27. August 2019
5 min

Die Public Cloud ist nicht sicher

Und sobald man das verstanden hat, kann man die wirklichen Risiken beheben! Doch was ist das größte Risiko?
Skyline

Die Public Cloud ist nicht sicher! Wie meine Kollegen in einem früheren Blog Post (https://www.novatec-gmbh.de/blog/sie-nutzen-die-cloud-dann-aber-auch-richtig/) bereits beschrieben haben, nutzen viele unserer Kunden bereits die Cloud, aber ist das eine gute Idee?

Gibt man (Stand 23. August 2019) „Datenskandal“ bei Google ein, erfährt man auf den ersten 5 Seiten von 2 betroffenen Plattformen:

Facebook / Cambridge Analytica und Mastercard

Untersucht man die Fälle genauer, bemerkt man dass Facebook APIs für Drittanbieter bereitstellt, die damit soziale Features in ihre Apps einbauen um beispielsweise Spiele mit Freunden spielen zu können. Über diese Schnittstelle erhält der Drittanbieter einige persönliche Daten des Users, wozu dieser allerdings bereits einwilligen muss. Nun haben einige wenige dieser Anbieter die Daten ungeschützt in der Cloud abgelegt, wo diese für jeden zugänglich waren. Das Sicherheitsrisiko liegt in diesem Fall also in der schlampigen Implementierung der Datenbankverbindung. Ähnliche Probleme hatte Uber Anfang 2019 mit einer unsicher implementierten Datenbankverbindung zu der sich Hacker Zugriff verschafft haben.

Im Fall Mastercard sieht es ähnlich aus. Hier wurden kürzlich erst vertrauliche Kundendaten und später sogar deren Kreditkartendaten geleakt. Das Problem liegt jedoch hier auch nicht am Cloud Provider sondern deutlich weiter unten. Mastercard selbst macht zumindest die Agentur verantwortlich, welche die Softwarelösung für das Programm zu verantworten hat.

Der Mensch ist das Risiko

Während viele Augen auf den Big Playern der Datensammler lagen, wurden die Probleme also meist durch die kleinen Fehler von Entwicklern verursacht statt durch pure Absicht. So auch bei dem, aus deutscher Sicht, wohl gravierendsten Hack des Jahres: der Hackerangriff auf den deutschen Bundestag. Was teilweise nach außen wirkte wie ein gezielter Hack auf ein System des Bundestags entpuppte sich als sozialer Hack auf einzelne Politiker. Hier wurden schlicht und ergreifend öffentlich bekannte Daten gesammelt und schlecht bzw. ungesicherte Cloud Storages durchsucht.

Gegen sorglosen Umgang mit den eigenen persönlichen Daten im Internet, wie das speichern von Ausweis-Scans in einem ungesicherten Cloud-Storage, nur damit man es schnell zur Verfügung Programmiererhat, wenn man es benötigt ist kein Kraut gewachsen. Nicht umsonst ist in der heutigen Zeit das Social Hacking, also das „Hacken“ des Menschen durch Phishing-Mails oder andere Maßnahmen immer beliebter.

Dieses Social Hacking wird oftmals auch dadurch erleichtert, dass Unternehmen den Mitarbeitern immer größere Hürden einbauen, z.B. durch kurze Laufzeiten bei Passwörtern, dass die Mitarbeiter immer kreativer werden beim Umgehen dieser Regularien. Nicht selten kommt man in ein neues Team und bei der Wahl des Passwortes wird einem empfohlen die Ziffer (die erforderlich ist) alle 3 Monate einfach zu inkrementieren. Oder in einem Unternehmens Chat wird verboten Bilder zu verschicken, woraufhin die Mitarbeiter anfangen Image-Hoster zu nutzen, die im dümmsten Fall auch noch öffentlich zugänglich sind.

Die Liste könnte man vermutlich noch ewig erweitern, jedoch bleibt eine große Gemeinsamkeit: Keins der Probleme lässt sich allein durch ein selbst gehostetes System oder eine Private Cloud lösen.

Schaut man sich die aktuelle TOP 10 des Open Web Application Security Project (OWASP) von 2017 an, wird klar dass die größten Schwachstellen mögliche (SQL-)Injection oder mangelhafte Implementierung von Authentifizierung und Session-Management nicht durch den Cloud Provider alleine behoben werden können, allerdings oft schon durch richtigen Einsatz der angebotenen Services minimiert, wenn nicht behoben werden können. Wichtiger ist hingegen sich auf die Kontrolle der Benutzereingaben zu konzentrieren. Es entstehen sogar gewisse Risiken, wenn Logging und Monitoring (mangelhaft) selbst aufgesetzt wird statt Cloud-Services zu nutzen, wodurch man mögliche Angriffe viel zu spät erkennt oder indem man jedes Update einers Frameworks oder Tools erst auf Schwachstellen untersucht und so zu Verzögerungen der Sicherheitsupdates verursacht, wodurch bereits bekannte Schwachstellen nicht gepatcht werden können.

Provider sind besser als ihr Ruf

Angesichts des Images, das Cloud-Provider nur aufgrund der Fehler ihrer Kunden(!) haben, kann man sich vorstellen, was mit dem Image von Amazon AWS geschehen würde, wenn es sich tatsächlich um Fehler oder Unsicherheiten in der AWS handeln würde. Stattdessen gehen mittlerweile die ersten staatlichen Einrichtungen, wie die Bundespolizei bereits mit ihren Daten in die Amazon Cloud.

Andererseits gebe ich mein wichtigstes Gut ungern aus der Hand. Jedoch regelt meine Finanzen und Altersvorsorge die Bank bzw. die Versicherung. Der Hausbau wird geplant vom Architekten und mein Leben überlasse ich wie selbstverständlich der Airline, der Bahn oder dem Automobilhersteller. Jetzt könnten wir alle anfangen selbst unsere Autos zu bauen und nicht mehr mit anderen Verkehrsmitteln zu reisen. Aber wir tun es nicht, da uns die Unternehmen, denen wir unser Leben anvertrauen bisher noch nie enttäuscht haben.

Mittlerweile haben alle großen Cloud Provider Konzepte entwickelt um die Kundendaten und -Systeme optimal zu schützen. So hat Microsoft beispielsweise mit Azure Key Vault einen Speicher für Credentials vorgestellt. Amazon hat mit dem Hardware Security Module ebenfalls einen Mechanismus zum speichern und durchrotieren von Credentials. Bei beiden Services wird bei bedarf ein Key generiert und für die Verschlüsselung einer Nachricht genutzt. Dieser Key wird allerdings niemals exportiert oder einem Entwickler gezeigt. Für die Sicherheit solcher Systeme nehmen die Provider auch die volle Verantwortung. Die Anbieter können aber nur die Security of the Cloud sicherstellen und haften dementsprechend auch nur für Services die sie selbst bereitstellen. Kommt man auf die Idee die Sicherheitsmechanismen selbst zu implementieren oder sogar die Betriebssysteme der Cloud Instanzen zu überschreiben ändert sich das schnell.

BaFin gibt Hoffnung

Brille vor Laptop

Mittlerweile hat sich auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) positiv zur Public Cloud geäußert. Im veröffentlichten Merkblatt zur Orientierungshilfe zu Auslagerungen an Cloud-Anbieter (siehe www.bafin.de – 181108_orientierungshilfe_zu_auslagerungen_an_cloud_anbieter_ba.pdf) wird im Grunde erklärt, dass die Regularien auch in der Public Cloud alle erfüllt werden können.

Aber auch die großen Provider haben das Thema auf dem Schirm. Amazon liefert bereits die wichtigsten Zertifizierungen für Finanzunternehmen (https://www.atlas.aws/) und hat darüberhinaus ein Whitepaper veröffentlicht, in dem sie klar Stellung beziehen, was durch AWS abgesichert ist und was der Kunde selbst in seiner Verantwortung hat. Im Groben wird es zusammengefasst, dass AWS verantwortlich ist für die Security of the Cloud, während sich der Kunde um die Security in the Cloud kümmern muss.

Microsoft liefert neben der notwendigen Zertifizierungen noch ihren Complience Manager, der dem Admin eine Übersicht über die einhaltung der Richtlinien bietet und ihm dabei hilft die oben genannten, vermeintlich kritischen Probleme zu verhindern.

„eigene“ Implementierung

Aber mal angenommen das ist alles nur an den Haaren herbeigezogen und man kann dem großen Konzern aus dem Silicon Valley nicht trauen:

Dann sucht man sich fähige Mitarbeiter, womöglich ein Team für die Komplette Cloud Infrastruktur mit Architekt, Security Officer und einigen Entwicklern. Dann sitzt dieses Team vor dem Problem eine Cloud abzusichern und orientiert sich woran? Genau, die großen erfolgreichen Anbieter!

Da könnte man meinen, ist ja alles gut, läuft ja auf dasselbe heraus. Mit einem entscheidenden Unterschied: für Amazon und Microsoft ist die Cloud ein immer wichtigerer Geschäftszweig der immer größere Umsätze generiert. Würden sich bei Amazon nur 10 Mitarbeiter mit Security beschäftigen, wäre der Konzern nicht dort wo er aktuell ist, an der Spitze der IT-Industrie.

Bildnachweise:
Diese Webseite verwendet Cookies, um Ihnen ein angenehmeres Surfen zu ermöglichen. Zur Datenschutzerklärung