Sealed Cloud

Sealed Cloud (deutsch etwa Versiegelte Wolke) ist eine patentierte^[1] Basistechnologie, mit der Systeme in Rechenzentren so abgesichert werden können, dass die darüber laufenden Daten – Inhalte wie Metadaten – auch für den Betreiber unzugänglich sind. Ein Konsortium, das aus dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), den Unternehmen Uniscon und SecureNet besteht, entwickelt diese Technologie im Rahmen des Trusted Cloud Programms des Bundesministeriums für Wirtschaft und Energie für den Einsatz in der Industrie weiter.^[2]

Zielsetzung

Ziel ist es, eine „versiegelte“ Infrastruktur für Cloud Computing zu schaffen. Mit „Versiegelung“ meinen die Projektverantwortlichen Folgendes: Der Betreiber einer Infrastruktur wird zusätzlich zu organisatorischen Maßnahmen vor allen mit technischen Maßnahmen grundsätzlich daran gehindert, auf die unverschlüsselte Daten – Inhalte und Metadaten – zuzugreifen, auch während der Verarbeitung der Nutzerdaten.

Abgrenzung

Wenn personenbezogene Daten in der Cloud gespeichert oder verarbeitet werden, muss sich ein deutscher Auftraggeber vor Ort – also im Rechenzentrum – vorab und danach „regelmäßig nachvollziehbar“ – davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden, denn es ist für Nutzer riskant, die Daten bei Online-Diensten und deren Rechenzentren auszulagern. Dort liegen die Daten bei einem Drittanbieter, der theoretisch darauf zugreifen kann. Besonders für Geheimnisträger besteht bei Cloud-Anwendungen, die Daten verarbeiten, etwa im Rahmen des Software as a Service (SaaS), für die Dauer der Verarbeitung der Tatbestand der Kenntnisnahme, da der Cloud-Anbieter bei den Anwendungsservern Zugriff auf den Datenbestand hat.^[3]

Um sich gegen die Sicherheitsrisiken bei Webanwendungen gegen Angriffe von außen und innen abzusichern, setzen sicherheitsbewusste Betreiber von Cloud-Anwendungen technische und organisatorische Maßnahmen ein. Bei den Daten, die während der Verarbeitung unverschlüsselt sind, werden häufig organisatorische Maßnahmen wie das Vier-Augen-Prinzip oder Rollenkonzepte genutzt.
Beispiel: De-Mail.

Auch mit der Ende-zu-Ende-Verschlüsselung der Inhalte als technische Maßnahme versucht man eine Kenntnisnahme laut § 203 StGB zu erschweren.
Beispiel: Wuala Beide Möglichkeiten verhindern eine Kenntnisnahme von Inhalten.

Bei den Metadaten sieht das anders aus:
Bisherige Unicast-Systeme müssen dem Betreiber die Empfängeradressen bekannt geben, damit dieser die Nachrichten korrekt weiterleiten kann. Daher liegen den Anbietern von Kommunikationsdiensten die Verbindungsdaten vor. Diese Daten gelten aber als personenbezogene Daten. Sie unterliegen daher dem Datenschutz. Der Schutz dieser Daten kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Arten erfolgen:

• Durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten.

Beispiel: Die IT-Grundschutz-Kataloge basieren auf dieser Methode.^[4]

• Durch einen Multicast-Ansatz

Beispiel: Das Freenet-Projekt. Dieser Ansatz ist zurzeit eher für Schmalband-Anwendungen geeignet, da er bei den Netzteilnehmern viel Rechenleistung voraussetzt und auch im Netz hohe Übertragungskapazitäten benötigt.

• Durch den Einsatz von Mix-Netzen

Beispiel: Die Sicherheitssoftware Tor. Dieser Ansatz ist aufgrund der hohen Verzögerungen zurzeit ebenfalls eher für Schmalband-Anwendungen geeignet.

Technologie

Das der Sealed Cloud zu Grunde liegende Konzept ruht auf drei Grundvoraussetzungen:

• Leistungsfähigkeit

Die Signale werden weder nach einem Multicast-Schema noch über ein Netz von Mixknoten ausgetauscht, sondern direkt mit der den Dienst bereitstellenden Infrastruktur.

• Gebotene Sicherheit

Ein Satz aus rein technischen Maßnahmen unterbindet den Zugriff zu den Inhalten und zu den Metadaten. Um gegen Angriffe (von Cyberkriminellen von außen wie von Insidern) zu schützen, reichen organisatorische Maßnahmen entlang der ersten Verteidigungslinie mittlerweile nicht aus. Deshalb muss der Risikofaktor Mensch nach Ansicht der IT-Sicherheitsexperten ausgeschlossen werden.^[5]

• Bedienungsfreundlichkeit

Der Satz aus technischen Maßnahmen, der entwickelt wurde, um diese drei Vorgaben zu erreichen, setzt sich wie folgt zusammen:

Maßnahmen bei der Datenverbindung zum Rechenzentrum
Damit keine besondere Software installiert werden muss, erfolgt die Verbindung vom Gerät des Nutzers aus zur Sealed Cloud mit einer klassischen SSL-Verschlüsselung. Dabei werden ausschließlich starke Cipher (Verschlüsselungsalgorithmen, u.a. AES 256) akzeptiert, d.h. solche, mit langen Schlüsseln und ohne bekannte Implementierungsschwächen. Da keine privaten Schlüssel auf Server-Seite bekannt sein dürfen, kommt ein speziell abgesicherter Import des privaten Schlüssels zum Einsatz. Als Schutz vor man-in-the-middle-Angriffe stehen eine Browser-Erweiterung und, für mobile Geräte, Apps zur Verfügung, die bei falschen Zertifikaten den Nutzer alarmieren. Nutzer können mit einem Einmalpasswort-Generator oder einem Zahlencode per SMS einen zweiten Faktor zur Absicherung der Authentifizierung verwenden.

Maßnahmen zum Schutz vor einem Zugriff auf die Daten bei der Verarbeitung
Alle Komponenten, die unverschlüsselte Daten verarbeiten, befinden sich in der so genannten Data-Clean-Up-Area. Dazu werden mechanische Käfige mit elektro-mechanischen Schlössern ausgestattet.^[6] Auch sind alle elektronischen Schnittstellen so reduziert, dass nur Nutzern der Zugriff möglich ist; ein direkter Administrator-Zugang ist nicht möglich. Keine dieser Komponenten hat persistenten Speicher. Die elektronischen Schnittstellen sowie die elektro-mechanischen Komponenten der Käfige sind mit einer Vielzahl von Sensoren ausgestattet, die bei einem Zugangsversuch unmittelbar alarmieren. Im Falle einer solchen Alarmierung wird der Data-Clean-Up ausgelöst. Das heißt: Die Sitzungen der Nutzer auf den betroffenen Servern werden automatisch auf nicht betroffene Segmente umgelenkt und sämtliche Daten in den betroffenen Segmenten gelöscht. Zur Absicherung der Löschung wird die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen. Eine analoge Vorgehensweise wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt.

Maßnahmen bei der Speicherung
Das Prinzip der Versiegelung umfasst auch eine besondere Schlüsselverteilung Der Betreiber verfügt nach Angaben des wissenschaftlichen Projektberichts über keinen Schlüssel zur Entschlüsselung, weder zur Entschlüsselung der Protokolle in der Datenbank, noch der Dateien in den File-Systemen.^[7]
Die Schlüssel für die Protokolle in der Datenbank werden durch Hashketten aus Nutzername und Passwort erzeugt. Sobald die Hashwerte ermittelt sind, werden der Nutzername und Passwort wieder verworfen. Am Ende einer Session wird auch der ermittelte Hashwert gelöscht. Damit aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb der Data-Clean-Up-Area ein rein volatiler Meta-Mapping-Server betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf hat. Sollte jemand einen Zugriff versuchen, würde der beschriebene Data-Clean-Up automatisch ausgelöst. Da dieser Server jedoch rein volatil betrieben wird, ist für eine hohe Verfügbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig, zweitens müssen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden können.
Zusätzliche Maßnahmen zum Schutz der Metadaten Damit keine Rückschlüsse auf die Metadaten erfolgen kann, indem man das Verkehrsaufkommen beobachtet, werden Benachrichtigungen über ebendiesen Verkehr aufkommensabhängig „zufällig verzögert“. Außerdem wird die Größe der übertragenen Dateien künstlich auf die nächstgrößere Standardgröße erweitert, damit sich Metadaten weder über Zeit- noch über Größenkorrelationen ableiten lassen.

Auditierung

Damit sich der für die Versiegelung notwendige Umfang der technischen Maßnahmen entsprechend der Spezifikation nachweisen lässt, führen unabhängige Prüfer eine Auditierung durch. In jedem Server ist eine Integritätsprüfung mittels einer vollständigen Chain-Of-Trust installiert, damit Software, die nicht vorgesehen ist, auch nicht ausgeführt werden kann. Darüber hinaus ist die Implementierung modular gestaltet, damit sich die Komplexität des Systems überhaupt prüfen lässt.

Forschung

Neben den wissenschaftlichen Publikationen der Konsortiumsmitglieder im Rahmen des Trusted Cloud Programms beschäftigen sich mittlerweile folgende akademische Institutionen mit der Sealed-Cloud-Technologie:

• Institut für Wirtschaftsrecht an der Universität Kassel^[8]

Die Aufgabe, die sich diese Arbeit stellt, ist es zu beurteilen, ob die Sealed Cloud die datenschutzrechtlichen Anforderungen an eine sichere und zulässige Datenverarbeitung erfüllt.

• Fakultät für Informatik der Technischen Universität München

1. Analyse der Besonderheiten im Design von Web-Schnittstellen (API), im Gegensatz zu traditionellen Software APIs.^[9]
2. Untersuchung der Datenspeicherung in der Cloud unter Berücksichtigung der Privatsphäre.^[10]
3. Abhandlung zu einer Suchmaschine mit Augenmerk auf die Privatsphäre ^[11]

• Institut für Telematik an der Universität Lübeck^[12]

Im Rahmen einer Masterarbeit über Privatsphäre beim Cloud Computing

• Hochschule für Ökonomie und Management in Hamburg^[13]

Analyse der Sealed Cloud Technologie

Anwendungsbeispiele

• Der Online-Speicher und Kommunikationsdienst IDGARD
• Die Pilotanwendung Delegate verwaltet Zugangsdaten zu Online-Diensten, befindet sich jedoch noch in der Entwicklung.^[14]

Siehe auch

• Informationssicherheit
• Kryptographie
• Anonymisierung und Pseudonymisierung

Literatur

• Dr. W. Streitberger und A. Ruppel, Studie: Cloud Computing Sicherheit. Schutzziele. Taxonomie. Marktübersicht. AISEC Fraunhofer 2009.
• Sabrina Landes: Inkognito im Netz unterwegs. In: Kultur&Technik. Das Magazin aus dem Deutschen Museum 1/2013 S. 36–37.
• Hubert Jäger: Compliance durch versiegelte Cloud. In: Industriemanagement 29/2013 S. 27–30.
• Steffen Kroschwald: Verschlüsseltes Cloud Computing. In: Zeitschrift für Datenschutz (ZD) 2014, S. 75–80

Weblinks

• § 203 StGB: http://www.jusline.de/index.php?cpid=f92f99b766343e040d46fcd6b03d3ee8&lawid=3&paid=203
• Zum Schutz der Metadaten: http://www.lanline.de/fachartikel/schutz-der-metadaten-bei-ende-zu-ende-verschl%C3%BCsselung.html
• Schutz für Mittelstand: http://www.tecchannel.de/server/cloud_computing/2046414/sealed_cloud_wie_der_mittelstand_sich_schuetzen_kann/

Einzelnachweise

1. ↑ EP 2389641 und andere
2. ↑ https://trusted-cloud.de/de/1639.php= Sealed Cloud Website des BMWI. Abgerufen am 28. März 2014
3. ↑ Steffen Kroschwald, Magda Wicker, Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB. CR 2012, 758–764
4. ↑ BSI-Grundschutz-Kataloge: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
5. ↑ http://www.handelsblatt.com/unternehmen/it-medien/it-sicherheit-schwachstelle-mensch/8996598.html
6. ↑ Eine Cloud im Käfig: http://www.computerwoche.de/a/eine-cloud-im-kaefig,2534259, erschienen am 6. März 2013, ausgedruckt am 3. April 2014
7. ↑ Hubert Jäger et.al. _A Novel Set of Measures against Insider Attacks – Sealed Cloud_, in: Detlef Hühnlein, Heiko Roÿnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223.
8. ↑ https://www.uni-kassel.de/fb07/institute/iwr/personen-fachgebiete/rossnagel-prof-dr/forschung/provet/sealed-cloud.html
9. ↑ Vesko Georgiev: Service APIs in Heterogeneous Desktop and Mobile Client Environments. Technische Universität München 2014.
10. ↑ Sibi Anthony: Privacy-konforme verschlüsselte Datenspeicherung in der Cloud. Technische Universität München 2013.
11. ↑ Irfan Basha: Privacy Crawler. Technische Universität München 2012.
12. ↑ http://media.itm.uni-luebeck.de/teaching/ws2013/sem-cloud-computing/Cloud_computing_privacy_aspects.pdf
13. ↑ http://winfwiki.wi-fom.de/index.php/Analyse_der_Sealed_Cloud_L%C3%B6sung_der_Uniscon
14. ↑ http://www.securenet.de/?id=120