27-10-2011 Gedruckt am 25-07-2014 aus www.monitor.co.at/index.cfm/storyid/14239

Löcher in der Cloud?

Nur Selbstverteidigung hilft!

Udo Schneider, „Solution Architect“ beim IT-Sicherheitsanbieter Trend Micro, warnt vor Sicherheitslücken bei Cloud-Dienstleistern und erläutert wie Datenverschlüsselung dabei wirklich helfen kann.

Immer wieder finden Forscher Sicherheitslücken bei Cloud-Dienstleistern. Doch der Nachrichtenwert solcher Meldungen liegt nicht so sehr in der Tatsache an sich – sondern vielmehr in dem dahinter stehenden Denken, das noch immer bei der Therapie steckenbleibt und sich nicht der Vorbeugung widmet. „Denn Löcher in der Cloud wird es immer geben“, so Schneider. „Was wirklich hilft, ist die Stärkung der Immunabwehr durch Selbstverteidigung.“

Auch häufige Berichte über Sicherheitslücken sind laut Schneider kein Indiz dafür, dass dieser oder jener Cloud-Dienstleister nachlässig wäre. In der Regel sind gerade diese Dienstleister auf technischer Ebene sehr wachsam, was die Sicherheit der Daten ihrer Kunden angeht. So hat ein Cloud-Dienstleister erst vor kurzem einen Verschlüsselungsservice gestartet, der Kundendaten auf Wunsch nur noch verschlüsselt auf seinen Servern ablegt.

Sollten also Cyberkriminelle über die jüngst bekannt gewordenen und bereits wieder geschlossenen Sicherheitslücken Zugang zu Kundendaten erhalten haben, wären diese wertlos. Gefahr erkannt, Gefahr gebannt, möchte man meinen. Die Wahrheit ist jedoch – wie meistens – etwas komplizierter. „Verschlüsselung selbst ist zwar eine sehr gute Idee, doch erst dann wirklich effektiv, wenn die Schlüssel und das Schlüsselmanagement nicht auch beim Cloud-Dienstleister liegen. Dies ist in besagtem Fall jedoch der Fall. Wer sich also Zugang zu den für die Datenübertragung vorgesehenen Kanälen verschafft oder aufgrund von Sicherheitslücken Sitzungen kapert, kann auch die Daten unverschlüsselt herunterladen“, so Schneider

Ein neues Denken ist daher gefragt, das sich weniger auf die Behandlung der Probleme konzentriert, wenn sie bereits aufgetreten sind. Vielmehr muss die Immunabwehr der Ressourcen und Daten in der Cloud gestärkt werden, am besten durch Mechanismen zur Selbstverteidigung. Im Falle der Datenablage und -aufbewahrung heißt dies laut Schneider konkret:

  • Die Schlüssel müssen auf anderen Systemen verwaltet werden als die damit verschlüsselten Daten – das Kapern eines dieser Systeme nützt potenziellen Angreifern nichts.
  • Die Verwaltung und Erzeugung der Schlüssel dürfen nicht in den Händen des Cloud-Dienstleisters liegen, sondern müssen sich unter der Kontrolle des Nutzers befinden – selbst wenn ein Angreifer Zugriff auf alle Systeme des Dienstleisters hätte, liefe der Angriff ins Leere.
  • Nicht nur die Daten müssen geschützt werden. Vielmehr müssen auch die Ressourcen des Cloud-Dienstleisters, über die der Zugriff auf die Daten erfolgt, überwacht werden. Nur wenn die Identität dieser Ressourcen (Gehören sie überhaupt meinem Cloud-Dienstleister?) und deren Integrität (Sind sie richtig konfiguriert oder wurden sie manipuliert?) zweifelsfrei feststeht, dürfen Schlüssel bereitgestellt werden – kann das System auch nur bei Verdacht „Nein“ sagen, funktionieren viele Täuschungsmanöver der Ganoven nicht.

Schneiders Fazit: „100-prozentige Sicherheit gibt es in der Cloud nicht. Doch die Nutzer – gerade auf Unternehmensseite – können die Ressourcen, die sie in der Cloud auslagern, mit Abwehrkräften ausstatten und dadurch das Risiko auf ein Minimum reduzieren. Der Fingerzeig auf die Cloud-Dienstleister reicht nicht, Handeln ist gefragt.“

www.trendmicro.de

  • Artikel bookmarken
  • del.icio.us
  • Mister Wong
  • Yahoo MyWeb

Userkommentare

DISQUS ist ein Service von disqus.com und unabhängig von monitor.at - siehe die Hinweise zum Datenschutz der DISQUS-Kommentarfunktion

comments powered by Disqus