Proseminararbeit

Bedrohungen undSicherheitsaspekte von Cloud

Computing Infrastrukturen: EinÜberblick

Robin Schrage5. Februar 2015

Prof. Dr. Jan Jürjens Lehrstuhl 14 Software EngineeringFakultät InformatikTechnische Universität DortmundOtto-Hahn-Straße 1244227 Dortmundhttp://www-jj.cs.uni-dortmund.de/secse

Robin Schragerobin.schrage@tu-dortmund.deMatrikelnummer: 124764Studiengang: Bachelor Angewandte InformatikPrüfungsordnung: BPO AngInf vom 27.06.2013

Proseminar”Werkzeugunterstützung für sichere Software“

Thema: Bedrohungen und Sicherheitsaspekte von Cloud Computing Infrastruktu-ren: Ein Überblick

Eingereicht: 5. Februar 2015

Betreuer: Shayan Ahmadian

Prof. Dr. Jan Jürjens Lehrstuhl 14 Software EngineeringFakultät InformatikTechnische Universität DortmundOtto-Hahn-Straße 1244227 Dortmund

i

ii

Ehrenwörtliche Erklärung

Ich erkläre hiermit ehrenwörtlich, dass ich die vorliegende Arbeit selbstständig ange-fertigt habe; die aus fremden Quellen direkt oder indirekt übernommenen Gedankensind als solche kenntlich gemacht.

Die Arbeit wurde bisher keiner anderen Prüfungsbehörde vorgelegt und auch nochnicht veröffentlicht.

Dortmund, den 5. Februar 2015

Robin Schrage

INHALTSVERZEICHNIS iii

Inhaltsverzeichnis

1 Einleitung 11.1 Ziele und Nutzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Aufbau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2

2 Grundlagen 32.1 Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

2.1.1 Charakteristika . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1.2 Servicemodelle . . . . . . . . . . . . . . . . . . . . . . . . . . 42.1.3 Liefermodelle . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

2.2 Informationssicherheit . . . . . . . . . . . . . . . . . . . . . . . . . . 5

3 Schwachstellen und Bedrohungen 73.1 Schwachstellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

3.1.1 Organisatorische Schwachstellen . . . . . . . . . . . . . . . . . 73.1.2 Technische Schwachstellen . . . . . . . . . . . . . . . . . . . . 8

3.2 Bedrohungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.2.1 Dateneinbruch . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.2.2 Datenverlust . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103.2.3 Konto-/Dienstübernahme . . . . . . . . . . . . . . . . . . . . 103.2.4 Unsichere Schnittstellen . . . . . . . . . . . . . . . . . . . . . 113.2.5 Dienstverhinderung . . . . . . . . . . . . . . . . . . . . . . . . 113.2.6 Böswillige Insider . . . . . . . . . . . . . . . . . . . . . . . . . 113.2.7 Missbrauch . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.2.8 Unzureichende Sensibilisierung . . . . . . . . . . . . . . . . . . 113.2.9 Technologische Bedrohungen . . . . . . . . . . . . . . . . . . . 12

4 Sicherheitskontrollen und -maßnahmen 134.1 Schwachstellenanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . 134.2 Werkzeuge und Projekte . . . . . . . . . . . . . . . . . . . . . . . . . 14

5 Fazit und Ausblick 16

Literaturverzeichnis 17

iv INHALTSVERZEICHNIS

KAPITEL 1. EINLEITUNG 1

1 Einleitung

Cloud Computing erfreut sich seit einigen Jahren zunehmender Beliebtheit. Die Kos-ten für den Betrieb eigener IT-Infrastruktur mit ausreichend hoher Kapazität, umselbst bei Spitzenlast einen einwandfreien Betrieb der Dienste zu gewährleisten, sindmeist höher als die Auslagerung in Cloud Computing Systeme. [SR09, S. 4]

Angetrieben von der Aussicht auf geringere Kosten, höhere Effizienz und verbes-serte Sicherheit setzen Unternehmen daher zunehmend auf die Nutzung der Cloud[CSA13, S. 19]. Die technischen Vorteile von Cloud Infrastrukturen liegen in derVirtualisierung von Ressourcen und der dynamischen Skalierbarkeit. PhysikalischeRessourcen werden virtuell geteilt und können so von mehreren Diensten flexibelgenutzt werden. Bei Bedarf können einem Dienst automatisch Ressourcen zugeteiltwerden, sodass die Kapazitäten effizient eingesetzt werden können. [BKNT11, S. 2]

Mit der Nutzung der Cloud ergeben sich jedoch auch neue Risiken, sowohl für denAnbieter als auch für den Anwender von Cloud Diensten. Die Risiken sind dabei sovielfältig wie die Dienste selbst und können beim Eintritt konkreter Bedrohungssi-tuationen ebenso vielfältige Folgen haben, beispielsweise eine vorübergehende Uner-reichbarkeit des Dienstes oder gar den Diebstahl und vollständigen Verlust der vomDienst verwalteten Daten. [BSI14]

1.1 Ziele und Nutzen

Ziel dieser Arbeit ist, einen Überblick über Cloud Infrastrukturen samt ihrer Eigen-schaften, Erscheinungsformen und Risiken zu geben. Der Fokus liegt dabei auf derDarlegung sicherheitskritischer Schwachstellen und Bedrohungen. Darüber hinauswerden Methoden sowie aktuelle Projekte und Werkzeuge vorgestellt, welche dabeihelfen, die Sicherheit von Cloud Systemen zu untersuchen und zu verbessern. Ins-gesamt soll damit ein kompakter Einstieg in die Thematik und ein Anreiz für eineintensivere Auseinandersetzung mit dieser gegeben werden.

Zur Vertiefung der Thematik sei an dieser Stelle auf die Fachliteratur und die zahl-reichen Publikationen von der Cloud Security Alliance (CSA) sowie vomBundesamt für Sicherheit in der Informationstechnik (BSI) verwiesen,die sich insbesondere mit Fragestellungen hinsichtlich der Sicherheit von Cloud Com-puting befassen.

2 1.2. AUFBAU

1.2 Aufbau

Grundvoraussetzung für das Verständnis der Risiken von Cloud Computing Infra-strukturen ist die Kenntnis der Eigenschaften und Erscheinungsformen solcher Syste-me. Diese ermöglicht, die Zusammenhänge zwischen den Charakteristika und Risikennachvollziehen und Schwachstellen aufdecken zu können. Daher werden in Kapitel 2zunächst die Grundlagen von Cloud Computing Infrastrukturen erörtert.

Darauf aufbauend stellt Kapitel 3 die sich ergebenden Schwachstellen anhand vonBeispielen vor und erläutert die wichtigsten Bedrohungen, welche durch Ausnutzungder Schwachstellen zu Schäden an Cloud Diensten führen können.

Um Cloud Computing Infrastrukturen gegen solche Bedrohungen zu wappnen, exis-tieren verschiedene Formen von Sicherheitskontrollen und -mechanismen, von deneneinige in Kapitel 4 vorgestellt werden. So gibt es verschiedene Möglichkeiten, sicher-heitskritische Schwachstellen aufzudecken, beispielsweise die Topologische Schwach-stellenanalyse, um diese anschließend mit geeigneten Maßnahmen schließen zu kön-nen.

Abschließend werden die Betrachtungen in Kapitel 5 grob zusammengefasst und eswird ein kurzes Fazit gezogen.

KAPITEL 2. GRUNDLAGEN 3

2 Grundlagen

Als Einstieg in das Thema wird zunächst der Begriff Cloud Computing nach [MG11]definiert und charakterisiert. Um die wichtigsten Bedrohungen für Cloud Computingim Detail beschreiben und mit Beispielen verdeutlichen zu können, werden weiterhintypische Prinzipien der Informationssicherheit vorgestellt.

2.1 Cloud Computing

Das National Institute of Standards and Technology (NIST) definiertden Begriff Cloud Computing wie folgt:

”Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit

und überall bequem über ein Netz auf einen geteilten Pool von kon-figurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme,Anwendungen und Dienste) zuzugreifen, die schnell und mit minima-lem Managementaufwand oder geringer Serviceprovider-Interaktion zurVerfügung gestellt werden können.“1

Der Begriff Cloud (dt. Wolke) rührt daher, dass der Standort sowie die tatsächlicheBeschaffenheit der Ressourcen dem Anwender nicht bekannt, sondern wie hinter ei-ner Wolke verborgen sind.

Zur weiteren Definition von Cloud Computing führt die NIST-Definition Charakte-ristika, Service- und Liefermodelle von Cloud Computing auf, zu denen im weiterenVerlauf dieser Arbeit grundsätzliche Risiken sowie konkrete Schwachstellen und Be-drohungen vorgestellt werden.

2.1.1 Charakteristika

Cloud Computing lässt sicht nach der NIST-Definition [MG11] durch folgende Ei-genschaften charakterisieren.

On-demand self-service Bei Bedarf können Anwender eines Cloud-Dienstes des-sen Ressourcen (z.B. Speicher, Bandbreite) eigenständig reservieren und nut-zen, ohne mit dem Anbieter in persönlichen Kontakt treten zu müssen.

Broad network access Auf die angebotenen Dienste lässt sich auf gängige Weisezugreifen (z.B. mittels PCs oder mobilen Geräten).

1Übersetzung nach [BSIa]

4 2.1. CLOUD COMPUTING

Resource pooling Die Anwender greifen auf einen gemeinsamen Pool von Res-sourcen zu, wobei diese dynamisch und abhängig vom Bedarf des jeweiligenAnwenders verteilt werden. In der Regel haben die Anwender dabei nur be-grenzt Kenntnis über den Standort der Ressourcen (z.B. Land oder Datenzen-trum).

Rapid elasticity Ressourcen können elastisch, zügig und automatisch verteilt undzugewiesen werden. Für den Anwender erscheinen die Ressourcen unbegrenztund jederzeit verfügbar.

Measured service Die Dienste messen und überwachen automatisch die Nutzungihrer Ressourcen, um diese verteilen und um für den Anbieter als auch denAnwender transparente Nutzungsinformationen bereitstellen zu können.

2.1.2 Servicemodelle

Auf Cloud Computing basierende Dienste treten in drei unterschiedlichen Erschei-nungsformen auf, die sich nach [MG11] wie folgt beschreiben lassen.

Software as a Service (SaaS) Bei dem angebotenen Dienst handelt es sich umeine Anwendung, auf die beispielsweise über einen Browser zugegriffen werdenkann. Die dem Dienst zugrunde liegende Infrastruktur (Netzwerk, Server, Spei-cher etc.) ist vom Anwender nicht steuerbar, lediglich Anwender-spezifischeEinstellungen sind eingeschränkt möglich.

Platform as a Service (PaaS) Bei dem angebotenen Dienst handelt es sich umdie Bereitstellung von Cloud-Infrastruktur, welche Anwender nutzen können,um unter Verwendung gegebener Hilfsmittel (z.B. Programmiersprachen, Bi-bliotheken etc.) beliebige Anwendungen zu installieren. Die Infrastruktur istvom Anwender nicht steuerbar, die von ihm installierten Anwendungen lassensich hingegen beliebig konfigurieren.

Infrastructure as a Service (IaaS) Bei dem angebotenen Dienst handelt es sichum Infrastruktur (bestehend aus Rechenleistung, Speicher, Netzwerk etc.),welche Anwender nutzen können, um beliebige Anwendungen jeglicher Art(auch Betriebssysteme) zu installieren. Die Infrastruktur ist vom Anwendernicht steuerbar, jedoch eingeschränkt konfigurierbar (z.B. Netzwerk-Firewall).Die installierten Anwendungen lassen sich frei konfigurieren.

2.1.3 Liefermodelle

Cloud Computing Infrastrukturen lassen sich auf unterschiedliche Weisen verwirkli-chen. Daraus ergeben sich nach [MG11] die folgenden sogenannten Liefermodelle.

Private cloud Die Infrastruktur wird für eine bestimmte Organisation bereitge-stellt. Die Administration kann durch das Unternehmen selbst, eine drittePartei oder eine Kombination aus diesen erfolgen.

KAPITEL 2. GRUNDLAGEN 5

Community cloud Die Infrastruktur wird für einen bestimmten Anwenderkreis,dessen Mitglieder mehreren Organisationen entstammen und gemeinsame In-teressen verfolgen, bereitgestellt. Die Administration kann durch ein oder meh-rere Unternehmen, eine dritte Partei oder eine Kombination aus diesen erfol-gen.

Public cloud Die Infrastruktur wird öffentlich bereitgestellt. Die Administrationkann durch Unternehmen, akademische Organisationen, Regierungsorganisati-on oder eine Kombination aus diesen erfolgen.

Hybrid cloud Die Infrastruktur stellt eine Zusammensetzung aus Infrastrukturender vorherigen Liefermodelle dar, welche weiterhin als eigene Einheiten exis-tieren, jedoch derart miteinander verbunden sind, dass sich Daten und An-wendungen zwischen den Einheiten portieren lassen (z.B. zum Lastausgleichzwischen den Infrastrukturen).

2.2 Informationssicherheit

Sicherheitsanforderungen an IT-Systeme und damit auch an Cloud Computing In-frastrukturen werden häufig als sogenannte Schutzziele definiert. Diese legen für be-stimmte Situationen Bedingungen fest, die erfüllt werden müssen, um das Schutzzielzu erreichen und damit den im Sinne der Anforderungen sicheren Zustand zu gewähr-leisten. Die wichtigsten dieser Schutzziele im Zusammenhang mit Cloud Computingwerden im Folgenden erläutert. [SR09, S. 20]

Vertraulichkeit (engl. confidentiality) Durch das Einführen von Berechtigun-gen und Kontrollen in Kombinationen mit kryptographischen Methoden mussgewährleistet werden, dass der Zugriff auf vertrauliche Daten nur durch auto-risierte Akteure erfolgen kann. [SR09, S. 20]

Integrität (engl. integrity) Es muss sichergestellt sein, dass zu schützende Da-ten nicht ohne Autorisierung verändert werden können und dass eine solcheManipulation nicht unbemerkt geschehen kann. [SR09, S. 21f]

Verfügbarkeit (engl. availability) Das System muss gemäß der angebotenen Diens-te bzw. der abgeschlossenen Verträge mit seinen Akteuren zeitlich verfügbarsein. Eine Beeinträchtigung durch unautorisierte Handlungen oder Angriffevon außen darf nicht möglich sein. [SR09, S. 23]

Verbindlichkeit (engl. non repudiation) Jegliche Handlungen innerhalb des Sys-tems müssen stets Akteuren desselben zugeordnet werden können. Dieses Schutz-ziel wird häufig auch Zurechenbarkeit (engl. accountability) genannt. [Bed13,S. 182]

Authentizität (engl. authenticity) Akteure eines Systems müssen eindeutig iden-tifizierbar sein und deren Identitäten dürfen nicht missbraucht werden können.Es muss ausgeschlossen sein, dass Informationen und Daten, die zwischen Be-nutzern ausgetauscht werden, durch Dritte manipulierbar sind. [SR09, S. 24]

6 2.2. INFORMATIONSSICHERHEIT

Privatsphäre (engl. privacy) Ein System sollte nur solche Informationen von sei-nen Akteuren speichern, welche nötig sind, um die Funktionen der angebotenenDienste zu erfüllen. Weiterhin muss sichergestellt sein, dass auf diese nur durchautorisierte Akteure zugegriffen werden kann. [SR09, S. 25f]

KAPITEL 3. SCHWACHSTELLEN UND BEDROHUNGEN 7

3 Schwachstellen und Bedrohungen

In diesem Kapitel werden Schwachstellen und Bedrohungen von Cloud ComputingInfrastrukturen erörtert, welche die in Kapitel 2 vorgestellten Prinzipien der Infor-mationssicherheit gefährden. Die laut der CSA signifikantesten Bedrohungen wer-den daraufhin vorgestellt und beschrieben, um einen Überblick über die Risiken vonCloud Computing Infrastrukturen zu geben.

3.1 Schwachstellen

Eine Schwachstelle (engl. vulnerability) ist laut BSI ein

”sicherheitsrelevanter Fehler eines IT-Systems oder einer Institution. Ur-

sachen können in der Konzeption, den verwendeten Algorithmen, derImplementation, der Konfiguration, dem Betrieb sowie der Organisationliegen.“ [BSIb]

Das BSI hat eine Vielzahl von organisatorischen und technischen Schwachstellenidentifiziert, welche unterschiedliche Bedrohungen ermöglichen. Teilweise lassen sichdiese Schwachstellen auch auf die Charakteristika von Cloud Computing Infrastruk-turen zurückführen. Im Folgenden werden einige exemplarisch nach [BSI14] vor-gestellt, um aufzuzeigen, wie unterschiedlich und vielschichtig oder gar trivial dieGründe für das Zustandekommen von Bedrohungssituationen sein können.

3.1.1 Organisatorische Schwachstellen

Als organisatorische Schwachstellen lassen sich jegliche nicht oder unzureichenddurchgeführte organisatorische Handlungen ausmachen, welche den unautorisiertenZugriff auf zu schützende Daten, deren Verlust oder andere negative Auswirkungenauf die Infrastruktur oder den Dienst verhindern sollen.

So können nicht ausreichend durchgeführte Schulungsmaßnahmen von Personal da-zu führen, dass der Dienst fehlerhaft konfiguriert wird und somit Sicherheitslückenaufweist, welche sich schlimmstenfalls auf jegliche Schutzziele negativ auswirken kön-nen.Eine, ebenfalls aus mangelhaften Fachkenntnissen resultierende, Fehlplanung derRessourcen kann in Kombination mit den Eigenschaften on-demand self-service undrapid elasticity die Gefahr bergen, dass die Kapazitäten zeitweise erschöpft sind. DerDienst steht dann nicht oder nur eingeschränkt zur Verfügung, sodass das Schutzzielder Verfügbarkeit gefährdet wird. [BSI14, S. 10]

8 3.1. SCHWACHSTELLEN

Sicherheitsrichtlinien, welche einen Rahmen zur Erfüllung von Sicherheitsanforde-rungen vorgeben, können – sofern detailliert ausgearbeitet und umgesetzt – dazubeitragen, Sicherheitslücken zu vermeiden und so beispielsweise das Risiko von Miss-brauch oder Diebstahl von Daten reduzieren. Kombiniert mit Zutrittskontrollen zuServerräumen und regelmäßigen Sicherheitsüberprüfungen lässt sich vor allem derBedrohung vorbeugen, welche von sogenannten böswilligen Insidern ausgeht, alsoMitarbeitern, deren absichtliche Handlungen negative Folgen für das Unternehmen,im engeren Sinne für den Dienst, haben. [BSI14, S. 10]

Zu organisatorischen Schwachstellen zählen auch unzureichende Vorkehrungen inBezug auf Unfälle (z.B. Brand, Stromausfall) und Naturkatastrophen (z.B. Hoch-wasser). Derartige Ereignisse gefährden bei fehlenden oder unregelmäßig durchge-führten Sicherheitskopien (und einer leichtsinnigen Aufbewahrung dieser) ebenfallsdie Verfügbarkeit und führen ggf. zum partiellen oder gar totalen Verlust der Daten.[BSI14, S. 10]

3.1.2 Technische Schwachstellen

Auf technischer Seite gehen beim Betrieb von Cloud Computing Infrastrukturen vorallem von unzulänglich abgesicherten Kommunikations- sowie Authentifikations- undAutorisierungsmechanismen Risiken aus. Die Eigenschaft broad network access führtdabei dazu, dass Cloud Computing Dienste, insbesondere Public Cloud -Modelle, po-tenziell jeglichen gängigen Angriffsmethoden des Internets ausgesetzt sind. [BSI14,S. 10ff]

Ausdrücklich bei Public Cloud -Diensten sind ebenfalls kryptographische Schwach-stellen von großer Bedeutung, beispielsweise in Form von veralteten Verschlüsse-lungsalgorithmen, leichtsinnigen Passwortregeln oder unsicheren Verbindungen. Nichtnur in Bezug auf die oben genannten Mechanismen, sondern auch bei der Speiche-rung von sensiblen Daten müssen zeitgemäße Verschlüsselungsmethoden implemen-tiert werden, um die Schutzziele Vertraulichkeit, Privatsphäre und im weiteren Sinneauch Integrität und Authentizität einzuhalten.

Ferner ist stets ein redundanter Aufbau zu empfehlen, da angesichts der Eigen-schaften on-demand self-service, rapid elasticity und resource pooling prinzipiell dasRisiko besteht, dass die Ressourcen kurzfristig zur Neige gehen. Eine solche Red-undanz zielt dabei meist auf das Schutzziel der Verfügbarkeit ab. Bei leichtsinnigerImplementierung bzw. Konfiguration kann eine vollständige Ausschöpfung der Res-sourcen jedoch auch sicherheitskritische Folgen haben, beispielsweise die Offenlegungvon Zugangsinformationen in Fehlermeldungen. [BSI14, S. 11f]

Aufgrund der Aktualität und Dynamik in der Entwicklung von Cloud Computingexistiert weiterhin das Problem fehlender ausgereifter Standards. Inkompatibilitätenstellen daher Hürden dar, speziell bei Hybrid clouds, bei welchen unterschiedliche,nicht-standardisierte Systeme miteinander kommunizieren müssen. Exklusive undmaßgeschneiderte Lösungen führen dann häufig zu einem sogenannten lock-in, d.h.einer Abhängigkeit vom bestehenden Infrastruktur-Anbieter, da die Übernahme die-

KAPITEL 3. SCHWACHSTELLEN UND BEDROHUNGEN 9

ser maßgeschneiderten Systeme durch einen anderen Anbieter mit unverhältnismäßighohen Kosten verbunden wäre und daher in der Regel vermieden wird. [BSI14, S. 11]

Um die Infrastruktur und Konfiguration eines Dienstes hinsichtlich der dauerhaf-ten Einhaltung der Schutzziele messen und bewerten zu können, sind regelmäßigeWartungsvorgänge und Schwachstellentests unerlässlich. Letztlich dienen alle dieseVorkehrungen der Abwehr konkreter Bedrohungen, welche die erwähnten Schwach-stellen ausnutzen und erhebliche Schäden anrichten können. [BSI14, S. 12]

3.2 Bedrohungen

Das BSI definiert eine Bedrohung (engl. threat) im Kontext der IT-Sicherheit als

”ein Umstand oder Ereignis, der oder das die Verfügbarkeit, Integrität

oder Vertraulichkeit von Informationen beeinträchtigen kann, wodurchdem Besitzer bzw. Benutzer der Informationen ein Schaden entstehenkann.“ [BSIb]

Eine Bedrohung sorgt letztlich aufgrund einer Schwachstelle für eine Gefährdungund führt damit zu einem konkreten Schaden. [BSIb]

Tabelle 3.1 zeigt die laut CSA signifikantesten Bedrohungen, sortiert nach Relevanzfür das Jahr 2013. Weiterhin ist die Rangfolge des Jahres 2010 aufgelistet, um einengroben Einblick darüber zu erhalten, wie sich die Relevanz der jeweiligen Bedrohungin diesem Zeitraum geändert hat.

Neben der Fachkenntnis der CSA liegen der Rangfolge dabei die Ergebnisse vonUmfragen unter Experten aus der Industrie zu den meist befürchteten Bedrohun-gen zugrunde. Sie lässt daher Rückschlüsse darauf zu, welche Bedrohungen offenbarhäufiger auftreten und welche besser beherrschbar sind als andere. [CSA13, S. 6f]

Rang2013 (2010) Bedrohung

1 4 (5) Dateneinbruch2 4 (5) Datenverlust3 4 (6) Konto-/Dienstübernahme4 5 (2) Unsichere Schnittstellen5 © (-) Dienstverhinderung6 5 (3) Böswillige Insider7 5 (1) Missbrauch8 5 (7) Unzureichende Sensibilisierung9 5 (4) Technologische Bedrohungen

Tabelle 3.1: Rangfolge der Bedrohungen für Cloud Computing Infra-strukturen in den Jahren 2010 und 2013 [CSA13, S. 6f]

10 3.2. BEDROHUNGEN

Die wichtigsten Bedrohungen nach [CSA13] werden im Folgenden in der Reihenfol-ge ihrer Relevanz beschrieben und ihre potentiellen Auswirkungen anhand einigerBeispiele erörtert.1

3.2.1 Dateneinbruch

Die wichtigste Bedrohung ist demnach der Dateneinbruch (engl. data breach). Ver-schaffen sich Unbefugte Zugriff auf sensible Daten, kann dies für den Dienstanbieterschwere Folgen haben, angefangen vom Vertrauensverlust seitens der Kunden bishin zur Gefährdung der Wettbewerbsfähigkeit des Unternehmens. Ein Datenein-bruch gefährdet in erster Linie das Schutzziel Vertraulichkeit, situationsabhängigjedoch im weiteren Sinne auch die Schutzziele Integrität und Authentizität. [BSI14,S. 8] [CSA13, S. 8]

Bedauerlicherweise wirken sich Maßnahmen, um Dateneinbruch zu verhindern, inder Regel auf die zweit wichtigste Bedrohung, den Datenverlust, aus. So kann eineVerschlüsselung der Daten dazu führen, dass diese zwar Unbefugten unzugänglichbleiben, aber bei Verlust des Schlüssels selbst für Befugte nicht mehr einsehbar undsomit verloren sind. Andererseits können Sicherheitskopien dazu beitragen, vollstän-digen Datenverlust zu verhindern. Diese bieten jedoch weitere Angriffsmöglichkeitenund verringern somit den Schutz vor Dateneinbruch. [CSA13, S. 8]

3.2.2 Datenverlust

Datenverlust (engl. data loss) bedroht überwiegend die Verfügbarkeit des Dienstesund kann unterschiedliche Ursachen haben. Dazu zählen beispielsweise die beab-sichtigte Löschung durch Angreifer, die unbeabsichtigte Löschung durch den Dienst-bzw. Infrastruktur-Anbieter, der Verlust von Entschlüsselungsinformationen odergar Naturkatastrophen. [BSI14, S. 8] [CSA13, S. 9]

Die bereits beschriebene gegensätzliche Wirkung von Dateneinbruch bzw. -verlustvorbeugenden Maßnahmen kann auch auf rechtliche Vorgaben bezogen werden. Sosind Unternehmen häufig dazu verpflichtet, Dokumentationen über die Einhaltunggesetzlicher Vorgaben (z.B. Audits) zu führen. Gehen derartige Dokumente verloren,hat dies ggf. rechtliche Konsequenzen. [CSA13, S. 9]

3.2.3 Konto-/Dienstübernahme

Die Übernahme eines Kontos oder des Datenverkehrs eines Dienstes (engl. account/service traffic hijacking) stellt stets eine große Bedrohung dar. Erhält ein Angreifer,beispielsweise aufgrund unsicherer Zugangsdaten, Zugriff auf – gegebenenfalls sogaradministrative – Benutzerkonten, so ermöglicht dies neben der Ausspähung sensiblerDaten auch deren Löschung oder Manipulation, sodass u.U. zahlreiche Benutzerauf unsichere Seiten umgeleitet werden können. Prinzipiell werden dadurch jegliche

1Übersetzung der Bedrohungen nach [BSI14]

KAPITEL 3. SCHWACHSTELLEN UND BEDROHUNGEN 11

Schutzziele gefährdet, im Einzelnen ist dies von der konkreten Bedrohungssituationabhängig. [BSI14, S. 8] [CSA13, S. 10]

3.2.4 Unsichere Schnittstellen

In Cloud Computing Infrastrukturen stehen häufig Schnittstellen zur Verfügung,die es den Anwendern ermöglichen, auf Daten der Cloud mit anderen Anwendungenvon Außen zuzugreifen. Sind diese Schnittstellen unzureichend abgesichert, könnenAngreifer unbefugten Einblick in sensible Daten erhalten und die Kommunikationzwischen Diensten und Anwendungen gegebenenfalls manipulieren, sodass die Inte-grität derselben nicht mehr gegeben ist. [BSI14, S. 8f] [CSA13, S. 12]

3.2.5 Dienstverhinderung

Bei einem sogenannten denial-of-service-Angriff (DoS) ist das betroffene System ge-zwungen, eine übermäßig hohe Anzahl von Ressourcenzugriffen (z.B. Rechenleistungoder Speicher) zu verarbeiten, welche zur Verlangsamung der Kommunikation odergar zu einer zeitweisen Unerreichbarkeit, also einer Einschränkung der Verfügbarkeit,und damit zu Verärgerung seitens der Benutzer führen. [BSI14, S. 9] [CSA13, S. 14]

3.2.6 Böswillige Insider

Nicht selten stellen (ehemalige) Mitarbeiter oder Geschäftspartner eine Bedrohungfür die eigenen Systeme dar. Wurden Zugriffsmöglichkeiten ungenügend eingeschränktoder leichtfertig verteilt, haben böswillige Insider (engl. malicious insiders) leichtesSpiel, sensible Daten einzusehen, zu stehlen oder zu manipulieren, wodurch jeglicheSchutzziele ausgehebelt werden können. [BSI14, S. 9] [CSA13, S. 16]

3.2.7 Missbrauch

Als Missbrauch von Cloud Computing Diensten (engl. abuse of cloud services) be-zeichnet man die Nutzung dieser mit böswilligen Absichten. So bieten Cloud Com-puting Infrastrukturen Angreifern günstigen Zugriff auf beträchtliche Ressourcen,beispielsweise zur Ausführung von DoS-Attacken oder zur Entschlüsselung von Pass-wörtern. Im weiteren Sinne sind auch bei dieser Bedrohungsart jegliche vorgestell-ten Schutzziele gefährdet, vorrangig jedoch die Vertraulichkeit und Authentizität.[BSI14, S. 9] [CSA13, S. 18]

Aus dieser Bedrohung ergeben sich einige Probleme für Cloud Anbieter. So stelltsich z.B. die Frage, wie man den Missbrauch der Infrastruktur feststellen kann, d.h.wie man eine böswillige Nutzung von einer gutartigen unterscheidet. [CSA13, S. 18]

3.2.8 Unzureichende Sensibilisierung

Angetrieben vom - meist positiv behafteten - Wirbel um Cloud Computing und derbreiten öffentlichen Akzeptanz, erwägen immer mehr Unternehmen den Wechsel voneigenen Servern hin zur Nutzung etablierter Cloud Infrastrukturen. Die Versprechenvon geringeren Kosten sowie höherer Effizienz und Sicherheit können dazu führen,

12 3.2. BEDROHUNGEN

die mit dem Wechsel zur Cloud verbundenen Verantwortungen und Probleme nichtausreichend zu analysieren und die eigenen Kompetenzen hinsichtlich der Einrich-tung und des Betriebs von Cloud Computing Diensten ungenügend zu reflektieren.Die Risiken die sich aus unzureichender Sensibilisierung ergeben sind nach einemUmstieg auf Cloud Computing meist größer als die zuvor herrschenden. So kanneine unterschätze Verantwortung bezüglich der Verschlüsselung und Überwachungvon Cloud Ressourcen, jeglichen Bedrohungen Einlass gewähren und somit indirektalle Schutzziele gefährden. [CSA13, S. 19]

3.2.9 Technologische Bedrohungen

Cloud Infrastrukturen werden naturgemäß von mehreren Anwendern genutzt, wobeidie Ressourcen geteilt und je nach Bedarf verteilt werden. Diese gemeinsame Nut-zung stellt auch in technologischer Hinsicht eine Bedrohung dar, da die technischenBausteine von ihrer Beschaffenheit her nur wenige Möglichkeiten zur getrenntenVerarbeitung der Daten unterschiedlicher Quellen bereitstellen.Liegt in einer solchen Komponente oder einer unterstützenden Anwendung eineSchwachstelle vor, kann diese bei Unkenntnis oder fehlerhafter Konfiguration nichtnur einzelne Dienste sondern die vollständige zugrunde liegende Infrastruktur ein-schließlich aller Dienste in vielfältiger Weise gefährden. [CSA13, S. 21]

KAPITEL 4. SICHERHEITSKONTROLLEN UND -MASSNAHMEN 13

4 Sicherheitskontrollen und -maßnahmen

Der Umgang mit Risiken folgt im Allgemeinen den folgenden vier Stufen des Risi-komanagements, welche zyklisch durchlaufen werden, um stets auf Veränderungender Bedrohungslage reagieren zu können. [Ebe13, S. 19ff]

1. Risiken erkennen Mittels geeigneter Methoden werden Risiken systematischidentifiziert, beispielsweise mit Checklisten oder Werkzeugen. [Ebe13, S. 27]

2. Risiken bewerten Die identifizieren Risiken werden quantifiziert und ihre Ein-trittswahrscheinlichkeiten geschätzt, gegebenenfalls unter Zuhilfenahme vonDaten aus der Vergangenheit. [Ebe13, S. 49]

3. Risiken abschwächen Zur Abschwächung von Risiken lassen sich diese vermei-den, begrenzen oder behandeln. Auch das Ignorieren fällt unter diesen Punkt.[Ebe13, S. 49]

4. Risiken kontrollieren Abhängig von der gewählten Methode zur Abschwä-chung der Risiken, muss diese Vorgehensweise stets kontrolliert werden, sodassbei Änderungen der Bedrohungssituation eine zügige Reaktion, gegebenenfallsunter Neubewertung, eingeleitet werden kann. [Ebe13, S. 103]

Zur Erkennung, Bewertung, Abschwächung und Kontrolle von Schwachstellen bzw.Bedrohungen lassen sich diverse Maßnahmen treffen. Weiterhin existieren diverseWerkzeuge, welche von Anbietern bzw. Anwendern von Cloud Computing Syste-men eingesetzt werden können, um Risiken zu behandeln. In diesem Kapitel werdenderartige Methoden und Beispiele ausgewählter Software-Werkzeuge sowie aktuelleProjekte im Bereich der Cloud Sicherheit vorgestellt.

4.1 Schwachstellenanalyse

Zur Aufdeckung von Schwachstellen lassen sich sog. vulnerability scanner einsetzen.Diese sind in der Lage, mittels Datenbanken unsichere Systemzustände (z.B. Einsatzriskanter Software, fehlende Updates, fehlerhafte Konfiguration) zu erkennen.

Ferner kann ein detaillierter Sicherheitsplan in Kombination mit Checklisten ver-hindern, dass Einfallstore für Angreifer geöffnet bleiben. Diesbezüglich ist stets dieEntwicklung von Angriffsszenarien und -technologien zu beobachten, sodass regelmä-ßig Anpassungen an die aktuelle Bedrohungssituation vorgenommen werden können.

14 4.2. WERKZEUGE UND PROJEKTE

Eine weiterentwickelte Technik stellt die Topologische Schwachstellenanalyse (engl.topological vulnerability analysis) (TVA) dar. Diese kombiniert die erkannten Schwach-stellen mit möglichen Bedrohungen, um einen umfassenden Bericht über Angriffs-möglichkeiten zu erstellen und zu visualisieren. Dabei werden ausführliche Wegeaufgezeigt, wie Angreifer in das System eindringen können. Werkzeuge, die nachdiesem Verfahren arbeiten, ermöglichen darauf aufbauend die Simulation solcherAngriffe, sodass die Reaktion des Systems getestet werden kann. [NEJ+09]

Wurden Schwachstellen erkannt, so gilt es, Sicherheitsmaßnahmen zu ergreifen. Meistist es schwierig, Schwachstellen gänzlich zu beseitigen, sodass stets der Aufwand zurReduzierung der möglichen Auswirkungen in Verhältnis zur tatsächlichen Erhöhungdes Sicherheitsniveaus gesetzt und abgewogen werden muss.

Die Sicherheitsmaßnahmen sind dabei so vielfältig wie die Schwachstellen und Be-drohungen selbst. Einige wurden bereits in 3.1 bzw. 3.2 im Zusammenhang mit derErörterung der Schwachstellen bzw. Bedrohungen erwähnt. Um den Rahmen dieserArbeit nicht zu sprengen, wird daher auf eine detaillierte Betrachtung solcher Maß-nahmen an dieser Stelle verzichtet.

4.2 Werkzeuge und Projekte

Nachfolgend seien dem Leser einige Werkzeuge empfohlen, um Schwachstellen vonCloud Computing Diensten zu identifizieren und analysieren. Auf eine nähere Be-trachtung dieser Werkzeuge wird verzichtet, da dies den vorgegebenen Umfang dieserArbeit deutlich übersteigen würde. Zur tieferen Betrachtung der vielfältigen Sicher-heitsmaßnahmen zur Reaktion auf die vorgestellten Bedrohungen sei an dieser Stelleauf die Fachliteratur verwiesen.

Auch als Ausgangspunkt für die Suche nach weiteren Hilfsmitteln, werden zusätz-lich einige aktuelle Projekte im Bereich der Entwicklung von Sicherheitswerkzeugenaufgeführt. Das es sich zum Zeitpunkt des Verfassens dieser Arbeit um sehr aktuelleProjekte handelt, können hier zu deren Zweckmäßigkeit und genauen Anwendungkeine Aussagen getroffen werden.

Nessus Vulnerability scanner, weitverbreitet, http://www.nessus.org

OpenVAS Vulnerability scanner, freie Software, empfohlen vom BSI, http://www.openvas.org

National Vulnerability Database Schwachstellen-Datenbank, betrieben vomNIST, http://nvd.nist.gov

Open Sourced Vulnerability Database Schwachstellen-Datenbank, Open Sour-ce, http://osvdb.org

http://www.nessus.orghttp://www.openvas.orghttp://www.openvas.orghttp://nvd.nist.govhttp://osvdb.org

KAPITEL 4. SICHERHEITSKONTROLLEN UND -MASSNAHMEN 15

ClouDAT Aktuelles Projekt zur Entwicklung eines Open-Source-Werkzeugs zurDokumentation und Prüfung von Sicherheitsanforderungen und Sicherheits-maßnahmen in Cloud-Computing-Services, u.a. entwickelt von der Univer-sität Duisburg-Essen und der Technischen Universität Dortmund,http://ti.uni-due.de/ti/clouddat/de/

PREsTiGE Aktuelles Projekt zur Entwicklung von Privacy-erhaltenden Metho-den und Werkzeugen für cloud-basierte Geschäftsprozesse und zur Erarbeitungvon Zertifizierungsmethoden, u.a. entwickelt von der Universität Leipzig,http://www.wifa.uni-leipzig.de/iwi/im/forschung/projekte.html

VeriMetrix Aktuelles Projekt zur Entwicklung neuer Ansätze und Werkzeuge zurModellierung und Quantifizierung von Datenschutzanforderungen in Cloud-Umgebungen, u.a. entwickelt vom Fraunhofer-Institut für Sichere In-formationstechnologie (SIT), http://verimetrix.de

http://ti.uni-due.de/ti/clouddat/de/http://www.wifa.uni-leipzig.de/iwi/im/forschung/projekte.htmlhttp://verimetrix.de

16

5 Fazit und Ausblick

Die vorliegende Ausarbeitung stellt, basierend auf der Definition und den Eigenschaf-ten von Cloud Computing Infrastrukturen, deren Schwachstellen und Bedrohungenkompakt vor und nennt ausgewählte Methoden und Werkzeuge zur Analyse vonSicherheitsaspekten von Cloud Diensten.Die Vorgaben zur Erstellung dieser Ausarbeitung ließen dabei nur geringen Spiel-raum hinsichtlich der Detailtiefe der darzustellenden Inhalte. Diese wurden daherprägnant erläutert und mit Beispielen unterlegt, um als Leser selbstständig weiter-führende Gedankengänge entwickeln zu können. Ferner wurden Hinweise auf weiter-führende Literatur und aktuelle Entwicklungen aufgeführt, sodass Ausgangspunktefür eine Vertiefung der Thematik vorliegen.

Zusammenfassend kann festgestellt werden, dass Cloud Computing eine Vielzahlvon Risiken mit sich bringt, der Einsatz von Cloud Infrastrukturen somit stets miteiner erhöhten Sensibilisierung für die Technologie und die damit verbundenen Be-drohungen einhergehen muss. Daher ist bei der Bereitstellung und Nutzung vonCloud Infrastrukturen stets auf die Einrichtung von Sicherheitskontrollen und aufeine kontinuierliche Analyse der Bedrohungssituation zu achten.Dem Anwender bleibt die genaue Beschaffenheit der Cloud Infrastruktur jedochmeist verborgen, sodass zum Anbieter ein gewisses Vertrauen herrschen muss. Um-gekehrt kann ein Anbieter nur schwer erkennen, ob die Nutzung seiner Infrastrukturfür bösartige Zwecke missbraucht wird. Die Erfüllung gängiger Schutzziele sollte da-her fortwährend angestrebt und regelmäßig überprüft werden.

Aufgrund der Dynamik der Thematik gibt es bisher kaum einheitliche Methodenund Vorgehensweisen zur Einhaltung und Umsetzung von Schutzzielen, vielmehretablieren sich schrittweise best practices. In Zukunft ist mit der Entwicklung vonStandards zu rechnen. Inwiefern diese jedoch angenommen und breite Anwendungfinden werden, ist aufgrund der Schnelllebigkeit von IT-Systemen und der Interes-senunterschiede der Unternehmen kaum abschätzbar.

LITERATURVERZEICHNIS 17

Literaturverzeichnis

[Bed13] M. Bedner. Cloud Computing: Technik, Sicherheit und rechtliche Gestal-tung. kassel university press GmbH, Kassel, 2013.

[BKNT11] C. Baun, M. Kunze, J. Nimis, and S. Tai. Cloud Computing: Web-basiertedynamische IT-Services. Springer, Heidelberg, 2011.

[BSIa] Bundesamt für Sicherheit in der Informationstechnik BSI. CloudComputing Grundlagen. https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.html. Zugriff am12.12.2014.

[BSIb] Bundesamt für Sicherheit in der Informationstechnik BSI. Glossarund Begriffsdefinitionen. https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_

node.html. Zugriff am 12.12.2014.

[BSI14] Bundesamt für Sicherheit in der Informationstechnik BSI. SaaSSicherheitsprofil für ein CRM System. https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsprofile/SaaS/SP_

Teil_2.pdf?__blob=publicationFile, 2014.

[CSA13] Cloud Security Alliance CSA. The Notorious Nine: Cloud ComputingTop Threats in 2013. https://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_

Computing_Top_Threats_in_2013.pdf, 2013.

[Ebe13] C. Ebert. Risikomanagement kompakt: Risiken und Unsicherheiten be-werten und beherrschen. Springer Vieweg, Heidelberg, 2013.

[MG11] P. Mell and T. Grance. The NIST Definition of Cloud Computing. Na-tional Institute of Standards and Technology, 2011.

[NEJ+09] S. Noel, M. Elder, S. Jajodia, P. Kalapa, S. O’Hare, and K. Prole. Ad-vances in topological vulnerability analysis. In Proceedings of the 2009Cybersecurity Applications & Technology Conference for Homeland Se-curity, CATCH ’09, pages 124 – 129, Washington, DC, 2009. IEEE Com-puter Society.

[SR09] W. Streitberger and A. Ruppel. Cloud Computing Sicherheit: Schutzzie-le. Taxonomie. Marktübersicht. Fraunhofer Research Institution AISEC,2009.

https://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.htmlhttps://www.bsi.bund.de/DE/Themen/CloudComputing/Grundlagen/Grundlagen_node.htmlhttps://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.htmlhttps://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.htmlhttps://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Glossar/glossar_node.htmlhttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsprofile/SaaS/SP_Teil_2.pdf?__blob=publicationFilehttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsprofile/SaaS/SP_Teil_2.pdf?__blob=publicationFilehttps://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Sicherheitsprofile/SaaS/SP_Teil_2.pdf?__blob=publicationFilehttps://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdfhttps://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdfhttps://downloads.cloudsecurityalliance.org/initiatives/top_threats/The_Notorious_Nine_Cloud_Computing_Top_Threats_in_2013.pdf

EinleitungZiele und NutzenAufbau

GrundlagenCloud ComputingCharakteristikaServicemodelleLiefermodelle

Informationssicherheit

Schwachstellen und BedrohungenSchwachstellenOrganisatorische SchwachstellenTechnische Schwachstellen

BedrohungenDateneinbruchDatenverlustKonto-/DienstübernahmeUnsichere SchnittstellenDienstverhinderungBöswillige InsiderMissbrauchUnzureichende SensibilisierungTechnologische Bedrohungen

Sicherheitskontrollen und -maßnahmenSchwachstellenanalyseWerkzeuge und Projekte

Fazit und AusblickLiteraturverzeichnis