„Sealed Cloud“ – Versionsunterschied

Sealed Cloud (deutsch etwa Versiegelte Wolke) ist eine patentierte^[1] Basistechnologie, mit der Systeme in Rechenzentren so abgesichert werden können, dass die darüber laufenden Daten – Inhalte wie Metadaten – auch für den Betreiber unzugänglich sind. Diese Technologie wurde ab 2011 von einem Konsortium, das unter anderen aus dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), dem TÜV Süd Unternehmen Uniscon und SecureNet bestand, im Rahmen des Trusted Cloud Programms^[2] des Bundesministeriums für Wirtschaft und Energie für den Einsatz in der Industrie weiterentwickelt.^[3] Seit Ende 2014 existieren Schnittstellen für Cloud-Anwendungen in diversen Bereichen. Weitere Forschungsprojekte haben die Aufgabe, die versiegelte Infrastruktur für weitere Dienste und Anwendungen nutzbar zu machen^[4].

Zielsetzung

Ziel ist es, unter Beachtung der in der Datenschutz-Grundverordnung (DSGVO) geforderten Prinzipien, Privacy by Design und Privacy by Default eine „versiegelte“ Infrastruktur für Cloud Computing zu schaffen und auszubauen. Mit „Versiegelung“ ist Folgendes gemeint: Der Betreiber einer Infrastruktur wird mit technischen Maßnahmen grundsätzlich daran gehindert, auf unverschlüsselte Daten – Inhalte und Metadaten – zuzugreifen, auch während der Verarbeitung der Nutzerdaten.

Abgrenzung

Wenn personenbezogene Daten in der Cloud gespeichert oder verarbeitet werden, muss sich ein deutscher Auftraggeber vor Ort – also im Rechenzentrum – vorab und danach „regelmäßig nachvollziehbar“ – davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden, denn es ist für Nutzer riskant, die Daten bei Online-Diensten und deren Rechenzentren auszulagern. Dort liegen die Daten bei einem Drittanbieter, der theoretisch darauf zugreifen kann. Ab Mai 2018 müssen die nationalen Gesetze der DSGVO folgen, die von europäischen Unternehmen eine Reihe datenschutzrechtlicher Adaptierungen zum Schutz personenbezogener Daten einfordert. Besonders für Geheimnisträger besteht bei Cloud-Anwendungen, die Daten verarbeiten, etwa im Rahmen des Software as a Service (SaaS), für die Dauer der Verarbeitung der Tatbestand der Kenntnisnahme, da der Cloud-Anbieter bei den Anwendungsservern Zugriff auf den Datenbestand hat.^[5]

Um sich gegen die Sicherheitsrisiken bei Webanwendungen gegen Angriffe von außen und innen abzusichern, setzen sicherheitsbewusste Betreiber von Cloud-Anwendungen technische und organisatorische Maßnahmen ein. Bei den Daten, die während der Verarbeitung unverschlüsselt sind, werden häufig organisatorische Maßnahmen wie das Vier-Augen-Prinzip oder Rollenkonzepte genutzt.
Beispiel: De-Mail.

Auch mit der Ende-zu-Ende-Verschlüsselung der Inhalte als technische Maßnahme versucht man eine Kenntnisnahme laut § 203 StGB zu erschweren.
Beispiel: Wuala^[6]

Dies sind zwei Möglichkeiten, wie sich eine Kenntnisnahme von Inhalten verhindern lässt. Bei Metadaten sieht das anders aus:
Bisherige Unicast-Systeme müssen dem Betreiber die Empfängeradressen bekannt geben, damit dieser die Nachrichten korrekt weiterleiten kann. Daher liegen den Anbietern von Kommunikationsdiensten die Verbindungsdaten vor. Diese Daten gelten aber als personenbezogene Daten. Sie unterliegen daher dem Datenschutz. Der Schutz dieser Daten kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Arten erfolgen:

• Durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten.

Beispiel: Die IT-Grundschutz-Kataloge basieren auf dieser Methode^[7], siehe auch das Treuhand-Modell der Deutschen Telekom^[8]

• Durch einen Multicast-Ansatz

Beispiel: Das Freenet-Projekt. Dieser Ansatz ist eher für Schmalband-Anwendungen geeignet, da er bei den Netzteilnehmern viel Rechenleistung voraussetzt und auch im Netz hohe Übertragungskapazitäten benötigt.^[9]

• Durch den Einsatz von Mix-Netzen

Beispiel: Die Sicherheitssoftware Tor. Dieser Ansatz ist aufgrund der hohen Verzögerungen ebenfalls eher für Schmalband-Anwendungen geeignet.

Technologie

Das der Sealed Cloud zu Grunde liegende Konzept ruht auf drei Grundvoraussetzungen:

• Leistungsfähigkeit

Die Signale werden weder nach einem Multicast-Schema noch über ein Netz von Mixknoten ausgetauscht, sondern direkt mit der den Dienst bereitstellenden Infrastruktur.

• Gebotene Sicherheit

Gemeint ist, dass der Dienst den gesetzlichen genauso wie den firmeninternen Anforderungen genügen muss. Mit Art. 5 Abs. 2 DSGVO verschärft sich die Rechenschaftspflicht^[10] für Unternehmen: Unternehmen müssen für jeden Verarbeitungsprozess vorab abklären, ob eine detaillierte Risikoanalyse erforderlich ist. Wenn die Verarbeitung Grundrechte verletzen könnte (personenbezogene Daten), müssen die Unternehmen ebenfalls vorab Rechenschaft ablegen, ob – unter dem Gesichtspunkt der Verhältnismäßigkeit – erstens bei der Verarbeitung der Stand der Technik zum Einsatz kommt, ob sie zweitens den Grundsätzen der datenschutzkonformen Technikgestaltung (Privacy by Design) folgt und drittens datenschutzfreundliche Voreinstellungen (Privacy by Default) vornimmt. Um diesen Prinzipien Rechnung zu tragen, unterbindet bei der Sealed Cloud Technologie ein Satz aus rein technischen Maßnahmen den Zugriff auf Inhalte und Metadaten,^[11]

• Benutzerfreundlichkeit

Der Satz aus technischen Maßnahmen, der entwickelt wurde, um diese drei Vorgaben zu erreichen, setzt sich wie folgt zusammen:

Maßnahmen bei der Datenverbindung zum Rechenzentrum

Damit keine besondere Software installiert werden muss, erfolgt die Verbindung vom Gerät des Nutzers aus zur Sealed Cloud mit einer klassischen SSL-Verschlüsselung. Dabei werden ausschließlich starke Cipher (Verschlüsselungsalgorithmen, u.a. AES 256) akzeptiert, d.h. solche, mit langen Schlüsseln und ohne bekannte Implementierungsschwächen. Da keine privaten Schlüssel auf Server-Seite bekannt sein dürfen, kommt ein speziell abgesicherter Import des privaten Schlüssels zum Einsatz. Als Schutz vor man-in-the-middle-Angriffe stehen eine Browser-Erweiterung und, für mobile Geräte, Apps zur Verfügung, die bei falschen Zertifikaten den Nutzer alarmieren. Nutzer können mit einem Einmalpasswort-Generator oder einem Zahlencode per SMS einen zweiten Faktor zur Absicherung der Authentifizierung verwenden.

Maßnahmen zum Schutz vor einem Zugriff auf die Daten bei der Verarbeitung

Alle Komponenten, die unverschlüsselte Daten verarbeiten, befinden sich in der so genannten Data-Clean-Up-Area. Dazu werden mechanische Käfige mit elektro-mechanischen Schlössern ausgestattet.^[12] Auch sind alle elektronischen Schnittstellen so reduziert, dass nur Nutzern der Zugriff möglich ist; ein direkter Administrator-Zugang ist nicht möglich. Keine dieser Komponenten hat persistenten Speicher. Die elektronischen Schnittstellen sowie die elektro-mechanischen Komponenten der Käfige sind mit einer Vielzahl von Sensoren ausgestattet, die bei einem Zugangsversuch unmittelbar alarmieren. Im Falle einer solchen Alarmierung wird der Data-Clean-Up ausgelöst. Das heißt: Die Sitzungen der Nutzer auf den betroffenen Servern werden automatisch auf nicht betroffene Segmente umgelenkt und sämtliche Daten in den betroffenen Segmenten gelöscht. Zur Absicherung der Löschung wird die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen. Eine analoge Vorgehensweise wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt.

Maßnahmen bei der Speicherung

Das Prinzip der Versiegelung umfasst auch eine besondere Schlüsselverteilung Der Betreiber verfügt nach Angaben des wissenschaftlichen Projektberichts über keinen Schlüssel zur Entschlüsselung, weder zur Entschlüsselung der Protokolle in der Datenbank, noch der Dateien in den File-Systemen.^[13]
Die Schlüssel für die Protokolle in der Datenbank werden durch Hashketten aus Nutzername und Passwort erzeugt. Sobald die Hashwerte ermittelt sind, werden der Nutzername und Passwort wieder verworfen. Am Ende einer Session wird auch der ermittelte Hashwert gelöscht. Damit aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb der Data-Clean-Up-Area ein rein volatiler Meta-Mapping-Server betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf hat. Sollte jemand einen Zugriff versuchen, würde der beschriebene Data-Clean-Up automatisch ausgelöst. Da dieser Server jedoch rein volatil betrieben wird, ist für eine hohe Verfügbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig, zweitens müssen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden können.

Zusätzliche Maßnahmen zum Schutz der Metadaten

Damit keine Rückschlüsse auf die Metadaten erfolgen kann, indem man das Verkehrsaufkommen beobachtet, werden Benachrichtigungen über ebendiesen Verkehr aufkommensabhängig „zufällig verzögert“. Außerdem wird die Größe der übertragenen Dateien künstlich auf die nächstgrößere Standardgröße erweitert, damit sich Metadaten weder über Zeit- noch über Größenkorrelationen ableiten lassen.

Auditierung

Damit sich der für die Versiegelung notwendige Umfang der technischen Maßnahmen entsprechend der Spezifikation nachweisen lässt, führen unabhängige Prüfer eine Auditierung durch. In jedem Server ist eine Integritätsprüfung mittels einer vollständigen Chain-Of-Trust installiert, damit Software, die nicht vorgesehen ist, auch nicht ausgeführt werden kann. Darüber hinaus ist die Implementierung modular gestaltet, damit sich die Komplexität des Systems überhaupt prüfen lässt.

Forschung

Zurzeit laufen folgende weiterführenden Forschungsprojekte, gefördert von EU, Bundesministerium für Bildung und Forschung (BMFB) und BMWi:

Bundesministerium für Bildung und Forschung:

• SENDATE-SECURE-DCI^[14] soll klären, wie sich mit Hilfe der Nutzung optischer Technologien eine Verzehnfachung des Datendurchsatzes innerhalb und zwischen Datenzentren erreichen und sich dabei gleichzeitig der Energiebedarf verringern lässt.
• PARADISE – Privacy-enhancing and Reliable Anti-Doping Integrated Service Environment^[15]: Das Projekt hat zum Ziel, den Umgang mit personen- und ortsbezogenen Daten von Leistungssportlern zweckgebundener auszulegen.
• Verif-eID: Das bereits im Juni 2017 abgeschlossene Projekt versuchte eine Lösung zu erarbeiten, die Nutzern eine zuverlässige und rechtssichere Identifizierung im Netz ermöglicht.

Bundesministerium für Wirtschaft und Energie:

• CAR-BITS.de: Das Projekt entwickelt eine Service-Plattform, die eine datenschutzkonforme Nutzung der Fahrzeugdaten für neue Dienste ermöglichen soll.

Europäische Union:

• Privacy&Us^[16]: Das Netzwerk hat sich zur Aufgabe gemacht, dreizehn junge Forscher  auszubilden. Sie sollen neuartige Lösungen zu Fragen in Verbindung mit dem Schutz der Privatsphäre der Bürger erörtern, konzipieren und entwickeln.

Wissenschaftliche Publikationen:

Neben den wissenschaftlichen Publikationen der Konsortiumsmitglieder im Rahmen des Trusted Cloud Programms beschäftigten sich bisher folgende akademische Institutionen mit der Sealed-Cloud-Technologie:

• Institut für Wirtschaftsrecht an der Universität Kassel^[17]

Erforscht wurde, ob die Sealed Cloud die datenschutzrechtlichen Anforderungen an eine sichere und zulässige Datenverarbeitung erfüllt.

• Fakultät für Informatik der Technischen Universität München

1. Analyse der Besonderheiten im Design von Web-Schnittstellen (API), im Gegensatz zu traditionellen Software APIs.^[18]
2. Untersuchung der Datenspeicherung in der Cloud unter Berücksichtigung der Privatsphäre.^[19]
3. Abhandlung zu einer Suchmaschine mit Augenmerk auf die Privatsphäre^[20]

• Institut für Telematik an der Universität Lübeck^[21]

Im Rahmen einer Masterarbeit über Privatsphäre beim Cloud Computing

• Hochschule für Ökonomie und Management in Hamburg^[22]

Analyse der Sealed Cloud Technologie

Anwendungsbeispiele

• Der Online-Speicher und Kommunikationsdienst IDGARD
• Die Pilotanwendung Delegate verwaltet Zugangsdaten zu Online-Diensten, befindet sich jedoch noch in der Entwicklung.^[23]

Siehe auch

• Informationssicherheit
• Kryptographie
• Anonymisierung und Pseudonymisierung

Literatur

• W. Streitberger, A. Ruppel: Studie: Cloud Computing Sicherheit. Schutzziele. Taxonomie. Marktübersicht. AISEC Fraunhofer 2009.
• Sabrina Landes: Inkognito im Netz unterwegs. In: Kultur&Technik. Das Magazin aus dem Deutschen Museum 1/2013 S. 36–37.
• Hubert Jäger: Compliance durch versiegelte Cloud. In: Industriemanagement 29/2013 S. 27–30.
• Steffen Kroschwald: Verschlüsseltes Cloud Computing. In: Zeitschrift für Datenschutz (ZD) 2014, S. 75–80

Weblinks

• § 203 StGB. In: jusline.de
• Zum Schutz der Metadaten. In: lanline.de
• Schutz für Mittelstand. In: tecchannel.de
• Was ist die Sealed Cloud. In: uniscon.de

Einzelnachweise

1. ↑ EP 2389641 und andere
2. ↑ Trusted Cloud. Abgerufen am 5. Januar 2018. 
3. ↑ https://trusted-cloud.de/de/1639.php= Sealed Cloud Website des BMWI. Abgerufen am 28. März 2014
4. ↑ Claudia Linnhoff-Popien, Michael Zaddach, Andreas Grahl: Marktplätze im Umbruch: Digitale Strategien für Services im Mobilen Internet. Springer-Verlag, 2015, ISBN 978-3-662-43782-7 (google.de [abgerufen am 5. Januar 2018]). 
5. ↑ Steffen Kroschwald, Magda Wicker: Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB. CR 2012, 758–764
6. ↑ Wuala. In: Wikipedia. 18. Juni 2017 (wikipedia.org [abgerufen am 5. Januar 2018]). 
7. ↑ BSI-Grundschutz-Kataloge: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
8. ↑ Die deutsche Microsoft Cloud: Daten-Treuhand als Abwehrmittel gegen Überwachung? - computerwoche.de. Abgerufen am 5. Januar 2018. 
9. ↑ Christiane Schulzki-Haddouti: Bürgerrechte im Netz. Springer-Verlag, 2013, ISBN 978-3-322-92400-1 (google.de [abgerufen am 5. Januar 2018]). 
10. ↑ Rechenschaftspflicht nach der EU-Datenschutz-Grundverordnung. Abgerufen am 5. Januar 2018 (deutsch). 
11. ↑ Steffen Kroschwald: Informationelle Selbstbestimmung in der Cloud: Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands. Springer-Verlag, 2015, ISBN 978-3-658-11448-0 (google.de [abgerufen am 5. Januar 2018]). 
12. ↑ Eine Cloud im Käfig. In: computerwoche.de, 6. März 2013, abgerufen am 3. April 2014
13. ↑ Hubert Jäger et.al.: A Novel Set of Measures against Insider Attacks – Sealed Cloud. In: Detlef Hühnlein, Heiko Roÿnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223.
14. ↑ SENDATE-SECURE-DCI — KIS Website. Abgerufen am 5. Januar 2018. 
15. ↑ PARADISE - Fraunhofer FIT. Abgerufen am 5. Januar 2018. 
16. ↑ PrivacyUs. Abgerufen am 5. Januar 2018 (amerikanisches Englisch). 
17. ↑ https://www.uni-kassel.de/fb07/institute/iwr/personen-fachgebiete/rossnagel-prof-dr/forschung/provet/sealed-cloud.html
18. ↑ Vesko Georgiev: Service APIs in Heterogeneous Desktop and Mobile Client Environments. Technische Universität München 2014.
19. ↑ Sibi Anthony: Privacy-konforme verschlüsselte Datenspeicherung in der Cloud. Technische Universität München 2013.
20. ↑ Irfan Basha: Privacy Crawler. Technische Universität München 2012.
21. ↑ http://media.itm.uni-luebeck.de/teaching/ws2013/sem-cloud-computing/Cloud_computing_privacy_aspects.pdf
22. ↑ http://winfwiki.wi-fom.de/index.php/Analyse_der_Sealed_Cloud_L%C3%B6sung_der_Uniscon
23. ↑ http://www.securenet.de/?id=120