Beim Thema „Cloud Security“ ist immer sehr schnell von APTs (Advanced Persistent Threats) oder per Patriot Act ermöglichter Spionage durch US-Behörden die Rede. Im Alltag sind die Sicherheitsfragen jedoch meist viel banaler und betreffen das gesamte Spektrum von der Compliance über die Informationssicherheit bis zur Absicherung des Fernzugriffs und der zunehmend oft mobilen Endgeräte. Die Cloud kann dabei eine Risikoquelle, aber auch ein Hilfsmittel für mehr Sicherheit sein.„Es ist eine feudale Welt da draußen“, warnt Security-Spezialist Bruce Schneier in einem beachtenswerten Aufsatz mit Blick auf die Informationssicherheit im Cloud-Zeitalter („Feudal Security“, lanl.in/W9XTUw). Aus Gründen wie Bequemlichkeit, Redundanz, Automation oder auch zugunsten einfachen Teilens von Inhalten sei der Anwender heute bereit, zugleich aber auch genötigt, sich völlig auf die Sicherheitsmechanismen der Hardware-, Software- und Cloud-Anbieter zu verlassen. „In dieser neuen Computing-Welt“, so Schneier, „geben wir ein gewisses Maß an Kontrolle ab und vertrauen stattdessen darauf, dass unsere Herren uns gut behandeln und vor Schaden schützen werden.“ Vertrauen sei dabei die einzige Option des Anwenders, da er auf die Security seiner „Feudalherren“ keinerlei Einfluss habe: „Wir wissen nicht, welche Sicherheitsmethoden sie verwenden oder wie diese konfiguriert sind.“ So ist es zum Beispiel bei Diensten wie Facebook, Gmail oder Twitter unmöglich, eigene Sicherheitssoftware zu installieren.
Diese Abhängigkeit von digitalen Feudalherren wie Amazon, Apple, Facebook oder Google ist nicht ausschließlich schlecht, räumt Schneier ein: Automatische Cloud-Backups erhöhen die Sicherheit ebenso wie automatische Updates aus der Wolke. Dennoch warnt der Experte vor den Risiken dieser Abhängigkeit: Denn selbst die Cloud-Größen machten Fehler, wie jüngst etwa bei Apple, Facebook und Photobucket geschehen, und sie handelten auch gerne mal „willkürlich und kapriziös“. Ein aktuelles Beispiel: Apple entfernte Googles beliebte Map-App vom Iphone zugunsten einer neuen eigenen App – die sich als dermaßen fehlerhaft erwies, dass Apple bald gezwungen war, dies einzuräumen und Googles App wieder zuzulassen.
Angesichts solcher Zustände fordert Bruce Schneier einen Wandel: „Es sollte Grenzen dafür geben, was Cloud-Anbieter mit unseren Daten tun dürfen; Rechte wie etwa die Anforderung, dass sie unsere Daten löschen, wenn wir dies von ihnen verlangen; und eine Haftung, wenn Anbieter mit unseren Daten falsch umgehen.“ Er plädiert für Regularien auf nationaler wie auch auf internationaler Ebene, „die uns Vasallen (wie auch unsere Herren) schützen“. „Andernfalls“, so Schneier, „sind wir wirklich nur Knechte.“
 
Rückblick auf 2012
Während Bruce Schneier die Sicherheitslage gewohnt eloquent aus strategischer Sicht kommentierte, veröffentlichten zahlreiche Sicherheitsanbieter wie F-Secure, Kaspersky Labs, Sophos, Symantec oder Trend Micro zum Jahreswechsel routinemäßig möglichst praxisnahe Berichte mit Rückblick auf das vergangene und Ausblick auf das kommende Jahr. Einen anschaulichen, kompakten Überblick gibt zum Beispiel der Sophos Security Threat Report 2013, der auf sophos.com frei zugänglich ist. Der Report stellt im Einklang mit Berichten der Konkurrenz fest, „dass Cyberkriminelle ihren Aktionsradius auf immer mehr Plattformen ausweiteten – von sozialen Netzwerken über Cloud Services bin hin zu Android-Mobilgeräten. Hacker reagierten immer schneller auf neue Sicherheitssysteme und nutzten Zero-Day-Expoits mit zunehmender Geschicklichkeit aus.“
Sehr beliebt sind bei Kriminellen heutzutage Social Networks, seien es Facebook, Twitter oder Pinterest. So erlebten Twitter-Nutzer im September 2012 eine Welle gefälschter DMs (Direct Messages), die kompromittierten Twitter-Konten geschuldet waren. Der Angriff funktionierte laut Sophos’ Beschreibung wie folgt: Die DMs – also private Nachrichten von einem User, der dem Empfänger bekannt ist – behaupteten, man erscheine unvorteilhaft in einem Video auf Facebook; klickte man auf den Link, folgte die Aufforderung zum Upgrade des Video-Players; klickte man wiederum dieses „Update“ an, infizierte man seinen Rechner mit dem Backdoor-Trojaner Troj/Mdrop-EML – also ein typischer Social-Engineering-gestützter Malware-Angriff.
2012 gelang es Hackern auch wieder einmal, sich Zugriff auf Dropbox-Konten zu verschaffen. Das Einfallstor laut dem Sophos-Report: „Ein Dropbox-Mitarbeiter hatte für alle seiner Konten das gleiche Passwort gewählt, darunter auch sein Arbeitskonto, über das Zugriff auf sensible Daten bestand“ – Schneiers „Feudal Security“ lässt grüßen.
Als Beispiel für die wachsende Kompetenz der Malware-Hersteller verweist Sophos auf das prominente Exploit-Toolkit Blackhole: „Das Paket vereint bemerkenswerte technische Möglichkeiten mit einem Geschäftsmodell, das direkt aus einer MBA-Fallstudie der Harvard Business School stammen könnte.“ Das Toolkit ermittle Schwachstellen eines Windows-, Mac-OSX- oder Linux-Rechners automatisch und nehme auf Basis dieser Informationen auch Drive-by-Installationen vor. Zur Payload könne gefälschter Virenschutz ebenso zählen wie Ransomware (Software, die der Erpressung des Opfers dient), der Zeus-Trojaner sowie die Rootkits TDSS oder ZeroAccess.
Auf Client-Seite ebenfalls brisant war 2012 eine ganze Reihe von Lücken in Oracles Java, die zunächst nur Java 7, bald aber auch Java 5 und 6 betrafen. Die Java-Sandbox, ein bewährter Sicherheitsmechanismus, erwies sich als umgehbar, Java-Lücken tauchten als Zero-Day-Schwachstellen in Blackhole ebenso auf wie in Phishing-Mails. Gefährliche Schwachstellen erschienen in so beunruhigend schneller Folge, dass diverse Fachleute zur Deaktivierung von Java im Browser rieten. „2012 kann mit Recht als das Jahr der Java-Schwachstelle bezeichnet werden“, urteilte Kaspersky in seinem Security Bulletin 2012. Insgesamt ist die Zahl der Web-basierten Angriffe laut Kaspersky letztes Jahr von rund 946 Millionen auf knapp 1,6 Milliarden gestiegen.
 
Android: das neue Windows
Das Client-seitige Angriffsziel Nummer eins jedoch war, da ist sich die Security-Branche einig, Googles zunehmend beliebtes Smartphone- und Tablet-Betriebssystem : „Angriffe auf Android nehmen rasend schnell zu“, so der Sophos-Bericht. Besonders beliebt seien gefälschte Apps, die heimlich teure Premium-SMS-Nachrichten verschicken, aber auch mit Malware gespickte Fake-Versionen von Spielen wie Angry Birds Space oder – wieder einmal – gefälschte Antivirensoftware. Hinzu kommen Spyware-Apps, die zum Beispiel SMS-Nachrichten abfangen, oder auch PUAs (Potentially Unwanted Applications, potenziell unerwünschte Anwendungen). PUAs sind keine Malware im engeren Sinne, aber dennoch ein Problem für Security-Administratoren, weil sie entweder ohne Wissen des Anwenders dessen Kontaktliste auslesen und exportieren oder aber unerwünschte (zum Beispiel pornografische) Werbung anzeigen.
Wie stark gefährdet Android-Benutzer sind, verdeutlicht eine Zahl aus dem Kaspersky Security Bulletin 2012: Laut Angaben der russischen Sicherheitsexperten waren 2012 knapp 99 Prozent aller entdeckten Malware-Apps für Android konzipiert. Trend Micro wiederum geht davon aus, dass die Zahl bösartiger Android-Apps (175.000 Ende des dritten Quartals 2012) im Laufe des Jahres 2013 die Millionengrenze überschreiten wird. Selbst Apples lange als sicher geltendes Betriebssystem OSX blieb nicht verschont: Zwar gibt es Malware für Apple nach wie vor nur in sehr geringem Unfang, dennoch gelang es Angreifern 2012, ein Botnet aus über 600.000 Mac-Rechnern aufzubauen.
Die Angriffe auf Android, Java und OSX zeigen: Bei aller berechtigter Diskussion um das Thema Cloud Security darf man nicht vergessen, dass nach wie vor das Endgerät und – per Social Engineering – der Endanwender ein beliebtes Einfallstor für Angreifer aller Art bieten – unabhängig davon, welche Cloud-Services der Anwender mit diesem Endgerät nutzt. Erschwerend kommt jener Effekt hinzu, den Trend Micro die „Zersplitterung des digitalen Ichs“ nennt: Der Anwender von heute nutzt eben nicht mehr einen Windows-Rechner für alles, sondern mal einen Windows-, mal einen Mac-Rechner, mal ein Ipad, mal ein Android-Phone – und er ist potenziell auf Facebook ebenso wie bei einer ganzen Reihe anderer Cloud-Services, von denen jeder seinen eigenen Silo an Sicherheitsmaßnahmen und eben auch -lücken mit sich bringt.
Als weitere Risikoquelle gesellt sich der Trend zu BYOD (Bring Your Own Device) hinzu. Die Nutzung privater Endgeräte im Unternehmen, eine Horrorvorstellung für viele Security-Administratoren, ist zwar in den seltensten Fällen explizit erlaubt, aber: „Offenbar herrscht hier oft ein gewisses Maß an Freizügigkeit“, so Kay Wintrich, verantwortlich für den Bereich Borderless Networks bei Cisco Deutschland. Er rät deshalb zu einem Fokus auf die Zugangskontrolle und das IAM (Identity- and Access-Management).
 
Was Fachleute raten
„Die Client-Sicherheit wird allgemein unterschätzt“, warnt auch Dr. Michael Teschner, Business Development bei RSA, EMCs Security Division. „Wichtig ist die Identifizierung des Zugriffsgeräts und eine Analyse des Benutzerverhaltens, um den Zugriff des Anwenders zu autorisieren.“ Eine Lösung hierfür sei die hauseigene Adaptive Authentication, die RSAs Risk Engine mit Big-Data-Analysen kombiniere.
Im Hinblick auf Cloud Computing raten Fachleute, stringente Client-Security-Richtlinien mit einer sehr behutsamen Auswahl der Cloud-Provider zu kombinieren: „Zur Gewährleistung von Verfügbarkeit, Sicherheit und Datenschutz ist ein Anbieter zu wählen, der die Einhaltung entsprechender SLAs und der strengen EU-Richtlinien vertraglich garantiert“, so Dave Miller, Chief Security Officer bei Covisint. „Zudem sollte eine unabhängige Zertifizierungsstelle dessen Hosting-Prozesse regelmäßig prüfen. Um den Cloud-Anbieter wechseln zu können, hat dieser eine entsprechende offene Plattform zu nutzen. Und für niedrige Migrationskosten sollte ein erfahrener Cloud-Provider gewählt werden, der sich mit allen Protokollen verbinden kann.“
 
Bei Sicherheitsbedenken hybride Cloud nutzen
Aus Sicherheitserwägungen liegt dabei die verstärkte Nutzung des Hybrid-Cloud-Ansatzes nahe, also die bedarfsgerechte Kombination einer Private Cloud mit Public-Cloud-Services, argumentiert Kees Plas, Director Security Services bei Verizon: „Befürchtungen im Hinblick auf Corporate Governance, Datensicherheit und Zuverlässigkeit werden häufig in Verbindung mit Public Clouds geäußert und tragen dazu bei, dass man sich dem privaten Cloud-Modell zuwendet, auch wenn die zu leistenden Investitionen in Technologie durchaus hoch sein können. Zahlreiche Interessenten sehen im Hybridmodell eine Alternative – es macht sich im Grunde das Beste aus beiden Welten zunutze.“ Guido Moezer, Senior Solution Manager Managed Services bei Integralis Deutschland, richtet dabei den Blick auf die positiven Seiten, die das Cloud Computing im Hinblick auf mehr Sicherheit bedeuten kann: „Das Portfolio der ‚echten’ IT-Security aus der Cloud ist heute breiter als vor Jahren und geht von starker Authentifizierung über Mail-Verschlüsselung, Schwachstellen-Scanning, geschützten Datenraum und geschützten File Transfer bis hin zu topaktuellen Themen wie Mobile-Device-Management.“
 
Fazit: vielfältige Aufgaben auf Cloud- und Client-Seite
Die Beseitigung der von Bruce Schneier diagnostizierten „feudalen“ Züge der Cloud-Sicherheit erfordert das Eingreifen des Gesetzgebers, um Cloud-Kunden mehr Rechtssicherheit und eine bessere Position gegenüber den Cloud-Anbietern zu verschaffen. Neben den durchaus berechtigten Sorgen um den Umgang der Cloud-Provider mit den Unternehmensinformationen ihrer Kunden sollte man aber auch die Client-Seite nicht vernachlässigen – zumal diese durch eine stetig wachsende Vielfalt an Endgeräten und das Modephänomen BYOD deutlich komplexer geworden ist. Vor Social Engineering wiederum schützt nur die kontinuierliche Aufklärung der Endanwender zum Umgang mit neuer Technik und neuen Angriffen. Trotz aller Sorgen und Risiken kann die Cloud auch die Rolle des „Security Enablers“ spielen: Cloud-basierte Security-Services können dank hoher Rechen- und Speicherleistung (Stichwort: Big-Data-Analysen) und mittels ebenso hoher Skalierbarkeit letztlich sogar das Sicherheitsniveau der Unternehmen anheben.
Der Autor auf LANline.de: wgreiner

Kees Plas, Director Security Services bei Verizon, rät aus Sicherheitsgründen zum Aufbau einer Hybrid-Cloud-Umgebung. Bild: Verizon

Laut Kaspersky Labs waren im Jahr 2012 knapp 99 Prozent aller entdeckten Malware-Apps für Android konzipiert. Bild: Kaspersky Security Bulletin 2012

Security-Vordenker Bruce Schneier warnt beim Thema Informationssicherheit in der Cloud vor geradezu feudalen Zuständen. Bild: Dr. Wilhelm Greiner

LANline.