Inhaltsübersicht

• Cloud-Dienste werden sich nicht aufhalten lassen
• Ein drastisches Beispiel für die Cloud-Risiken: Der Amazon-, Apple-, Gmail-, Twitter-Hack
• Wie schützen sich private Nutzer und Firmen am besten bei der Nutzung von Cloud-Diensten?
• Die wichtigsten Bedrohungen bei Cloud-Nutzung in Unternehmen (und bei privater Nutzung auch)
• Die Emails vom CIA-Chef Petraeus
• Weiterführendes - Cloud-Dienste als mittelalterliches Feudalsystem

 

Wie schützt man sich bei der Nutzung von Cloud-Diensten?

Autor Philipp Schaumann - Stand Jan. 2020

Cloud-Dienste werden sich nicht aufhalten lassen

Wenn ich mir vorstelle, wie die IT in 30 Jahren organisiert sein wird, so sehe ich fast nur noch Cloud Services. Es wird einige 100 große Firmen geben (darunter Google, Amazon, Microsoft, IBM), die sehr sehr große Rechenzentren betreiben (hier ein heutiges Beispiel von Google, sehr schön fotografiert). Diese Rechenzentren werden hoch-optimiert sein. Google erreicht bereits heute eine sehr viel höhere Energieeffizienz als die meisten anderen Rechenzentren und kann damit Lösungen wie Google Docs oder Gmail günstig oder kostenlos anbieten (die Energiekosten sind in der gleichen Größenordnung wie die Anschaffungskosten der Rechner).

Wichtige Faktoren bei dem Siegeszug der Cloud-Dienste (für Private wie für Firmen) werden sein:

• Kostengünstige Angebote (geringere Energiekosten, bessere Ausnutzung der Server-Hardware durch flexible Virtualisierung, effektivere und systematischere Administration durch optimierte Tools)
• Schnelles automatisches Erzeugen eines virtuellen Servers innerhalb von Minuten, einschließlich Konfiguation der Firewalls, Netzwerkanschlüsse, Benutzerverwaltung, etc. In traditionellen Rechenzentren dauert das oft 1 Woche.
• Standard-Anwendungen stehen bereits heute fertig bereit, z.B. Customer Relationship Management (CRM), Email, Office Textverarbeitung, File Storage, File Backup, Web Hosting), aber es werden noch viel mehr werden

Benutzer (und auch Unternehmensmitarbeiter) werden auf diese Services mit Geräten zugreifen, die wir zum Teil heute noch gar nicht ganz verstanden haben, Tabletts, Smartphones, Uhren, Kühlschränke, "intelligente" Kleidung, Brillen, Windschutzscheiben, . . . . . . ). Und einige der Geräte werden längst wissen, was wir sehen möchten und was nicht. Und so wie das bei der Bandenwerbung im Fußball geplant ist, so werden die Brillenträger wenn sie durch eine Stadt gehen genau für sie zugeschnittene Werbung sehen. Und wenn die Algorithmen analysiert haben, dass sich jemand als Anti-Alkoholiker nicht für Bars interessiert, so wird sie ihm evtl. gar nicht gezeigt, dort ist jetzt eine große Plakatwand für Fruchsäfte.

Was die Privatsphäre betrifft, so werden wir uns vermutlich daran gewöhnt haben, dass diese Cloud-Dienste-Anbieter (Bruce Schneier vergleicht sie weiter unten mit Feudalherrn) oft mehr über uns und unser Verhalten wissen als wir selbst.

Und wir werden uns an Schlagzeilen wie diese gewöhnt haben: One in Six Amazon S3 Cloud Storage Users Make Sensitive Data Public oder Dropbox confirms it was hacked, offers users help, da solche Dienste nur mit erheblichen Verlust an Bequemlichkeit sicher gestaltet werden können. Wie das (teilweise) gehen kann ist eines der Themen dieses Artikels.

Ein drastisches Beispiel für die Cloud-Risiken: Der Amazon-, Apple-, Gmail-, Twitter-Hack

Der ursprüngliche Anlass für diesen Artikel war ein für den Betroffenen recht dramatischer Vorfall. Ein unbekannter Hacker beweist gegenüber einem Wired Redakteur, dass Cloud-Dienste keine gute Idee sind, außer sie wären extrem gut abgesichert. Er nimmt dem Redakteur die Kontrolle über seine Online-Accouts ab und so gut wie alle seine Daten. Und zwar nicht mittels technischem Hacking, sondern durch Telefonanrufe, bei Helpdesks, Social Engineering eben. Hier der Ablauf aus Sicht das Opfers, zusammengefasst von wired.com:

• At 4:33 p.m., according to Apple’s tech support records, someone called AppleCare claiming to be me. Apple says the caller reported that he couldn’t get into his .Me e-mail. In response, Apple issued a temporary password.
• At 4:50 p.m., a password reset confirmation arrived in my inbox. The hackers immediately sent the message to the trash.
• They then were able to follow the link in that e-mail to permanently reset my AppleID password.
• At 4:52 p.m., a Gmail password recovery e-mail arrived in my .Me mailbox. Two minutes later, another e-mail arrived notifying me that my Google account password had changed.
• At 5:02 p.m., they reset my Twitter password. At 5:00 they used iCloud’s “Find My” tool to remotely wipe my iPhone.
• At 5:01 they remotely wiped my iPad. At 5:05 they remotely wiped my MacBook. Around this same time, they deleted my Google account.
• At 5:10, I placed the call to AppleCare.
• At 5:12 the attackers posted a message to my account on Twitter taking credit for the hack.

Die privaten Daten auf dem MacBook waren nicht das Ziel des Hackers. Ziel war immer nur der Twitter Account, attraktiv weil nur mit 3 Buchstaben. Alle seine Fotos der ersten ein einhalb Jahre seiner Tochter hat er nur verloren weil der Hacker gründlich vorgegangen ist und die Wiederherstellung erschweren wollte. Ebenso war das Löschen von 8 Jahren Emails auf Gmail nur Nebensache, getan um wenig Spuren zu hinterlassen und damit das Opfer es schwerer hat, seine Accounts wieder zu bekommen.

Und so ging der Angreifer vor:
Der Angreifer sah, dass der Twitter-Account mit einem gmail-account verknüpft war. Die Funktion "Passwort vergessen" zeigt, dass der Email-Account für das Rücksetzen des Passworts so aussieht: m••••n@me.com. Da das Opfer Mat Honan heißt, war der Rest nicht schwer zu erraten. Als nächstes versuchte der Angreifer, diesen Account unter seine Kontrolle zu bekommen. Apple verlangt beim Telefonsupport e-mail, billing address und die letzten 4 Stellen der Kreditkarte. Die Billing Adresse gab es aus der Registrierung der Web-Domaine, die hätte es aber auch aus dem Telefonbuch gegeben. Aber der Angreifer braucht die Kreditkartennummer.

Erster Anruf ist bei Amazon. Er lässt für den Amazon-Account des Opfers eine weitere Kreditkarte eintragen. Dafür braucht er nur den Namen des Opfers und die Email-Adresse und die Billing Adresse. Dann legt er auf, ruft aber gleich wieder im Call-Center an.

Diesmal sagt er, dass er nicht mehr in seinen Account kommt. Sie fragen ihn nach seiner Kreditkarte und er gibt ihnen die Nummer der neuen Karte (die nicht wirklich existiert, erzeugt durch einen , davon gibt es reichlich im Netz). Amazon fügt eine weitere Email-Adresse diesem Account zu. Nächster Schritt ist: "Passwort-vergessen", es kommt ein Email, auf Link klicken und schon ist der Amazon-Account übernommen. Der Angreifer könnte jetzt die Lieferadresse ändern und Waren bestellen, tut er aber nicht. Die Benachrichtigungen würden an den neuen Email-Account des Angreifers gehen. Aber daran war der Angreifer gar nicht interessiert. Er hat sich nur die Kreditkarten angeschaut. Und da zeigt Amazon aus Sicherheitsgründen nur die letzten 4 Stellen, aber das reicht ja bei Apple um sich zu legitimieren.

Nächster Anruf also bei Apple, den .me.com Account übernehmen. Mit Hilfe des me.com-Mail Accounts kann der Angreifer das AppleID Passwort zurücksetzen und alle Daten des Opfers löschen. Dann übernimmt der den Gmail-Account, auch wieder über Passwort-Rücksetzen. Da er jetzt alle Mail-Accounts kontrolliert ist es kein Problem, auch beim Twitter-Account das Passwort rücksetzen zu lassen.

Der Autor des Wired-Artikels schreibt, dass er mittlerweile von mehreren gehört hat, denen ähnliches passiert ist, evtl. von der gleichen Gruppe von Angreifern. Und dann schreibt er, dass dieses Cloud-Risiko noch auf uns alle zukommen wird:

If your computers aren’t already cloud-connected devices, they will be soon. Apple is working hard to get all of its customers to use iCloud. Google’s entire operating system is cloud-based. And Windows 8, the most cloud-centric operating system yet, will hit desktops by the tens of millions in the coming year. My experience leads me to believe that cloud-based systems need fundamentally different security measures.

If you have an AppleID, every time you call Pizza Hut, you’ve giving the 16-year-old on the other end of the line all he needs to take over your entire digital life.

Und der Autor bestätigt, dass er das alles natürlich hätte verhindern können. Alle seine Accounts waren über die "Passwort zurücksetzen"-Verknüpfungen miteinander verbinden, es genügte, einen davon zu knacken. Für seinen Google-Account hätte er 2-Faktor Authentisierung verwenden können, dann hätte der Angreifer auch noch sein Handy haben müssen und der Angriff wäre (so) nicht möglich gewesen. [Liebe Leser - diese Feature gibt es auch bei anderen Webmailern, z.B. bei Hotmail, haben Sie das bereits eingestellt?]

Und natürlich hätte der Autor eine Datensicherung für seinen MacBook machen sollen. Außerdem war es eine dumme Idee, "Find My Mac" zu aktivieren. Denn damit kann jeder, der Zugriff auf die AppleID bekommt, die MacOS-Geräte löschen, nicht nur der Besitzer. Hier die Nachlese auf futurezone und arstechnica.

Und hier jetzt noch eine sehr detaillierte Hintergrundstory Cosmo, the Hacker ‘God’ Who Fell to Earth. Dabei geht es um einen unglücklichen 15-jährigen, der sich diese und viele andere Social Engineering Angriffe ausgedacht hat.

Dieser Artikel zeigt sehr dramatisch, wie sehr bei den heutigen Cloud-Diensten das Zurücksetzen der Passworte zum riesigen Sicherheitsproblem geworden ist. Ich finde die Geschichte recht traurig, weil er junge Mann (15 Jahre) offensichtlich sehr begabt ist, aber leider die einzige Möglichkeit zur Selbstbestätigung darin gefunden hat, Social Engineering Angriffe durchzuführen. Falls er jetzt einen längeren Gefängnisaufenthalt bekommt, wird ihn das sicher nicht resozialisieren.

April 2013:
Hier wird der gleiche Angriff auf Skype beschrieben: How easy it is to Socially Engineer Microsoft Skype Support. Der Support bei Skype setzt das Passwort zurück wenn man mindestens 5 Skype-Kontakte zu dem Skype-Account kennt, den man übernehmen will.

2015:
Dem CIA-Direktor nehmen Teenager seinen privaten AOL-account weg und Brian Krebs berichtet daüber wie unheimlich leicht es ist, jemandem seinen Paypal account zu stehlen.

Wie schützen sich private Nutzer und Firmen am besten bei der Nutzung von Cloud-Diensten?

Dieser Abschnitt betrifft primär private Nutzer, aber alle diese Herausforderungen die hier jetzt beschrieben werden sind natürlich auch Stolperfallen für die Nutzer, die Cloud-Dienste im Unternehmen nutzen möchten (oder müssen) - Weiter hinten mehr für Firmen.

Daten in Cloud-Diensten abzulegen ist bequem und hat eine ganze Reihe von Vorteilen (auch dies gilt für Firmen wie Private). Aber man muss sich auch bewusst sein, welche Probleme sich dabei ergeben können. Wenn ich hier von Cloud-Diensten sprechen so meinen ich die bekannten Dienste wie iCloud, OneDrive, GoogleDrive, Google Docs, Dropbox, Microsoft Office365 und alle anderen Dienste bei denen Daten bewusst oder automatisiert in das Internet geladen werden.

Für Cloud-Dienste gilt wie für die meisten Dienste im Internet:
Wenn der Dienst kostenlos ist, so zahlt der Benutzer mit seinen Daten und den Informationen die der Dienst den Daten entnehmen kann. Auch hier gilt: Bist du nicht Kunde, dann bist du die Ware.

Eine wichtige Anwendungen von Cloud-Diensten ist die Datensicherung, z.B. automatisch für Smartphones. Da die viele Nutzer entweder gar keine Datensicherungen machen oder nur in sehr großen Abständen, so bedeutet dies in den meisten Fällen, dass die betroffenen Dateien bei einem der großen Anbieter besser gegen Verlust geschützt sind, als auf lokalen Geräten (die immer wieder mal defekt oder gar gestohlen werden).

Aber das bedeutet auch, dass diese Daten dann diesen Dienstleistern zur Verfügung stehen, z.B. für Auswertungen die zu gezielter Werbung und anderer Klassifizierung der Benutzer führen (für welche Zwecke auch immer - genaueres dazu ist oft in den AGBs zu lesen). D.h. wenn ich nicht möchte dass meine Daten von anderen "gesehen" werden, so darf ich solche Dienste (für diese Daten) nicht nutzen. Dies könnten z.B. Fotos sein, die nicht für die Öffentlichkeit bestimmt sind (so was soll es ja geben ;-) ) Oder es ist eine unverschlüsselte Datei in der Passworte für Bankkonten gespeichert sind.

Oft ist den Nutzern die Cloud-Nutzung gar nicht explizit bekannt, z.B. ist sie in modernen Systemen wie Smartphones oder Windows 10 oder auch MacOS oft als Grundeinstellung für die Datensicherung konfiguriert. Diese Funktionalität kann de-aktiviert werden, aber das muss aktiv durchgeführt werden.

In der Regel werden die Daten der Nutzer zwar verschlüsselt "in die Cloud" übertragen, sind dort jedoch unverschlüsselt (ja, auch die iPhone Sicherungen). Nur so können die Dienste die Daten auch für eigene Zwecke nutzen.

Auch wenn die großen Anbieter technisch sehr ausgefeilt sind und die Chance, dass die Daten dort durch technische Fehler verschwinden, gering ist (obwohl es immer mal wieder vorkommt) so gehen diese Sicherungen recht oft dadurch verloren, indem der Nutzer den Zugang zu ihren Accounts bei den Anbietern verlieren, z.B. weil ein Passwort verwendet wird das bei einem (möglicherweise anderen) Anbieter "gestohlen" wird. Oder Accounts gehen verloren weil Betrüger sich über Social Engineering Zugang verschafft haben. Oder weil der Rechner das Betroffenen infiziert ist und der Angreifer alle Passwort-Eingaben mitschneidet. Hier der link zu einigen Beispielen. http://www.sicherheitskultur.at/Cloud_Security.htm#story

Grundsätzlich erscheint es eine gute Idee, nicht alle seine Daten bei einem Anbieter zu speichern. So kann ich z.B. bei Google den Mail-Service nutzen, und meine Urlaubsfotos aber lieber über OneDrive mit der Familie teilen. Auf diese Weise reduzieren Sie das Wissen über Sie das jeder einzelne Anbieter hat. Andererseits haben mehr dieser Dienstleister Daten von Ihnen, die dort auch verloren gehen könnten.

Die folgenden Tipps sind eine Zusammenfassung eines englischsprachigen Artikels Five ways to protect yourself in a multi-device, multi-platform world. Die Tipps in dem Artikel sind gut, ich habe sie aber noch ein wenig ergänzt und kommentiert.

Der erste Punkt, den die Autorin bringt, ist sehr gut: Nutzer müssen aufhören, Computer- und Datensicherheit als ein Windows-Problem zu sehen. Smartphones sind Computer mit Stärken und Schwächen und vielen zusätzlichen Funktionalitäten, die auch von Angreifern ausgenutzt werden können. (An anderer Stelle gibt es Tipps für grundlegende Gerätesicherheit von PCs, Macs und Smartphones.

Und dazu kommt jetzt noch die ganz große Angriffsfläche der Cloud-Dienste und hier war es, wo es Mat Honan ja zuerst erwischt hat.

Punkt 1: Passwörter

Passwörter als Zugangskontrolle zu Informationen sind (derzeit noch) allgegenwärtig und nur ein begrenzter Schutz, wie wir an dem Beispiel gesehen haben. Bei dem geschilderten Angriff war es aber nicht die Schwäche des Passworts und nicht mal die Mehrfachnutzung, sondern, wie hier in der Geschichte, die Prozesse beim Zurücksetzen, beim Passwort-Vergessen Dialog, verbunden mit Social Engineering.

Natürlich ist gut, sichere Passworte zu verwenden, hier gebe ich Beispiele dafür, abers noch besser sichere Passworte sind 2-Faktor-Authentisierungen, z.B. durch Zusenden eines Zugangscodes in SMS. Wo immer so was angeboten wird sollte man so etwas nutzen.

Auch Passwort-Rücksendungen sind bei einigen Anbietern per SMS-Code möglich und sicherer als solche über einen 2. Email-Account (der kommt in der Regel eher in fremde Hände als das Handy).

Ganz schlecht ist es, wenn das gleiche Passwort auf mehreren Websites genutzt wird. Die ständigen (wöchentlichen) Passwortdiebstähle, hier als Beispiel im Sommer 2012, zeigen, wie schnell ein Passwort öffentlich wird und dann sollte maximal ein Service betroffen sein. Die einfachste Lösung, starke, aber unterschiedliche Passworte für jede Website zu verwenden ist ein Passwort-Manager Programm.

Punkt 2: Smartphone Gerätesicherheit und Geräteeinstellungen

Es spricht viel dafür, bei Smartphones die Gerätesicherheit zu einem Kaufkriterium zu machen. Die Offenheit von Android ist symphatisch, aber für die Sicherheit ein Riesenproblem. Sicherheitsupdates werden durch die Netzbetreiber oft viele Monate verzögert oder stehen für viele Modelle überhaupt nur für begrenzte Zeit zur Verfügung. Das hat oft gute Gründe, ist aber trotzdem ein Sicherheitsproblem. Ganz problematisch ist es bei den Android Modellen von denen nur wenige verkauft werden/wurden. Dort lohnt sich nach kurzer Zeit die Erstellung von Updates für den Hersteller und Netzbetreiber nicht mehr. Mehr dazu hier

Ganz wichtig ist der Zugriffsschutz, der sich automatisch bei Nicht-Nutzung aktivieren sollte. Alpha-numerische codes sind besser als 4-Stellen numerisch. Falls ein Geräte Fingerprint o.ä. als 2. Faktor unterstützt, so sollten Sie es als zusätzliche Sicherheit nutzen, nicht als einzige.

Backup der Daten ist auch bei Smartphones wichtig, aber auf einen eigenen PC ist besser als im Netz. Falls im Netz (in the cloud) dann auf jeden Fall nur verschlüsselt. Aber auch dann kann der Betreiber teilweise auf die Daten zugreifen, aber zumindest sind sie partiell geschützt.

Falls ihr Email-Anbieter Verschlüsselung anbietet, auf jeden Fall nutzen; bei Android muss USB-debugging auf jeden Fall de-aktiviert werden; Bluetooth nur im undiscoverable mode aktivieren und WLAN nur bei Bedarf einschalten (speziell bei der Nutzung von öffentlichen WLANs ist das Abhören von Verbindungen sehr leicht). An anderer Stelle gibt es weitere Informationen zu Smartphones.

Punkt 3: Spezielle Fragen bei Cloud-Diensten

Die Unsicherheit von Cloud-Diensten war es, was in der Eingangsgeschichte die Katastrophe ausgelöst hat. Jeder von uns nutzt bereits ganz viele davon und es werden ständig mehr und oft sind die Dienste nur mit Mühe zu deaktivieren - Windows 8 hat damit begonnen und Windows 10 hat neue Maßstäbe in dieser Richtung setzen.

Wichtig ist, dass wir als Nutzer von Cloud-Diensten nie vergessen, dass die Daten außerhalb unserer Kontrolle sind. Wir lesen zwar ziemlich selten davon, dass Cloud-Daten verloren gehen, aber manchmal verschwinden sie aus unterschiedlichen Gründen (technische Gründe oder auch juristische Gründe wie bei Mega-Upload).

Außerdem lesen werden wir es fast nie in der Zeitung lesen, wenn nur einzelne Benutzer ihre Daten verlieren, z.B. durch einen gezielten oder auch nicht gezielten Angriff wie oben geschildert.

Es ist absolut üblich dass Angreifer, wenn sie einen Webmail Account übernehmen können (entweder durch ein gestohlenes Passwort oder Social Engineering wie in dieser Geschichte), als erstes mal ALLE Mails löschen um die Opfer von ihren Kontakten zu separieren und eine Nachverfolgung zu erschweren.

Außerdem haben bei 95% der Dienste die Administratoren sehr wohl vollen Zugriff auf alle Daten. Mächtigere Angreifer sind sehr leicht in der Lage, so einen Service zu unterwandern oder einen Mitarbeiter zu bestechen oder zu erpressen, damit er ihnen Zugriff zu den Daten gewährt. Oder Hacker holen sich die Daten direkt über eine Sicherheitslücke.

Das heißt, . . .

Erstens müssen die Daten gegen Zugriff geschützt werden, dazu siehe die Punkte 1 und 2.

Zweitens darf in Web-Diensten nie die einzige Kopie von wichtigen Daten gespeichert sein, es muss immer eine Kopie irgendwo physisch greifbar sein. Gesichertes (verschlüsseltes) Cloud-Backup als zusätzlicher Schutz kann aber eine gute Idee sein, z.B. um zu vermeiden dass bei einem Einbruch (oder Feuer) nicht nur der Rechner sondern auch gleich das Backup verloren geht.

Bei der Entscheidung für bestimmte Web-Dienste ist es ganz wichtig, sich über die Sicherheit zu informieren (z.B. hier zu Dropbox & Co.). Die Sicherheit ist sehr unterschiedlich und oft nicht sehr hoch.

Die Schwachstelle die Mat Honan zum Verhängnis wurde, waren die Passwort-Rücksetzungen. Hier ist es ganz wichtig mal zu schauen, ob das bei dem gewählten Service vernünftig abzusichern ist, z.B. mittels SMS-Code.

Sehr sensible Daten darf man nur dann in-the-cloud speichern, wenn man sie selbst VOR dem Hochladen, verschlüsselt hat. Solche Dienste gibt es, aber sie sind selten. Zumeist liest man Sachen wie "die Daten werden verschlüsselt gespeichert", was nicht viel bedeutet solange der Dienstleister und seine Mitarbeiter Zugang zum Schlüssel haben.

Punkt 4: Malware-Schutz

Für die PCs und Macs sehr wichtig, bei Smartphones wird es angeboten, bringt aber aus technischen Gründen nicht viel (die Entwickler von Malwareschutz beklagen sich, dass sie keinen Zugang zu Systemschnittstellen bekommen, daher läuft auch solche Software in einer Sandbox und bekommt nicht wirklich mit, was auf dem Smartphone passiert).

Bei Smartphones ist es wichtig, dass nur Apps aus offiziellen App Stores genutzt werden. Google und Apple scannen die Apps vor der Freigabe, das ist zwar kein 100%iger Schutz, aber besser als andere App Stores die voller betrügerischer Apps sind (zum Teil Kopien von bekannten Spielen mit Schadcode erweitert).

Auch das Rooten oder Jail-Breaking der Smartphones ist keine gute Idee. Damit werden die Sicherheitskonzepte deaktiviert.

Punkt 5: Desaster Recovery Planung - Fortgeschrittene Datensicherung

Bei diesem Punkt hat es Mat Honan hart erwischt. Er wusste, dass er seine MacBook Daten hätte sichern sollen, aber er hatte es 1 1/2 Jahre nicht getan. Jetzt sind die Kinderbilder weg. Sicheres Arbeiten bedeutet 2 zusätzliche Kopien an unterschiedlichen Orten, z.B. eine Festplatte im Büro. Ich persönlich verwende dafür die Shareware Allway Sync -aber das geht auf sichere Weise nur lokal, nicht in eine Cloud.

Es gibt aber auch Menschen, die machen solche Sicherungen verschlüsselt auf einen Cloud-Speicher Dienst. Hier eine Hilfestellung, wie man Truecrypt und Dropbox (oder einen anderen Anbieter) miteinander verknüpüfen kann. Der Text ist recht einfach geschrieben und erklärt jeden der Schritte auch für jemanden, der noch nie Truecrypt genutzt hat. Der Trick scheint darin zu bestehen, dass ausgenutzt wird, dass der Dropbox-Client nur die Datenblöcke überträgt, die sich geändert haben, d.h. es wird bei kleinen Änderungen im Truecrypt-container nicht der ganze Container übertragen.

Die wichtigsten Bedrohnungen bei Cloud-Nutzung in Unternehmen (und bei privater Nutzung auch)

Zum Jahreswechsel 2019 auf 2020 weisen eine ganze Reihe von Veröffentlichungen darauf hin, dass Sicherheitsprobleme mit Cloud-Lösungen wohl immer bedrohlicher werden. Forcepoint schreibt "Organizations will become 'Cloud Smart' but remain 'Cloud Dumb'". D.h. sie lernen, die Vorteile der Cloud zu nutzen, machen aber Fehler bei der Konfiguration der Cloud-Lösung, siehe das Leak bei Buchbinder. Theoretisch sind die zentralen Cloud-Dienste sicherer als selbst aufgesetzte Lösungen, aber nur dann, wenn sie von den Administratoren absolut korrekt konfiguriert werden. Auch die NSA ist (diesmal zum Schutz der Nutzer und Firmen) besorgt: NSA Releases Guidance on Mitigating Cloud Vulnerabilities - auch hier werden die Herausforderungen der korrekten Konfiguration angesprochen.

Grundlage des folgenden Texts ist eine recht gute Veröffentlichung der Cloud Security Alliance: The Notorious Nine: Cloud Computing Top Threats in 2013. Ziel dieser Dokumentation scheint es zu sein, Firmen eine Handreichung zur Verfügung zu stellen, die sie bei der Abschätzung der Risiken und der Entscheidung für oder gegen die Nutzung eines Cloud-Services und bei der Auswahl der Anbieter nutzen können. Dies betrifft sowohl die Nutzung ganzer virtueller Server, wie auch spezieller Services wie Email oder Textverarbeitung.

1. Die erste Bedrohnung betrifft die Mandantentrennung. Solche Dienste sind kostengünstig, weil viele Benutzer und viele Unternehmen in einem gemeinsamen System (bestehend natürlich aus mehr als 1 Server) implementiert sind. Dabei kann es natürlich zu Verletzung der Trennung zwischen den Unternehmen kommen, d.h. ein Benutzer sieht Daten eines anderen oder gar einer anderen Firma. Dies kann durch Fehler in der Programmierung, Nachlässigkeiten oder aber auch bewusste Manipulation passieren. Diese Fehler können bei den Zugriffen zu der gemeinsamen Datenbank passieren, aber auch bei der Datensicherung oder gar beim Redeployment von Resourcen wie Plattenplatz für die nächsten Benutzer(im Fall von virtuellen Servern). Es wurden auch bereits Angriffe demonstriert, bei denen mit Hilfe von Cache-Zugriffen kryptographische Schlüssel zwischen virtuellen Maschinen transferiert wurden.
2. Die zweite Bedrohung ist der Datenverlust. Dies kann einmal dadurch passieren, dass der Anbieter ein Plattenproblem hat, das nicht über die Datensicherung wiederhergestellt werden kann (ja, das kommt immer mal vor, siehe Verizon und auch RIM), aber auch dadurch, dass die Daten (so wie es sich gehört) vor der Übertragung beim Nutzer verschlüsselt werden, aber dieser Schlüssel verloren geht. Eine weitere Möglichkeit ist der Datenverlust der dadurch entsteht, dass der Nutzer die Kontrolle über seinen Account verliert. In diesem Fall, der bei den Webmail-Diensten und Web-Storage-Diensten immer wieder vorkommt (siehe Mat Honan Story), löscht der Angreifer zumeist als erstes die Daten um damit auch seine Spuren zu verwischen. Eine Wiederherstellung ist dann oft nicht möglich (haben sie mal versucht, den Helpdesk von Google zu erreichen? ;-) ). Deswegen sollten Cloud-Dienste nur mit 2-Faktor Authentisierung genutzt werden (z.B. PIN mittels SMS). Symantec findet dass 43% der Unternehmen bereits Daten in der Cloud verloren haben.
3. Der dritte Punkt betrifft Account- oder DAtenverkehr-Übernahme. Die Möglichkeiten reichen vom Passwort-Verlust durch Mehrfachnutzung oder Phishing über Session Hijacking durch Man-in-the-Middle Angriffe oder das Stehlen von Authentisierungs-Cookies bis zu gezielten Angriffen mit Infektion des PCs oder Cross-Site Scripting. Zumeist ist bei den bisherigen Cloud-Diensten auch bei Firmennutzung die Benutzerverwaltung noch beim jeweiligen Dienstleister, was den Nachteil hat, dass der Account auch bei Kündigungen erst mal weiter besteht. Sicherer sind für Firmennutzungen vermutlich Single Sign-On Lösungen über "Federation Konzepte" wie SAML.
4. Der vierte Punkt betrifft die API mit deren Hilfe Firmen automatisierte Zugriffe von ihren internen Servern zu den Client-Diensten Implementieren können, die Cloud APIs. Auch diese müssen sich natürlich sicher authentisieren, sonst können über diese APIs Daten ausgelesen oder manipuliert werden.
5. Die fünfte Bedrohung ist Denial of Service. Jeder Dienst im Internet hängt vom Funktionieren des Internets ab. Verbindungen können aus vielen Gründen ausfallen, von technischen Fehlern bis zu Sabotage, z.B. gezielte Angriffe von Hacktivisten.
6. Der sechste Punkt sind die böswilligen Administratoren. Dieses Problem besteht bei einer internen Firmen-IT natürlich auch, aber im Fall von Cloud-Diensten hat ein Unternehmen natürlich überhaupt keine Kontrolle über die Sicherheitsmaßnahmen die gegen böswillige Administratoren eingesetzt werden (z.B. deren vollständige Protokollierung aller Tätigkeiten).
7. Der siebste Punkt betrifft nicht so sehr die Kunden als mehr die Betreiber selbst: Missbrauch des Cloud-Dienstes. So sind viele Cyberkriminelle dazu übergegangen, für ihre illegalen Aktivitäten Cloud-Dienste zu nutzen, die sie mit Hilfe von gestohlen Kreditkartennummern bezahlen.
8. Punkt acht ist unzureichende Due Dilligence, d.h. die Überprüfung vor Vertragsabschluss. Dies ist besonders wichtig für Unternehmen, die im eigenen Land speziellen Rechtsvorschriften unterliegen, z.B. Pharma, Finanzdienstleister, Gesundheitsdienste, etc. Diese Verpflichtungen sind sehr oft in Cloud-Diensten kaum zu implementieren, z.B. Verpflichtungen nach dem lokalen Datenschutzrecht. Cloud-Anbieter sind kostengünstig wenn sie standardosierte Dienste anbieten und sich nicht darauf einlassen, bei jedem Vertragsabschluss ein spezielles SLA auszuhandeln. So werden in dem meisten Fällen die personenbezogenen Daten und die Firmengeheimnisse außerhalb des EU-Raums gespeichert und verarbeitet und die Audit-Möglichkeiten für die Firmen-Revision sind sehr begrenzt. Dafür haben aber Sicherheitsbehörden, auch aus anderen Ländern, vermutlich deutlich leichteren Zugriff. Haftung ist mit großer Wahrscheinlichkeit auch bei grober Fahrlässigkeit ausgeschlossen, bzw. müsste mühsam im Ausland erstritten werden.
9. Der letzte Punkt betrifft wird in der Studie shared technology vulnerabilities genannt. Diese sind aber eigentlich bereits in der Mandantentrennung berücksichtigt worden.

Die Emails vom CIA-Chef Petraeus

Nov. 2012: Die NY Times hat zum Anlass der Aufregung um den CIA-Chef Petraeus einen Artikel dazu, wie denn der gemeine Internetnutzer es schaffen kann seine Geheimnisse zu schützen, wenn es nicht mal der CIA-Chef schafft: Trying to Keep Your E-Mails Secret When the C.I.A. Chief Couldn’t. Dabei fallen einige gute Tipps an.

Gleich der erste Tipp ist einer der wichtigsten: Kenne deine Gegner!
Petraeus und seine Freundin wollten sehr clever sein, sie nutzten eine Technik, die auch bei jungen Leuten (und den 9/11 Attentätern) eingesetzt wird: Sie senden sich keine Mails zu, sondern sie haben einen Mail-Account bei einem externen Anbieter und beide kennen die Zugangsdaten. Statt Mails zu verschicken speichern sie die Mails einfach als Entwürfe im dafür vorgehenen Ordner. Das ist ein ziemlich gutes Verfahren wenn es darum geht, die Mails vor eifersüchtigen Partner geheim zu halten. Auf diese Weise (speziell im Private Browsing Mode) entstehen keine Spuren auf den eigenen Rechnern. Das Problem für die beiden war aber, dass nicht die Beziehungspartner den Angriff auf die Privatsphäre gestartet haben, sondern das F.B.I. Und die haben kein Problem damit, mit entsprechender Begründung die IP-Adressen (siehe Spuren im Internet) zu recherchieren, so wie alle Polizeibehörden im Rahmen der Gesetze. Google berichtet, dass sie im 1. Halbjahr 2012 16281 entsprechende Anfragen hatten und 90% wurden positiv beantwortet. D.h. gegen eifersüchtige Partner oder im Wirtschaftsumfeld, gegen neugierige Mitbewerber, hätte dieser Schutz sehr wohl ausgereicht, aber nicht gegen die Polizeibehörden oder staatliche Spionagebehörden (staatliche Wirtschaftsspionage).

Das führt zur Frage: Wie kann ich IP-Adressen verschleiern? Da hilft z.B. die konsequente Nutzung von TOR. Wichtig ist aber die konsequente Nutzung, denn 1 direktes Login und die Identität mag verraten sein. So hat die Freundin von Petraeus manchmal direkt von einem Hotel-LAN bei Google eingeloggt und über die Gästeliste lies sich das leicht nachvollziehen. Und da eine andere der IP-Adressen von denen auf den gemeinsamen Account zugegriffen wurde zu Petraeus zeigte war die Sache schnell aufgedeckt.

Als der gemeinsame Account erst mal aufgedeckt war lagen dort die Texte in Klartext vor. Cleverer wäre gewesen, die Texte verschlüsselt zu speichern, aber das geht nicht so einfach, "in the cloud". Dafür hätten die Texte auf den Laptops lokal geschrieben werden müssen, dann dort verschlüsselt werden, z.B. mittels TrueCrypt und dann auf einen Cloud-Service geladen. Ein gemeinsam bekanntes Passwort bietet gemeinsamen heimlichen Zugriff. Allerdings besteht dann, falls das F.B.I. der Gegner ist, die Herausforderung dass die Texte sicher vom Laptop entfernt werden müssen. Dies ist möglich, aber ein "in den Papierkorb ziehen und dann diesen entleeren" reicht dafür nicht aus.

Auf Smartphones lässt sich das alles über die App Wickr durchführen. Die App hat sogar so Features wie Messages die sich nach einer vorgegebenen Zeit automatisch sicher löschen. Aber natürlich kann der Empfänger einer Nachricht, z.B. aus sentimentalen Gründen, einen Screenshot machen und den aufbewahren ("weil das soooo lieb war").

Wenn jemand dann aber wirklich unter Verdacht kommt so helfen die Verschlüsselung und die Nutzung von TOR nur begrenzt. Denn was wäre gewesen wenn das F.B.I. die Messages zwar nicht hätte lesen können, aber trotzdem gesehen hätte, dass die beiden sich verschlüsselte Botschaften austauschen? Es wäre vermutet worden, dass die beiden etwas schlimmeres verbergen wollten als eine Affäre und das Ganze wäre für die beiden noch heißer geworden.

Und die letzte Herausforderung ist: Mache nie einen Fehler!
Jeder von uns hat schon mal auf Reply All geklickt, wenn er Reply meinte oder (sie wie ich), die BCC-Adressen in die CC-Zeile gepastet. D.h. ein sicherer Schutz gegen Sicherheitsbehörden ist kaum möglich, wenn man erst mal in deren Verdacht gekommen ist.

Weiterführendes

Cloud-Dienste als mittelalterliches Feudalsystem

In einem interessanten Artikel vergleicht Bruce Schneier die neue Welt der Cloud-Dienste mit dem mittelalterlichen Feudalsystem: When It Comes to Security, We’re Back to Feudalism. Viele Benutzer vertrauen einem neuen Feudalherrn, z.B. Apple, oder Google, oder Amazon, oder Microsoft. Sie kaufen dort Geräte und Betriebssysteme, sie speichert dort ihre Daten (bzw. die Datensicherungen) und verlassen sich darauf, dass der Feudalherr das alles schon richtig macht.

Viel mehr zum neuen Feudal-System, bei dem die Milliardäre des Silicon Valley (und Seattle) die neue Richtung hin zu "die Technologie wird alle Probleme lösen" vorgeben an anderer Stelle.

Philipp Schaumann, http://sicherheitskultur.at/

Home

Copyright-Hinweis:
Das Copyright des Materials auf diesen Webseiten liegt, falls kein anderer Autor genannt wird, bei Philipp Schaumann.
Diese Texte sind lizensiert unter der Create Commons Attribution-Noncommercial-Share Alike 2.0 Austria Lizenz. Natürlich gelten auch die Regeln des Fair Use und über Ausnahmen bzgl. der Lizenz kann jederzeit mit den Autoren gesprochen werden.