Wer wann mit wem und wie lange online verbunden ist – genau das verraten die Metadaten. Über Jahre hinaus gespeichert, lassen sich daraus zu Spionagezwecken mehr Schlüsse ziehen, als den Anwendern lieb sein kann, zumal die Listen oft sogar unverschlüsselt auf den Servern liegen. Die Brisanz dieses Problems wurde durch die Spionageaffäre um den Geheimdienst National Security Agency (NSA) erst richtig deutlich. Kurz nachdem der Abhörskandal durch die Dokumente des Whistleblowers Edward Snowden publik geworden war, versuchte US-Präsident Barack Obama besorgte Mitbürger zu beruhigen: „Niemand hört Telefonate ab. Das Programm durchsucht nur die sogenannten Metadaten nach möglichen Spuren zu Terroristen.“ Viele Anwender atmeten erleichtert auf. Sicherheitsexperten und Datenschützer dagegen schnappten nach Luft: Sie wissen: Metadaten geben viel mehr persönliche Daten preis, als man denkt. Die Bürgerrechtsbewegung American Civil Liberty Union (ACLU) reichte deshalb bereits sechs Tage nach der ersten Veröffentlichung von NSA-Dokumenten durch Snowden Klage gegen die US-Regierung ein.
Um ihre Sicht zu untermauern, bat die Organisation den Professor und Computerwissenschaftler Edward Felten von der Princeton University um ein Gerichtsgutachten zur Analyse von Metadaten. Zusammengefasst schreibt Felten, ehemals technischer Direktor der Federal Trade Commission (FTC): Metadaten sind „einmalig einfach zu analysieren – anders als die komplizierten Daten aus einem Anruf selbst, mit all den Variationen in der Sprache, der Stimme und im Konversationsstil.“ Ein Beispiel zur Veranschaulichung: Der Inhaber eines Familienunternehmens ruft die Praxis eines Radiologen an. Tage später ruft er die Neurochirurgie-Abteilung eines Krankenhauses an und schickt ein, zwei Mails an den Oberarzt. Er telefoniert etwa eine Stunde mit seinem Sohn, der sich zurzeit in den USA aufhält. Danach ruft er mehrmals einen Anwalt an. Eine solche Abfolge von Daten verrät, so Felten, „wesentlich mehr als der Inhalt eines einzelnen Anrufs“.
Wie können KMUs ihre Daten schützen?
Damit diese Verbindungsdaten, aus denen sich natürlich auch Unternehmensgeheimnisse herauslesen lassen, Dritten nicht gar so leicht in die Hände fallen, haben die großen deutschen Unternehmen Sicherheitsvorkehrungen getroffen. BMW-Manager lassen zum Beispiel ihre Firmenhandys in München. An deren Stelle erhalten sie Wegwerf-Handys, die sofort nach der Rückkehr als unbrauchbar aussortiert werden. Angestellte im Sicherheitsbereich des Luft- und Raumfahrtkonzerns EADS Group dürfen ihren E-Mail-Verkehr nur in ihren abhörsicheren Büros erledigen. Andere bezahlen Sicherheitsexperten, die sich in ihre Systeme hacken, um Sicherheitslücken aufzudecken. Doch was können die kleinen und mittleren Unternehmen tun, um sich zu schützen? Sie hängen meist von Internetdiensten ab, deren Betreiber nur zu oft Verbindungsdaten unverschlüsselt auf ihren Servern speichern.
Eine Möglichkeit ist, sich persönlich in abhörsicheren Räumen zu treffen, keine E-Mail-Dienste in Anspruch zu nehmen und auch sonst so wenig wie möglich elektronisch unterwegs zu sein. Das ist heute wenig praktikabel. Oder aber man sucht sich einen Internetdienst, der die Verbindungsdaten zumindest verschlüsselt speichert und hofft darauf, dass der Schlüssel nicht missbraucht wird. Auch mit Servern in anderen Ländern, die man stundenweise mieten kann, könnten Unternehmen sich absichern. Diese unterliegen allerdings der Gesetzgebung des jeweiligen Landes und entziehen sich damit auch der Kontrolle der Unternehmen.
All diese Maßnahmen helfen jedoch nicht bei den Verbindungsdaten. Sie bleiben zugänglich und können weiterhin von Analyse-Firmen ausgewertet werden. Für diese Sicherheitslücke hat das Münchner Unternehmen Uniscon GmbH für seinen Internetdienst das Problem erkannt und mit der Basistechnologie „Sealed Cloud“ eine Lösung entwickelt. Heute wird die Sealed Cloud im Rahmen des Trusted-Cloud-Projektes des Bundeswirtschaftsministeriums (BMWI) gemeinsam mit der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) und dem Unternehmen SecureNet weiterentwickelt.
Sealed Cloud versiegelt das Rechenzentrum
Mit der Sealed-Cloud-Technologie erreichen Betreiber eines Rechenzentrums ein höheres Sicherheitsniveau. Das liegt daran, dass die Daten nicht nur beim Transport zum und vom Data Center und im Storage-System in der Datenbank auf technische Weise geschützt werden, sondern auch bei der Verarbeitung. Andere Systeme mit einem hohen Grad an Sicherheit versuchen die Verarbeitung mit organisatorischen Maßnahmen zu sichern. Für Mitarbeiter der Dienstanbieter sind diese aber häufig einfach zu umgehen, wie die vielen Datenskandalen zeigen.
Um den Missbrauch von Daten zu vermeiden, wird mit Sealed Cloud der Zugang zu den Servern auf technische Art gesichert: Die Rechner sind in einem Rack verschlossen. Die Tore zum betroffenem Server kann ein nur mit einem ihm remote übermittelten Token öffnen, nachdem er zuvor in einer getrennten Nachricht einen Arbeitsauftrag für einen bestimmten Server bekommen hat. Bevor sich der Schrank tatsächlich öffnet, wird der Server heruntergefahren. Alle Daten aus dem Daten- und Arbeitsspeicher werden zudem auf andere, sichere Server verschoben; anschließend werden sie gelöscht. Das System ist also, wenn der Admin daran arbeitet, frei von allen Anwendungsdaten. Nach Beendigung der Wartungsarbeiten wird es von zentraler Stelle wieder hochgefahren. Eine automatisch gestartete Routine prüft, ob alle eingespielten Daten und Programme den freigegeben, zertifizierten Versionen entsprechen. Damit soll gewährleistet werden, dass keine manipulierten Routinen auf das System gelangen.
Die Daten in der Datenbank oder im Storage-System sind verschlüsselt. So arbeiten heute alle Cloud-Dienste, die einen hohen Sicherheitsanspruch haben. Bei den gängigen technischen Lösungen verschlüsseln die Betreiber die Daten in der Datenbank beziehungsweise im Storage-System auf Block-Ebene – mit einem oder wenigen systemweit gültigen Schlüssel. Ein Schlüssel gilt dann für viele Datensätze. Aufbewahrt wird dieser dann im Schlüsselspeicher innerhalb des Systems.
Das Sealed-Cloud-Konzept geht an diesem Punkt etwas weiter: Meldet sich ein Anwender bei einer Sealed Cloud an, generiert das System während des Anmeldevorgangs einen individuellen Schlüssel pro Nutzer aus den Login-Informationen. Der Schlüssel dient dazu, die Anwendungsdaten zu finden, sie zu entschlüsseln und für die Bearbeitung in den Hauptspeicher zu laden. Am Ende jeder Session meldet sich der Anwender ab. Nach Abmeldung werden die Daten neu verschlüsselt und gespeichert. Dann zerstört das System den individuellen Schlüssel. In der Datenbank gibt es daher für jeden einzelnen Nutzer einen eigenen Datensatz, der jeweils individuell nach dem Advanced Encryption Standard (AES256) verschlüsselt ist. Da die Schlüssel im System nicht existieren, legen die Entwickler die Zugangshürde für interne und externe Angreifer deutlich höher als in anderen Systemen: Ein Angreifer müsste dann schon den AES256 knacken und dies separat für jeden einzelnen Nutzerdatensatz.
Verschlüsselte Datenübertragung mit SSL und TSL
Die Daten werden durch Verschlüsselung, zum Beispiel SSL mit 2048 Bit Schlüssellänge, übertragen. Realisiert wird diese über TLS Protokolle. Seit der Version 3.0 wird das SSL-Protokoll unter dem neuen Namen TLS (Transport Layer Security). weiterentwickelt und standardisiert. Medienberichten zufolge wurde indes die TLS-Verschlüsselung von der NSA dekodiert. Das löste eine Welle der Empörung aus. In einer „ABC-Analyse“ der Sicherheitsketten liegen zurzeit die größten Sicherheitslöcher aber weiterhin beim Betreiber und bei den Endgeräten, erst dann folgt die Übertragung via SSL oder TLS. Da eine Sicherheitskette nur so stark ist wie ihr schwächstes Glied, müssen zunächst die ersten beiden Risiken minimiert werden, um ein sicheres System zu erhalten.
Bei SSL/TLS ist der „Janusangriff“ (Man-in-the-middle) die einfachste Methode mitzuhören. Dabei steht ein Angreifer zwischen den beiden Kommunikationspartnern. Auf diese Weise hat er mit seinem System vollständige Kontrolle über den Datenverkehr und kann die Informationen nach Belieben einsehen und sogar manipulieren. Eine solche Attacke erkennt der normale Nutzer in gewöhnlichen Browsern nicht – Experten aber schon. Sie sehen die Zertifikatsdetails. Geheimdienste nutzen wahrscheinlich diese Schleuse, um mit dieser Methode ins System zu gelangen. Sie erhalten bei manchen Zertifikatserstellern so genannte Root-Zertifikate oder haben in manchen Browsern eigene Root-Zertifikate deponiert. Verwendet man ein entsprechendes Browser Add-on oder nutzt auf den Mobilgeräten passende Apps, so ist bei der Sealed Cloud aber eine automatisierte Angriffserkennung integriert.
Neben der „Statischen Attestierung“, deren Aufgabe es ist, die Zuverlässigkeit der Komponenten zu prüfen, wird zusammen mit einer neutralen Zertifizierungsstelle an einer „Dynamischen Attestierung“ gearbeitet. Bei ihr soll bei laufendem Betrieb geprüft werden, ob weiterhin alle Voraussetzungen für den zertifizierten Ablauf erfüllt sind. Treten Abweichungen auf, werden die betroffenen Server oder Serverteile außer Betrieb genommen. Außerdem meldet das System den Fehler an die zertifizierende Stelle.
Unterm Strich sichert die Sealed-Cloud-Technik Cloud Computing in einem Maße ab, das den Vergleich noch sucht. Dies hat sich beim Trusted-Cloud-Wettbewerb des BMWi gezeigt, bei dem das Sealed Cloud Konsortium zu einem der Gewinner in der Kategorie Basistechnologie gehörte.