Im Rahmen der namhaften Veranstaltungsreihe "Cloud Computing" fand am 11. Juni 2013 bei 'EBCLONT enterprise technologies eine durch das Unternehmen "CON.ECT Eventmanagement" veranstaltete Podiumsdiskussion mit mehr als 40 TeilnehmerInnen statt.
Im Zuge der Vortragsreihe hielt auch der AIT Sicherheitsexperte DI Thomas Bleier einen Vortrag zum Thema "Cloud-Sicherheit" unter dem Titel »Cloud vs. Security – the good, the bad and the ugly«. Als good können dabei vor allem jene für die Sicherheitstechnologie neuen Möglichkeiten der intensiveren Vernetztheit aller Abwehrmechanismen über moderne Cloud Technologien gesehen werden. Virenscanner bekommen mehrfach am Tag Updates. Anormalitäten im Netzwerkverkehr, beim Spamaufkommen etc., die bspw. durch Bot-Netze verursacht werden, können über die internationale Verquickung der Informationen mittels Cloud-Services leichter ausgewertet und analysiert werden. Patches für Vulnerabilities können schneller ausgebracht und damit bekannte Sicherheitslücken leichter geschlossen werden.
Die bad-Aspekte ergeben sich in mehrerlei Hinsicht: Werden bestehende schwache Systeme und Prozesse plötzlich in der Cloud ausgerollt, dann ist die »Single Line of Defense « nicht mehr existent. Waren solche System bisher innerhalb der Unternehmensgrenzen, also hinter der Firewall, so war die Hauptbedrohung ein Angriff oder eine Sicherheitsverletzung durch die eigenen Mitarbeiter. Stehen solche Systeme in der Public Cloud, dann können alle Angreifer dieser Welt mehr oder weniger frei darauf zugreifen. Eine schwache Passwortrichtlinie kann somit schnell zum Verhängnis werden. Natürlich werfen die neuen Technologien an sich schon viele neue Sicherheitsrisiken auf, denn meist werden Services mit geringem Sicherheitsniveau ausgeliefert, obwohl technisch mehr möglich ist. Dies gehört laut Bleier dringend verbessert.
Als ugly zeigen sich die vielen neuen Möglichkeiten, die Cloud Computing nun für die Cyber-Kriminalitäts-Industrie bietet. Das Brechen von Passwörtern ist nun dank der extremen Parallelisierung und verfügbaren Rechenleistung keine technische, sondern eine rein finanzielle Frage geworden. Je mehr es einem wert ist, umso schneller kann jedes Passwort, oder nahezu jede Verschlüsselung gebrochen werden. Services wie spreadsheets von google.com erlauben Fishing-Attacken unter prominenten Web-Urls. Botenetze, die früher nur schwer durch Firewalls über die Unternehmensgrenzen hinweg kommunizieren konnten, bedienen sich heute anderer Kanäle, wie bspw. Twitternachrichten. »Crimeware as a Service« ist ein boomender Geschäftszweig der organisierten Kriminalität.
Abschließend erläuterte Bleier noch das aktuelle Forschungsprojekt »Archistar« des AIT. Ziel ist es in der Cloud einen absolut sicheren Datenspeicher, betreffend Vertraulichkeit, Integrität und Verfügbarkeit der Daten zu kreieren. Dabei soll ein über mehrere Anbieter verteiltes System geschaffen werden, dass sowohl die Verschlüsselung mittels verteilten Key-Managements, wie auch die Ausfallsicherheit mittels redundanter Datenhaltung, in einem userfreundlichen Cloud Service vereinen.
Links:
- ICT Security