einer Kombination aus Daten-, Autorisierungs- und Key-Management bei der effizienten Verwaltung verteilter sicherheitsrelevanter Daten und versetzt sie in die Lage, die Weitergabe von schützenswerten Informationen feingranular und Compliance-konform zu kontrollieren.
Über offenen Schnittstellen wird es zudem möglich, prozessrelevante Informationen künftig mit Dienstanbietern – bspw. aus den Bereichen E-Government, E-Business oder E-Finance – einfacher und vertrauenswürdiger auszutauschen. Das Ziel ist es, so die logistische Vernetzung und Integration von Services zu stärken. Hierdurch wird es in Zukunft möglich, ganze Prozessketten, an denen mehr als ein Dienstleister beteiligt ist, nahtlos mit notwendigen Daten und Informationen zu versorgen.

Schlüsselwörter:

Vertraulichkeit, Datensicherheit, Betreibersicherheit, Kontrollverlust, Secure Data Store, Sealed Cloud

Literatur:

[1] Computer Woche online, Moderne ERP-Lösungen aus der deutschen Cloud, 09.07.2013, http://www.computerwoche.de/a/moderne-erp-loesungen-aus-der-deutschen-cl...
[2] PricewaterhouseCoopers, Cloud Computing im Mittelstand, Studie Mai 2011, http://www.pwc.de/de_DE/de/mittelstand/assets/Cloud_Computing_Mittelstan...
[3] Förderprogramm Trusted Cloud, gefördert durch das Bundesministerium für Wirtschaft und Technologie, Projektlaufzeit Oktober 2011 bis September 2014, http://www.sealedcloud.de/
[4] Brown, A.; Chase, J. S.: Trusted Platform-as-a-Service: A Foundation for Trustworthy Cloud-Hosted Applications, http://ftp.cs.duke.edu/~brownan/pubs/trusted-cloud-platform-services.pdf
[5] Zhang, F.; Chen, J.; Chen, H.; Zang, B.: CloudVisor: Retrofitting Protection of Virtual Machines in Multi-tenant Cloud with Nested Virtualization, http://ipads.se.sjtu.edu.cn/lib/exe/fetch.php?media=publications:cloudvi...
[6] Bethencourt, J.; Sahai A.; Waters, B.: Ciphertext-Policy Attribute-Based Encryption, http://www.cs.utexas.edu/~bwaters/publications/papers/cp-abe.pdf
[7] http://www.charm-crypto.com/Main.htmlhttp://www.erp-management.de:8080/a...
[8] Velten, M.; Stumpf, F.: Secure and Privacy-Aware Multiplexing of Hardware-Protected TPM Integrity Measurements among Virtual Machines, Lecture Notes in Computer Science Volume 7839, 2013, pp. 324-336.