Rund ein Viertel aller Daten, die in die Cloud wandern, sind vertraulich – das ist dem McAfee Cloud Adoption and Risk Report 2019 zu entnehmen. Damit stellt sich auch die dringliche Frage nach Datenschutz und -sicherheit. Gerade personenbezogene Daten sind sensibel und weisen einen besonderen Schutzbedarf auf. Moderne Cloud-Anwendungen erfordern einen rechtssicheren Umgang mit diesen vertraulichen Daten. Es gilt also, Cloud-Infrastrukturen so sicher zu gestalten, dass sie dem Schutzbedarf dieser Daten gerecht werden.

Der Umgang mit personenbezogenen Daten ist unter anderem in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelt. Auch für Geschäftsgeheimnisse und betriebliche Interna sieht der Gesetzgeber angemessene Schutzmaßnahmen vor. Zwar verfügt ein Großteil der Cloud-Services über ein gutes Sicherheitsniveau, das für Alltagsanwendungen in der Regel vollkommen ausreicht. Für die datenschutz- und rechtskonforme Verarbeitung, Speicherung und Übertragung von Daten mit mittlerem oder hohem Schutzbedarf reicht das Schutzniveau allerdings oft nicht aus. So setzen einige Cloud-Anbieter auf ein Zusammenspiel aus technischen und organisatorischen Maßnahmen, um unerwünschte Datenzugriffe oder Angriffe zu unterbinden. Organisatorische Maßnahmen wie Rollen- und Rechtekonzepte oder lückenlose Überwachung lassen sich aber mit verhältnismäßig wenig Aufwand umgehen: Interne Angreifer – etwa Mitarbeiter des Dienstbetreibers oder Administratoren – könnten sich unbefugt Zugriff zu Daten verschaffen und diese manipulieren oder entwenden.

Privilegierten Zugriff auf Datenbestände verhindern

Selbstverständlich ist bei allen Cloud-Anwendungen, dass die Daten während der Übertragung von den Geräten der Nutzer zur Cloud-Infrastruktur verschlüsselt sind. Die Geschäftspraxis, Daten zu verschlüsseln, um sie vor Diebstahl aus den Speichermedien zu schützen, ist ebenfalls zielführend. Die Daten sind also während der Übertragung und während der Speicherung abgesichert. Bei der Verarbeitung auf den Cloud-Servern müssen die Daten jedoch unverschlüsselt vorliegen. So sind sie dort ungeschützt dem Zugriff durch Softwareadministratoren und Rechenzentrumsbetreiber ausgesetzt: Hier kann durch einen Verstoß gegen eine organisatorische Vorschrift noch ein unbefugter Zugriff auf die verarbeiteten Daten erfolgen, oft sogar unbeobachtet. Deshalb kommen diese Cloud-Infrastrukturen für Daten mit einem hohen Schutzbedarf nicht in Betracht.

Damit Infrastrukturen den privilegierten Zugriff ausschließen, muss die Verarbeitung in den Cloud-Servern auf besondere Weise geschützt sein: Bei sogenannten betreibersicheren Infrastrukturen werden die Cloud-Server in einer Kapsel betrieben, die die Daten während der Verarbeitung vor jeglichem Zugriff schützt. Diese Kapsel ist rein technisch realisiert, man hat also organisatorische Schutzmaßnahmen durch technische ersetzt. So sind selbst der Betreiber des Dienstes und seine Mitarbeiter zuverlässig vom Zugriff auf die Daten ausgeschlossen.
Betreibersichere Clouds sind bereits seit mehreren Jahren in deutschen Unternehmen im Einsatz. Exemplarisch seien hier die Cloud-Dienste „ucloud“ des Aachener Providers Regio iT und die „Versiegelte Cloud“ der Deutschen Telekom genannt. Mit der „Sealed Platform“ der Münchner TÜV-Süd-Tochter Uniscon existiert eine Cloud-Plattform, die explizit für den Betrieb sicherheitskritischer Geschäftsapplikationen ausgelegt ist.

Rechtssichere IT-Umgebung durch technische Maßnahmen

Um den privilegierten Datenzugriff in einer Cloud wirkungsvoll auszuschließen, müssen vier Voraussetzungen erfüllt sein, denen technische Maßnahmenpakete entsprechen: Man benötigt sogenannte „Data Clean-up Areas“ (DCUAs), Schlüsselverteilung, Filtered Interfaces und nachweisliche Integrität.

Im Kern einer betreibersicheren Cloud befinden sich die Data Clean-up Areas, also gekapselte Zonen oder Segmente eines Rechenzentrums, die jeweils mit vielen Anwendungs-Servern in hoher Dichte bestückt sind. Jede DCUA ist mit elektromechanischen Käfigen und einem Netz an Sensoren so gesichert, dass kein Zugriff möglich ist, ohne einen Alarm auszulösen – weder physisch vor Ort, noch logisch über eine der elektronischen Schnittstellen. Sobald Sensoren das Eindringen eines Angreifers erfassen und einen Alarm auslösen, beginnt sofort der Data-Clean-up-Prozess. Dieser lässt sich alternativ auch durch die Anmeldung eines Wartungsgangs auslösen. In beiden Fällen werden die zwischen den Nutzern und der Cloud bestehenden Sitzungen auf andere, nicht betroffene DCUAs verschoben und die Daten in der vom Clean-up betroffenen DCUA gelöscht.

Data Clean-up Areas sorgen für Sicherheit

Damit weder Administratoren noch RZ-Betreiber die verschlüsselt gespeicherten Daten lesen können, werden die Schlüssel aus Geheimnissen der Cloud-Nutzer, etwa deren Zugangsdaten, oder automatisch innerhalb der Data Clean-up Areas erzeugt. So sind diese keiner natürlichen Person zugänglich und verlassen nie den Verbund der DCUAs. Eine solche sichere Aufbewahrung ist für eine kleine Zahl an Schlüsseln – zum Beispiel durch Trusted-Platform-Module (TPM) – und auf größerem Maßstab in den flüchtigen Speichern der Server eines Clusters von DCUAs möglich, also der Zusammenschaltung mehrerer DCUAs zu einem Netz. Letzteres wird auch „Sealed Trust Anchor Network“ (STAN) genannt.

Die existierenden Server-Schnittstellen sind als „Filter“ gestaltet und können nur eine positiv definierte Liste von Befehlen annehmen. Für diese Befehle gilt, dass ihre Ausführung zu keinem Export von Daten führen darf. Auch dürfen die Statusmeldungen und Log-Dateien keine Daten der Nutzer enthalten, die Rückschlüsse auf Nutzerdaten erlauben. Dazu sind die herkömmlichen Wartungszugänge wie etwa SSH (Secure Shell) abgeschaltet. Die notwendigen Funktionen stehen stattdessen über eine „Operations and Maintenance Access“ (OMA) genannte Filterkomponente zur Verfügung.

Attestierungsprozess für sicheren Betriebszustand

Abschließend stellt ein Attestierungsprozess, den Fachleute „Versiegelung“ nennen, den sicheren Betriebszustand der Infrastruktur her (Integrity Assurance, Sicherstellung der Integrität). Dieser Prozess besteht aus einer fachgerechten Prüfung und Schließung der Data Clean-up Areas. Abschließen lässt sich der Prozess nur durch die Eingabe von Geheimnissen, die nur den Versiegelungsstellen bekannt sind. Mehrere voneinander unabhängig agierende Stellen, die sogenannten „Sealing Trustees“, nehmen dabei die Versiegelung vor. Je mehr Stellen beteiligt sind und je unabhängiger diese voneinander handeln können, desto höher ist die Vertrauenswürdigkeit der Versiegelung.

Neben diesen vier eng miteinander verzahnt Maßnahmen sind einige zusätzliche Eigenschaften notwendig, um einen privilegierten Zugriff in einer Cloud-Infrastruktur zuverlässig auszuschließen. Damit man die Schutzfunktion der Versiegelung nicht unterlaufen kann, darf keine einzige der in der Cloud betriebenen Software Lecks in den Log-Dateien enthalten. Das bedeutet, dass die Konfiguration der Log-Funktion so einzustellen ist, dass keine Daten enthalten sind, die von den Nutzern in der Cloud verarbeitet werden, und auch keine Daten, die Rückschlüsse darauf ermöglichen. Außerdem darf kein fahrlässig oder vorsätzlich in der Anwendungslogik verankerter Code existieren, der solche Daten aus der Cloud exportiert. Dasselbe gilt für bekannte Sicherheitslücken und Angriffsmöglichkeiten in der Anwendungslogik. Daher ist der Stand der Technik in Bezug auf die Anwendungssicherheit und gegen Angriffe von externen Angreifern im Allgemeinen einzuhalten, regelmäßig zu überprüfen und gegebenenfalls nachzuführen.

Die beschriebenen Kapseln um ganze Server-Gruppen, also DCUAs, sind nicht der einzige Ansatz, um Administratoren von privilegierten Zugriffen auszuschließen. Weitere Beispiele für ähnliche Technologien stammen von den großen Prozessorherstellern Intel und AMD. Es handelt sich um Intels SGX (Software Guard Extensions) und AMDs SEV (Secure Encrypted Virtualization). Beide Konzepte sehen vor, dass innerhalb der Prozessorkerne die schützenswerten Daten unverschlüsselt verarbeitet werden, außerhalb dieser, also bereits auf dem Systembus und dem Arbeitsspeicher (RAM), jedoch nur verschlüsselt vorliegen.

Sealed Cloud, SGX und SEV im Zusammenspiel

Durch Arbeiten im Rahmen des Marie Curie Research Networks „Privacy and Usability“ etabliert sich der gemeinsame Name „Sealed Computing“ oder „Sealed Computation“ als Oberbegriff der Technologien Sealed Cloud, SGX und SEV. Mittelfristig ist zu erwarten, dass sich die verschiedenen Technologien ergänzen. Denn die Versiegelung auf Prozessorebene schützt besser gegen Exploits der Systemsoftware, während die Versiegelung auf Server-Ebene besser gegen Exploits in der Hardware schützt.

Dr. Hubert Jäger ist Geschäftsführer und CTO von Uniscon, www.uniscon.com/de.