Einflussnahme von Geheimdiensten auf Cloud Computing Anbieter
Aus Winfwiki
| Name der Autoren: | Patrick Heike (190291), Stephan Kilian (191414) |
| Titel der Arbeit: | Einflussnahme von Geheimdiensten auf Cloud Computing Anbieter |
| Hochschule und Studienort: | FOM Düsseldorf |
Inhaltsverzeichnis
|
1 Abkürzungsverzeichnis
| Abkürzung | Bedeutung |
|---|---|
| BDSG | Bundesdatenschutzgesetz |
| BfV | Bundesamt für Verfassungsschutz |
| BKA | Bundeskriminalamt |
| BND | Bundesnachrichtendienst |
| BNDG | Bundesnachrichtendienstgesetz |
| BVerfSchG | Bundesverfassungsschutzgesetz |
| BSI | Bunndesamt für Sicherheit in der Informationstechnik |
| BSIG | BSI Errichtungsgesetz |
| HTTP | Hypertext Transfer Protocol |
| HTTPS | HTTP over SSL |
| IaaS | Infrastructure as a Service |
| IT | Informationstechnologie |
| PaaS | Platform as a Service |
| PGP | Pretty Good Privacy |
| SaaS | Software as a Service |
| SPI | Software, Plattform, Infrastruktur |
| SSH | Secure Shell |
| SSL | Secure Socket Layer |
| StGB | Strafgesetzbuch |
| TKG | Telekommunikationsgesetz |
| VoIP | Voice over Internet Protocol |
| WWW | World Wide Web |
2 Abbildungsverzeichnis
| Abb.-Nr. | Abbildung |
|---|---|
| 1 | SPI-Modell |
| 2 | Bedrohungen in der IT |
| 3 | Lokale Datenhaltung |
| 4 | Datenhaltung in der Wolke |
| 5 | Allensbach-Umfrage zum Datenschutz in Firmen und beim Staat |
| 6 | Anstieg der Viren-Signaturen (Quelle: Kaspersky Lab) |
3 Einleitung
In dieser Fallstudie wird die Problematik der Datenhaltung, Gefahren im Internet und Schutzmethoden im Bezug auf die Einflussnahme von Geheimdiensten auf Cloud Computing Anbieter dargestellt.
Geheimdienste gab es schon in den frühen Hochkulturen, entweder wurden Botschaften von Herrschern und Königen abgefangen [1] oder Menschen gefoltert um an Informationen zu gelangen. Im ersten und zweiten Weltkrieg wurden Geheimdienste professionell aufgebaut um dem Gegner immer einen Schritt voraus zu sein. Auch im Kalten Krieg spielten Geheimdienste eine wichtige Rolle. Durch den technischen Fortschritt in der Nachrichten- und Informationstechnik sind neue Überwachungsmöglichkeiten möglich. In der heutigen Zeit werden Telefon- und Handygespräche abgehört oder Onlinedurchsuchungen von Geheimdiensten durchgeführt. Geheimdienste handeln im Interesse von Staaten. Diese Interessen können international durchaus unterschiedlich sein. Während einige Länder in den letzten Jahren konzentrierter ihre Geheimdienste dazu benutzten um den Terrorismus, kriminelle Banden, Geldwäsche und Spionage von Hoch-Technologie zu bekämpfen, sind andere Geheimdienste auch dazu geneigt Industriespionage durchzuführen um die wirtschaftliche Lage des eigenen Staates zu verbessern. Dabei geht es weiterhin um die Machtverhältnisse auf der Welt.
Durch die heutigen Technologien wie Cloud Computing und eine hoch vernetzte Welt, sind vertrauliche Daten nicht nur lokal verfügbar sondern können auch im gesamten Internet verbreitet sein. Dieses lässt die Arbeit der Geheimdienste auf der einen Seite einfach erscheinen, da Daten direkt beim Transfer abgefangen werden können, auf der anderen Seite wird die Arbeit dadurch erschwert, da sich nicht mehr alle Daten auf der lokalen Festplatte befinden und man oft nicht feststellen kann wo sich ein Server befindet und vor allem wer diesen betreibt.
Das Ziel dieser Arbeit ist die Darstellung der unterschiedlichen Einflussnahme von Geheimdiensten. Um einen Überblick zu gewährleisten wird die Einflussnahme auf Cloud Computing Anbieter mit der ursprünglichen IT und somit der lokalen Datenhaltung verglichen. Des Weiteren werden Gefahren für Cloud Computing Anbieter, -Kunden & -Anwender sowie für den deutschen Staat erläutert und die entsprechenden Schutzmaßnahmen vorgestellt.
Deutschland hat eine gute Gesetzeslage, so dass diese Fallstudie insofern abgegrenzt ist, dass sie bei Verweisen, Verwenden von Paragraphen und Gesetzestexten ausschließlich das deutsche Recht berücksichtigt.
4 Grundlagen
Um ein einheitliches Verständnis in dieser Fallstudie zu gewährleisten, werden die verschiedenen Hauptbegriffe dieser Arbeit abgegrenzt. Des Weiteren werden Beispiele von Geheimdiensteinflüssen aus der Vergangenheit genannt, um darzustellen, dass das Thema Einflussnahme von Geheimdiensten schon vor Cloud Computing bei IT-Dienstleistern relevant war und bleiben wird.
4.1 Begriffsabgrenzung Einflussnahme
- Der Begriff Einflussnahme ist sehr vielfältig und kann sowohl positiv als auch negativ verstanden werden. Einfluss kann zum Beispiel sein, dass eine Interessengruppe durch eine Demonstration versucht, ein bestimmtes politisches Ziel durchzusetzen. Ein anderer Einfluss kann sein, dass ein Verbrecher durch illegale Aktivitäten an Daten gelangt, die er zur Erpressung nutzt und somit einer Firma schaden zufügen kann.
- Des Weiteren kann unterschieden werden zwischen aktiver und passiver Einflussnahme. Eine aktive Einflussnahme wird bewusst von dem Einflussnehmenden ausgeübt. Bezogen auf diese Fallstudie könnte das z.B. eine gezielte Manipulation von Daten sein oder Mitbestimmung bei dem Aufbau von Cloud Computing Services. Eine passive Einflussnahme dagegen erfolgt unbewusst. Beispiel könnten hier eine gesetzliche Bestimmungen sein, die den Geheimdiensten bestimmte Befugnisse einräumt, worauf sich gegebenenfalls Provider bzw. Cloud Computing Anbieter einstellen müssen, wie zum Beispiel das vorrätige Abspeichern der Internet-Protokolle, und dem Geheimdienst Zugriff gewähren, wenn dieser es verlangt. D.h. der Geheimdienst übt ohne das er aktiv wird Einfluss aus. Einfluss kann mit Macht gleichgestellt werden.
- Um Einflussnahme für diese Fallstudie abzugrenzen wird sie wie folgt definiert: Einflussnahme ist die Wirkung, die Geheimdienste mit Ihren Tätigkeiten auf Anbieter (IT ServiceProvider, Telekommunikationsunternehmen und Cloud Computing Anbieter), haben können. Zusätzlich zur Wirkung wird die Art und Weise unterschieden. Einfluss kann wie folgt ausgeübt werden:
- Ausübung von Rechten: z.B. Gesetze (vgl. Rechtliche Lage)
- Gratifikation: z.B. durch Bestechung
- Manipulation: z.B. bewusste Veränderung von Daten und Löschung der Spuren
4.2 Cloud Computing
- Cloud Computing legt eine neue Technologie in der IT Welt zugrunde in der die IT-Infrastruktur, IT-Plattformen, sowie Anwendungen und Daten nicht mehr lokal auf einem PC oder einem eigenen Firmennetzwerk gehalten und verwaltet werden, sondern bei externen Providern als weltweit verfügbare Dienste im Internet zur Verfügung stehen. Der Nutzer von Cloud Computing Diensten weis nicht wo seine Anwendung und Daten physikalisch gehalten werden und welche Ressourcen im Hintergrund angesprochen werden. Die Wolke bzw. "the Cloud" stellt alle notwenigen Mittel zur Verfügung, je nach dem wie viele Ressourcen gerade vom Kunden benötigt werden. Abgerechnet wird bei Cloud Computing nur die angefallene Nutzung des Dienstes.
- Wie die Abbildung 1 zeigt, werden bei Cloud Computing drei hierarchische Ebenen unterschieden:
- IaaS – „Infrastructure as a Service“ stellt die unterste Ebene dar. Sie stellt Netzwerk- und Speicherressourcen zur Verfügung. Der Kunde eines solchen Cloud Computing Service muss sich als also keine Gedanken um die IT-Netzinfrastruktur machen, er trägt nur noch die Verantwortung für das Verwalten der Server, Betriebsystem und Anwendungen.
- PaaS – Die Ebene „Plattform as a Service“ baut auf die Vorherige auf und stellt dem Kunden z.B. das Betriebssystem, einen Webserver und andere benötigten Plattformen (z.B. ASP.NET, PHP, MySQL) die er für seinen Service benötigt zur Verfügung. Der Kunde ist nur noch verantwortlich für seine Anwendung.
- SaaS – „Software as a Service“ stellt die höchste Ebene im SPI-Modell dar und verwaltet zu den anderen zwei Ebenen die Software bzw. Anwendungen eines Kunden. Beispiel hierfür könnte ein SAP-System oder Intranet-Anwendung sein.
4.3 Geheimdienste
- Geheimdienste sind verdeckt arbeitende Behörden, die mit nachrichtendienstlichen Mitteln Informationen zu Situationen der außen-, innen- und sicherheitspolitischen Wirtschaftslage sammeln und auswerten. Für diese Fallstudie, sind die folgenden deutsche Geheimdienste relevant:
- Bundesamt für Verfassungsschutz (BfV): Das BfV hat die Aufgabe Nachrichten, Auskünfte und sonstige Unterlagen zu sammeln, die sich über Bestrebungen gegen die Bundesrepublik richten und die der Spionagebekämpfung dienen. Er darf hierzu nachrichtendienstliche Mittel wie Observation, Legendierung und Tarnkennzeichnung anwenden.[2][3]
- Bundesnachrichtendienst (BND): Der BND zählt neben dem BfV und dem Militärischen Abschirmdienst (MAD) zu den drei deutschen Nachrichtendiensten und hat die Aufgabe der Beschaffung von sicherheits- und außenpolitisch erheblichen Erkenntnissen aus und über das Ausland. Er darf hierzu nachrichtendienstliche Mittel wie Observation, Legendierung und Tarnkennzeichnung anwenden.[4][5]
- Bundeskriminalamt (BKA): Während sowohl das BfV als auch der BND keine Polizeigewalt hat, hat das BKA die Aufgabe wie die anderen deutschen Polizeibehörden zur inneren Sicherheit beizutragen. Somit tritt das BKA in Kraft, wenn durch das BfV oder den BND die entsprechenden Beweise für eine Straftat vorliegen.[6][7]
- Bundesamt für Datensicherheit in der Informationstechnik (BSI): Das BSI ist kein klassischer Geheimdienst. Zur Verbesserung der Sicherheit in der IT (Anwendungen, Infrastrukturen, Kryptographie, Zertifizierungen und Abhörsicherheit) arbeitet es jedoch sehr eng mit den deutschen Geheimdiensten zusammen und ist aus diesem Grund in diesem Kapitel mit aufgelistet. [8][9]
- Neben den oben Aufgelisteten gibt es eine ganze Reihe weiterer Geheimdienste, die u.a. im Internet unter der Webseite http://www.geheimdienste.org (Link vom 15.05.2009) zufinden sind.
- Die Abbildung "Bedrohungen in der IT" zeigt, dass Geheimdienste die größte Gefahr in der IT darstellen. Sie verfügen über ein hohes Maß an Know-How, aber auch über genügend kriminelle Energie um Schaden für Andere anzurichten. Im Gegensatz dazu muss allerdings berücksichtigt werden, dass Geheimdienste auch viele Schäden, die durch andere entstehen würden, vereiteln. Wie der Name Geheimdienst schon sagt, arbeiten diese verdeckt und somit sind wenige bis gar keine aktuellen Informationen zu finden.
4.4 Historische Beispiele
- Deutschland stellt aufgrund seiner Spitzentechnologie und geopolitischen Lage ein begehrtes Aufklärungsziel einiger Nachrichtendienste fremder Staaten und terroristischer Vereinigungen dar. Dieses Kapitel soll anhand von historischen Ereignissen darstellen warum es wichtig ist, dass deutsche Geheimdienste bei der Entwicklung von Cloud Computing Services und deren Sicherheit miteinbezogen werden, damit Geheimdienste aktiv an Spionageabwehr, Geheim-, Sabotage- und Wirtschaftsschutz in den Sicherheitsmechanismen der Cloud Computing Services unterstützen können.
4.4.1 Spionage-Trojaner
- Im August 2007 kam es zu einer Spionage-Attacke im Bundeskanzleramt und einigen anderen deutschen Ministerien. Damals hat die Bundesregierung angegeben, dass keine kritischen Daten abgerufen wurden. IT-Spezialisten gehen aber davon aus, dass die Trojaner schon längere Zeit unbemerkt auf den Computern der Ministerien Daten sammelten und diese zu chinesischen Servern schickten. Eine Übertragung von 160 GB Daten wurde wohl noch in letzter Sekunde verhindert.
- Sowohl die Regierung, als auch Behörden geben dazu keine konkreten Auskünfte. Eine genauere Untersuchung des Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im Nachhinein ergeben, dass zahlreiche Computer und Server mit dem Trojaner infiziert waren. Der Bericht vom BSI räumt auch ein, dass es vor dieser Attacke schon zahlreiche andere Fälle gab. Den Ursprung dieser Spionagesoftware vermutete man in China und Russland. Ob Geheimdienste aus diesen Staaten hinter diesen Angriffen stecken ist bislang unklar. Ein Bericht von Spiegel-Online vom 25.08.2007 berichtete jedoch, dass das Bundesamt für Verfassungsschutz (BfV) davon ausgeht, dass ausgebildete Hacker der chinesischen Volksbefreiungsarmee die Trojaner entwickelt haben.
- Im August 2007 kam es zu einer Spionage-Attacke im Bundeskanzleramt und einigen anderen deutschen Ministerien. Damals hat die Bundesregierung angegeben, dass keine kritischen Daten abgerufen wurden. IT-Spezialisten gehen aber davon aus, dass die Trojaner schon längere Zeit unbemerkt auf den Computern der Ministerien Daten sammelten und diese zu chinesischen Servern schickten. Eine Übertragung von 160 GB Daten wurde wohl noch in letzter Sekunde verhindert.
- Im November 2005 gab es außerdem Berichte, dass chinesische Hacker in einen US-Militärrechner mit Spionagesoftware eingedrungen waren. Getarnt war die Software offensichtlich in gängigen Office-Dateiformaten wie Word, Powerpoint oder PDF, angehangen an Emails von vertrauenerweckenden Absendern, die den Spam- und Virenschutz einfach umgehen konnten. In den Dateien waren kleine Programme integriert, die sich durch das Öffnen automatisch ausführten und damit den Computer mit der schädlichen Software infizierten.
- Im November 2005 gab es außerdem Berichte, dass chinesische Hacker in einen US-Militärrechner mit Spionagesoftware eingedrungen waren. Getarnt war die Software offensichtlich in gängigen Office-Dateiformaten wie Word, Powerpoint oder PDF, angehangen an Emails von vertrauenerweckenden Absendern, die den Spam- und Virenschutz einfach umgehen konnten. In den Dateien waren kleine Programme integriert, die sich durch das Öffnen automatisch ausführten und damit den Computer mit der schädlichen Software infizierten.
- In beiden Fällen waren die Professionalität der Hacker und die Qualität der Spionagesoftware so herausragend, dass man davon ausgehen kann, dass Firmen oder Staaten diese Angriffe durchgeführt oder zumindest finanziert haben.
4.4.2 Geheimdienste und Industrie-Spionage
- Die folgenden Beispiele sollen zeigen, dass sowohl Deutschland und deutsche Unternehmen von Spionage fremder Geheimdiensten betroffen sind aber auch andere Staaten und Unternehmen durch deutsche Geheimdienste abgehört und ausspioniert wurden. Es gibt noch viele weitere Bespiele auf die nicht eingegangen wird, da sie den Rahmen und das Thema der Fallstudie sprengen würden. Eine große Auswahl wissenschaftlich belegter Fälle kann allerdings unter Google Scholar (Link vom 11.06.2009) gefunden werden.
- Es gilt als sicher, dass der französische Geheimdienst DGSE (Direction General de Securite Exterieur), welcher als sehr aggressiv gilt, die durch unverschlüsselte Faxübertragung eingereichten Angebote des deutschen ICE Konsortiums zum Bau eines Hochgeschwindigkeitszugs in Südkorea abgehört hat und die Informationen an den französischen Hersteller des TGV, GEC Alstom weitergeleitet hat. GEC Alstom konnte daraufhin das Angebot des ICE Konsortiums unterbieten und hat somit den Zuschlag zum Bau bekommen.[10]
- Die Diplom-Kriminologin Bärbel Bongartz hat eine Studie zur Industriespionage entwickelt. An Hand von Umfragen hat sie festgestellt, dass rund 19% von ca. 7500 deutschen Unternehmen schon von Spionagefällen betroffen waren. Das Ziel ist dabei oft das Abfangen von Know-How zu technischen Innovationen und Produktionsabläufen. Besonders stark betroffen ist der Maschinenbau, sowie die Automobilindustrie. Man schätzt die jährlichen Schäden durch Industriespionage in Deutschland auf mehrere Milliarden. Auch das BfV und das BSI zeigen sich besorgt, und versuchen schon seit längerem die Unternehmen aufzuklären um Präventionsmaßnahmen zum Schutz vor Industiespionage durchzuführen. Das BfV warnt vor allem vor chinesischen und russischen Geheimdiensten. Diese dienen meist der nationalen Wirtschaft.[11]
- Aber nicht nur östlichen Geheimdiensten wird Industriespionage vorgeworfen. Im Visier stehen auch US-Geheimdienste, die über das internationale Bankennetzwerk SWIFT Wirtschaftsspionage durchführen sollen.[12]. Auch dem Bundesnachrichtendienst wird immer wieder Wirtschaftsspionage nachgesagt. Eine inoffizielle Veröffentlichung der amerikanischen Regierung beruft sich auf Quellen, in denen der BND beschuldigt wird Hackingangriffe gegen Russland, die USA, Japan, Frankreich, Italien und Großbritannien begangen zu haben. Diese sollen unter dem Decknahmen "RAHAB" Ende der 80er Jahre stattgefunden haben.[13]
4.5 Rechtliche Lage
- Die Rechtliche Lage zur Einflussnahme von Geheimdiensten ist sehr komplex. Wie schon in der Einleitung erläutert, bezieht sich diese Fallstudie auf das deutsche Recht und somit auch auf deutsche Geheimdienste. Da es auch in Deutschland verschiedene Geheimdienste gibt (vgl. Grundlagen - Geheimdienst), wird auch die rechtliche Lage auf die für die IT wichtigsten Geheimdienste begrenzt. Die folgenden Gesetze regeln die Aufgaben und Rechte der Geheimdienste BfV, BKA, BND und BSI.
- In diesen Gesetzen ist geregelt, dass die deutschen Geheimdienste das Recht zur verdeckten Informationsgewinnung, -analyse und -verarbeitung haben. Zum Schutz der Unternehmen und Bürger stehen demgegenüber Gesetze aus der Informationstechnologie. Diese stellen Regelungen auf, wie die Datenhaltung auf IT Systemen zu erfolgen hat. Z.B. ist es lt. dem Bundesdatenschutzgesetz (§14) nur erlaubt, personenbezogene Daten für die Nutzungsdauer aufzubewahren. Das könnten Webserver Logfiles sein, die innerhalb von 90 Tagen für Zugriffsstatistiken benötigt und danach wieder gelöscht werden. Neben dem BDSG gibt es weitere Gesetze, die für diese Fallstudie relevant sind. Folgende Gesetze der IT und Datenspeicherung werden in dieser Fallstudie referenziert:
- Zum Schutz der Daten und der Informationen von privaten Personen, Unternehmen und dem Staat (im folgenden Anwender genannt) gibt es im deutschen Gesetz den Paragraphen zur Ausspähung von Daten:
...die gegen unberechtigten Zugang besonders gesichert sind,...[22]
- Durch diesen Paragraphen ist es nicht gestattet, ohne einen bestimmten Grund auf die Daten der Anwender zuzugreifen.
- Im BDSG ist geregelt, dass in der öffentlichen und privaten Wirtschaft eine bestellte Person für den Datenschutz verantwortlich ist. In Betrieben und Behörden wird der Datenschutz vom Datenschutzbeauftragten organisiert. Dieser untersteht den Landesaufsichtsbehörden für die Überwachung des Datenschutzes. Neben dem Datenschutzbeauftragten, gibt es einen Bundesdatenschutzbeauftragten, der für die Bundesbehörden sowie den Bundesbürgern, die sich in Ihren Datenschutzrechten beeinträchtigt sehen, zuständig ist.
- Der Datenschutzbeauftragte des Cloud Computing Anbieters ist u.a. dafür verantwortlich, dass der §202a StGB eingehalten wird.
- Durch die rechtliche Lage in Deutschland stehen den Geheimdiensten verschiedene Möglichkeiten der Einflussnahme zur Verfügung. Grundsätzlich gelten diese aber für alle deutschen IT- und nicht nur für Cloud Computing Anbieter. Der entscheidende Unterschied liegt im Speicherort der Datenhaltung. Typische Provider/ Anbieter haben die Daten auf Serversystemen in Deutschland gespeichert, bei Cloud Computing Anbietern ist nicht sichergestellt, dass die Daten auf Servern in Deutschland liegen. Es besteht ebenfalls die Möglichkeit, dass die Daten in EU Staaten oder irgendwo auf der Welt gehalten werden. In speziell diesen Fällen, treten die Deutschen IT Gesetze nicht oder nur teilweise in Kraft.
5 Einflussnahme von Geheimdiensten
Um die Einflussnahme von Geheimdiensten auf Cloud Computing Anbieter darzustellen, wird zuerst die Problematik der Datenhaltung in der Wolke erläutert. Es wird der Unterschied zwischen der lokalen und der remote Datenhaltung erklärt, damit klar wird, welchen Einfluss der Geheimdienst nehmen kann, den er nicht bei einer lokalen Datenhaltung nehmen kann. Anschließend werden generelle Gefahren auf die verschiedenen Nutzerkreise von Cloud Computing aufgelistet. Bei den Einflussmöglichkeiten werden legale und illegale Methoden zur Informationsgewinnung gelistet und erklärt. Der letzte Teil dieses Kapitels befasst sich mit möglichen Schutzmaßnahmen, die sowohl von Cloud Computing Anbietern aber auch von Kunden und Benutzern angewandt werden sollen.
5.1 Problematik der Datenhaltung in der Wolke
- Die Problematik der Datenhaltung in der Wolke wird anhand von zwei Beispielen grafisch dargestellt und erläutert. Um die Problematik zu verstehen muss der Unterschied zu der lokalen Datenhaltung erklärt werden. Dazu dient die folgende Grafik:
Abbildung 3: Lokale Datenhaltung
- Wie in der Grafik zu sehen ist, kommuniziert der Anwender über ein separates Netzwerk mit dem Webserver, die die Präsentationsplattform der Webanwendung darstellt. Der Anwender kann Daten auf diesen Servern speichern, ohne dass diese in Verbindung mit dem Internet stehen. Die einzige Möglichkeit, auf diese Server zuzugreifen ist über den Anwender PC, der ebenfalls im lokalen Netzwerk steht. Dieser hat eine Internet Verbindung, die durch eine Firewall geschützt ist. Die Netzwerke sind getrennt, so dass neben den legalen Möglichkeiten nur mit Gewalt in das interne Netzwerk über die Firewall eingedrungen werden kann um an die Daten zu gelangen. Dieser Einbruch wäre unrechtmäßig.[23]
- Im Gegensatz zur lokalen Datenhaltung befindet sich die Webanwendung bei der remote Datenhaltung beim Cloud Computing Anbieter. Der Anwender kommuniziert ebenfalls mit dem Webserver, jedoch nicht im lokalen Firmennetzwerk sondern über das Internet.
Abbildung 4: Datenhaltung in der Wolke- Die genaue Problematik besteht jetzt aus folgenden Gesichtspunkten:
- Rechtlich: Der Server Standort bzw. die Server Standorte sind meist unbekannt
- Technisch: Die Daten werden über das Internet übertragen
- Der Kunde hat sofern nicht anderweitig vertraglich vereinbart, keinen Einfluss darauf, wo die Webanwendung und die Daten liegen. Dieses kann irgendwo auf der Welt sein. Je nach zugesicherter Verfügbarkeit, liegen die Daten gespiegelt auf mehreren Servern in mehreren Ländern. Das bedeutet, das je nach Gesetzeslage im Land der Datenhaltung die Möglichkeit besteht, auf diese zuzugreifen, sie zu modifizieren und weiterzuverwenden.
- Technisch kommt es noch zu einer weiteren Problematik, wie in der Grafik dargestellt, kommuniziert der Anwender über HTTP bzw. HTTPS mit dem Webserver in der Wolke. Bei HTTP besteht die Gefahr, dass Geheimdienste den Datentransfer direkt und ohne Bestrafung mitlesen können. In Deutschland ist das Mitlesen von unverschlüsselten Daten nicht unrechtmäßig. Auch bei der eigentlich sicheren Datenübertragung HTTPS besteht die Möglichkeit, dass Geheimdienste durch die Verwendung von sog. SSL Proxies die Daten während der Übertragung entschlüsseln, verarbeiten und verschlüsselt weiter versenden, ohne dass der Anwender oder der Cloud Computing Anbieter verdacht schöpfen.[24]
- Die Problematik, dass die Daten durch Festplattendiebstahl gestohlen werden besteht überall und gehört deswegen nicht zu den besonderen Gefahren von Cloud Computing und wird nicht weiter untersucht.
5.2 Gefahren
- Welche Arten von Gefahren können auf die Beteiligten bei der Benutzung von Cloud Computing durch die Einflussnahme von Geheimdiensten auftreten? Dieses Kapitel soll einen Überblick darüber geben, was für generelle Gefahren bestehen und wie die einzelnen Parteien davon betroffen sind.
- Es gibt zum einen den Cloud Computing Anbieter, der die Infrastruktur, Plattformen und ggf. Services zur Verfügung stellt. Des Weiteren gibt es den Kunden, der Infrastruktur, Plattformen oder Services beim Anbieter einkauft bzw. anmietet. Er nutzt diese dann um seine eigenen Services Benutzern zur Verfügung zu stellen. Die letzten Beteiligten sind die Anwender, die die angebotenen Services vom sog. Cloud Computing Kunden nutzen. Die beiden anschließenden Unterkapitel berufen sich auf folgendes Fallbeispiel:
Ein Geheimdienst liest illegal Informationen aus, die vom Anwender auf einem Rechner in der Wolke gespeichert werden. Diese Informationen nutzt der Geheimdienst um einem Cloud Computing Anbieter aus seinem Land, Wettbewerbsvorteile zu verschaffen in dem er den Vorfall anonym an die Presse meldet.
5.2.1 Cloud Computing Anbieter
- Im obigen Beispiel ist die Gefahr für einen Cloud Computing Anbieter immer, dass ihm unterstellt wird nicht ausreichende Schutzmaßnahmen getroffen zu haben um Datendiebstahl, -Manipulation oder Angriffe zu verhindern. In Deutschland ist ein IT-Dienstleister und Software Hersteller nur begrenzt haftbar[25], ein Nachweis für die Fehlhaftigkeit von Software oder fahrlässiges Handeln muss der Geschädigte (somit der Cloud Computing Kunde) selbst erbringen.
- Auch wenn der Cloud Computing Anbieter in diesem Fall nur begrenzt haftbar ist, droht ihm Imageverlust, der nicht vernachlässigt werden darf, da dadurch das Vertrauen der Kunden sinkt. Ein bekannter Fall, der leider nicht direkt auf Cloud Computing Anbieter passt, aber ein gutes und aktuelles Beispiel zum Imageverlust zeigt, ist der Datenskandal bei der Telekom aus dem Jahr 2008.[26]. Damals wurden über 17 Millionen Kundendaten aus den Rechenzentren der Telekom gestohlen. Die Telekom hat noch heute mit diesem Skandal zu kämpfen.
5.2.2 Cloud Computing Kunden
- Der Cloud Computing Kunde hat in diesem Fall ein noch größeres Gefahrenpotenzial, da der Image Verlust im ersten Moment ihn selbst trifft, da dem Anwender i.d.R. nicht bekannt ist, ob ihm der angebotene Service aus einem eigenen Rechenzentrum des Kunden oder aus einer angemieteten Cloud gestellt wird. Es besteht also die Gefahr einer Kettenreaktion. Auf der einen Seite muss man seinen Anwendern einen Service bieten, da diese dafür monatlich zahlen, auf der anderen Seite möchte man schnellstmöglich vom Cloud Computing Anbieter weg, da dieser nicht die nötigen Sicherheitsvorkehrungen getroffen hat und die Gefahr besteht, dass die Daten nochmals einem Angriff ausgesetzt sind. Ein Wechsel zu einem anderen Cloud Computing Anbieter wird einen Serviceausfall für die Anwender bedeuten. Die aber wohl größte Gefahr stellt der Diebstahl von Know-How dar das der Geheimdienst in der Wolke anhand von Quellcode gewonnen haben kann. Wenn dieser bei anderen Firmen unter eigenem Namen weiter verwendet und vertrieben wird, kann man von Wirtschaftsspionage sprechen.
5.2.3 Anwender
- Der Großteil der Anwender sind meist jüngere Menschen. Viele von ihnen machen sich keine Sorgen, was mit Daten passiert, die beispielsweise bei folgenden Diensten eingetragen werden:
- Online-Bestellungen
- Chat
- Foren
- Online-Communities
- Oft sind es sehr vertrauliche und persönliche Daten die im Internet gespeichert werden. Anders als die jüngeren Anwender macht sich die Generation über 30 schon viel mehr Gedanken, was mit ihren Daten im Internet passiert. Jedoch haben die Meisten der älteren Generation ein zu geringes Verständnis von Technik, so dass sie die neuen Technologien entweder gar nicht benutzen oder darauf vertrauen, dass nichts passieren wird.
- Der Großteil der Anwender sind meist jüngere Menschen. Viele von ihnen machen sich keine Sorgen, was mit Daten passiert, die beispielsweise bei folgenden Diensten eingetragen werden:
Abbildung 5: Allensbach-Umfrage zum Datenschutz in Firmen und beim Staat
- Eine Umfrage des Instituts für Demoskopie Allensbach hat jedoch ergeben, dass 82% der Deutschen kein Vertrauen in den Datenschutz von Firmen haben.[27] Anwender, die sich nicht darauf verlassen können, dass ihre Daten sicher und vertraulich behandelt werden nehmen immer weniger solcher neuen Dienste in Anspruch. Besonders bei vertraulichen Informationen wie die eigene Anschrift, Telefon-Mobilfunknummern, Konto- oder Kreditkartendaten oder persönliche Emails, werden Anwender zunehmend vorsichtiger. Jüngst sind Fälle bekannt geworden, in denen solche Daten an Dritte weitergereicht oder über das Internet zu finden und frei aufrufbar waren.
5.2.4 Deutschland
- Auch der Bund ist interessiert an einem hohen Sicherheitsstandart in der IT, um die wirtschaftliche und politische Lage Deutschlands zu verbessern und zu gewährleisten. Deutschland stellt aufgrund seiner geopolitischen Lage und der Hochtechnologie ein interessantes Ziel für Wirtschaftsspionage durch andere Länder dar. Deutsche Geheim- und Nachrichtendienste haben unter anderem auch die Aufgabe deutsche Unternehmen vor Industriespionage aus anderen Ländern zu schützen und Gefahren aufzuzeigen. Das BSI gibt jährlich einen Lagebericht zur IT-Sicherheit aus, in dem sich Unternehmen informieren können, auf welche neuen Gefahren sie sich einstellen müssen. Des Weiteren gibt das BSI auch Empfehlungen und Beratung wenn es um die Sicherheit in der IT geht. Auch der Bundesverfassungsschutz betreibt eine Abteilung, die sich auf das Arbeitsfelder der Spionageabwehr, Wirtschaftsschutz, Geheim- und Sabotageschutz spezialisiert hat.[28]
5.3 Einflussmöglichkeiten
- Die Einflussnahme von Geheimdiensten oder Hackern unterscheidet sich im Grunde dadurch, dass Geheimdienste eine höhere kriminelle Energie haben[29] und die gewonnenen oder geänderten Informationen für u.a. folgendes nutzen:
- Industriespionage[30]
- Militärischer Vorteil
- Zerstören und Sammeln von Beweismaterial
- Hacker hingegen werden von Firmen beauftragt und wollen Sicherheitslücken aufdecken. Es gibt auch sog. "böse" Hacker, die Sicherheitslücken aufdecken und diese zum manipulieren von Daten nutzen. Dadurch entstehen in Deutschland finanzielle Schäden in Millionenhöhe.[31] Im Vergleich zu dem Schaden, den Geheimdienste allein durch Industriespionage anrichten, ist der finanzielle Schaden durch Hacker jedoch zu vernachlässigen. In einem Bericht der Financial Times Deutschland ist laut Schätzungen vom BfV mit einem Finanzschaden um die 50 Mrd. Euro pro Jahr durch Wirtschaftsspionage allein in Deutschland zu rechnen.[32]
- Dieses Kapitel soll einen Überblick liefern, wie eine solche Einflussnahme aussehen kann.
- Wie im Kapitel, Problematik der Datenhaltung in der Wolke, kennen gelernt, ist es bei Cloud Computing so, dass Daten in unterschiedlichen Ländern auf Servern gespeichert sind. Der Anwender hat darauf, sofern nicht anderweitig vertraglich vereinbart, keinen Einfluss.
- Es sind legale und illegale Szenarien möglich, Informationen zu prüfen und zu überwachen. Die folgenden Kapitel sollen diese Möglichkeiten weiter im Detail darstellen.
5.3.1 Legale Informationsüberwachung
- Das Ausspähen von ungesicherten Daten ist nicht strafbar. Des Weiteren ist es möglich, dass ein Geheimdienst Informationen auf einem geschützten und nur für einen bestimmten Anwenderkreis autorisiertem Server oder Speichermedien legal prüfen darf, wenn z.B. ein Haftbefehl vorliegt. Durch den Datenschutzbeauftragten des Cloud Computing Anbieters muss sichergestellt werden können, an die entsprechenden Informationen zu einer bestimmten Person gelangen zu können.[33] Diese Informationsbeschaffung muss möglich sein, ohne dass Administratoren darüber in Kenntnis gesetzt werden und soweit wie möglich, ohne dass diese es nachvollziehen können. Der Cloud Computing Anbieter kann sich gegen diese Informationsbeschaffung nicht wehren und muss den Geheimdienst unterstützen.
- Seit Anfang 2008 gilt das Gesetz zur Vorratsdatenspeicherung. Seit dem müssen Telekommunikationsanbieter und Internet Provider die ein- und ausgehenden Verbindungen Ihrer Kunden 6 Monate lang speichern. Bei einem dringenden Verdacht (Gefahr im Verzug und Fluchtgefahr) müssen die Provider ohne dass eine richterliche Erlaubnis besteht den Staatsanwaltschaften, Polizei, Zollkriminal- und Zollfahndungsämter die Verbindungsdaten zur Verfügung stellen. In nicht ganz so dringenden Fällen ist eine Richtererlaubnis jedoch nötig. Daten können über alle Bundesbürger angefordert werden, mit Ausnahme von Strafverteidigern, Geistlichen und Abgeordneten. Geheimdienste wie der Verfassungsschutz und der BND müssen keinen richterliche Erlaubnis einholen um die gespeicherten Daten auszuwerten.[34] Durch die Vorratsdatenspeicherung werden u.a. folgende Daten protokoliert:[35]
- Telefon- und Mobilfunkverbindungen
- Von Anschluss X nach Anschluss Y
- Dauer des Gesprächs
- Typ des Anschlusses (digital/analog)
- Standort der Gesprächspartner
- Datenübertragungen (Mobilfunk)
- Internetverbindungen
- IP-Adresse
- MAC-Adresse
- Aufgerufene Seiten
- Genutzte TCP Protokolle
- Email-Verkehr
- Telefon- und Mobilfunkverbindungen
- Seit Anfang 2008 gilt das Gesetz zur Vorratsdatenspeicherung. Seit dem müssen Telekommunikationsanbieter und Internet Provider die ein- und ausgehenden Verbindungen Ihrer Kunden 6 Monate lang speichern. Bei einem dringenden Verdacht (Gefahr im Verzug und Fluchtgefahr) müssen die Provider ohne dass eine richterliche Erlaubnis besteht den Staatsanwaltschaften, Polizei, Zollkriminal- und Zollfahndungsämter die Verbindungsdaten zur Verfügung stellen. In nicht ganz so dringenden Fällen ist eine Richtererlaubnis jedoch nötig. Daten können über alle Bundesbürger angefordert werden, mit Ausnahme von Strafverteidigern, Geistlichen und Abgeordneten. Geheimdienste wie der Verfassungsschutz und der BND müssen keinen richterliche Erlaubnis einholen um die gespeicherten Daten auszuwerten.[34] Durch die Vorratsdatenspeicherung werden u.a. folgende Daten protokoliert:[35]
5.3.2 Illegale Informationsüberwachung
- Es ist ebenfalls möglich, dass ein Geheimdienst illegal Informationen prüfen und überwachen möchte. Hierzu wird er den Cloud Computing Anbieter nicht einweihen sondern versuchen an die Daten zu gelangen, ohne dass der Anbieter oder Nutzer darüber informiert wird.
- Dieses kann über verschiedene Wege passieren:
- Einbruch beim Cloud Computing Anbieter und Diebstahl der Daten eines Speichermediums (z.B. durch Offline-Kopie)
- Abhören der gesicherten Verbindungen und überwachen der ausgetauschten Daten
- Einbruch auf dem Server des Cloud Computing Anbieters und kopieren der relevanten Daten
- Dieses kann über verschiedene Wege passieren:
- Theoretisch ist es möglich, dass der Geheimdienst aufgrund von irgendwelchen nicht widerlegbaren Bedrohungen Zugriff auf bestimmte persönliche Daten haben möchte. Angenommen der Geheimdienst will den Cloud Computing Anbieter nicht strafbar machen, so besteht jedoch die Möglichkeit, dass er auf den Cloud Computing Anbieter zugeht und ihn dazu bringt, die Daten auf einen Server oder ein Speichermedium zu legen das sich nicht in Deutschland befindet. Da es in Deutschland illegal ist, sich unrechtmäßigen Zugriff auf fremde Daten zu verschaffen[36], würde in diesem Fall das deutsche Gesetz nicht greifen. Ggf. gelten in dem Land, indem die Daten dann liegen eigene Gesetze, die werden hier jedoch nicht berücksichtigt. Die Annahme ist, dass es Länder ohne entsprechende Gesetzeslage gibt.
- Durch diese Einflussnahme könnte der Geheimdienst legal auf die Daten zugreifen. Der BND betreibt schon seit längerem Online-Durchsuchungen im Ausland. Laut einem Spiegel-Online Bericht vom 07.03.2009 hat der BND im Auftrag der Bundesregierung ca. 2500 Computer im Ausland ausspioniert.[37] Die Online-Durchsuchung fanden mit speziell entwickelten Trojanern und Keyloggern statt, mit denen die Festplatten-Daten, Tastatureingaben und somit auch Passwörter zu Email-Konten ausspioniert wurden. Hauptsächliche Ziele dieser Durchsuchungen sind die Überwachung von Terroristischen Vereinigungen in Afghanistan und Pakistan, sowie Krisenländer wie Nordkorea und der Irak. Allerdings fanden in der Vergangenheit auch illegale Online-Durchsuchungen in Deutschland statt. Der jüngste Fall war die Überwachung einer deutschen Journalistin, deren Email-Verkehr kontrolliert wurde, da sie für journalistische Arbeiten in Kontakt mit einem afghanischen Minister war. Der Fall sorgte damals für hohes Politik- und Medienaufsehen. Da Online-Durchsuchungen im Ausland nicht eindeutig gesetzlich geregelt sind, hat der BND hier freien Spielraum. IT-Experten und Politiker aus verschiedenen Fraktionen fordern seit diesen Fällen eine Neuregelung der allgemeinen Generalvollmacht, auf die sich der BND bisher berufen kann.[38]
- Daten in ausländischen Cloud Computing Services wie Google Docs oder Amazon Elastic Compute Cloud können vom BND genauso wie ausländische Email-Dienste überwacht und kopiert werden. Eine deutsche Regelung gibt es hierzu nicht, jedoch ausländische, welche aber nicht weiter erläutert werden.
5.4 Schutzmaßnahmen zur Cloud-Sicherheit
Schutzmaßnahmen kosten Zeit und Geld, bringen in der Funktionalität der Anwendung aber keinen Mehrwert. Warum soll ich Budget dafür bereitstellen?[39]
- Leider kommt das Thema Sicherheit wie immer zu kurz und es wird viel zu wenig Zeit damit verwendet, einen Service sicher zu machen. Dabei gibt es im Internet und somit in der Cloud viele verschiedene Maßnahmen, Daten vor Spionageangriffen, Manipulation und Schadprogrammen zu schützen. Da mit dem Thema IT Sicherheit eine komplette wissenschaftliche Arbeit gefüllt werden kann, werden in diesem Kapitel die bekanntesten Schutzmaßnahmen in Bezug auf das SPI Modell dargestellt und in den darauf folgenden Unterkapiteln erläutert. Des Weiteren wird auf die Rechtliche Lage verwiesen, um darzustellen was in Deutschland erlaubt ist.
5.4.1 Infrastructure as a Service
5.4.1.1 Hardware Firewalls
- Firewalls dienen zur Überwachung von Datenpaketen die durch das Netzwerk übertragen werden. Sie arbeiten mit bestimmten Regeln und Filtern um den Zugriff auf interne Netzwerkressourcen und den Datenverkehr zu überwachen. Firewalls können sowohl aus Hardware als auch aus Software bestehen. Da in der Professionellen IT vornehmlich Hardware Firewalls eingesetzt werden, wird nicht speziell auf Software Firewalls eingegangen. Firewalls werden meist zwischen zwei verschiedenen Netzwerken gestellt. Zum Beispiel um den Datentransfer zwischen Internet und Firmennetzwerk oder aber Internet und privat PC zu kontrollieren. Firewalls gehören zu den ersten Maßnahmen um ein Netzwerk zu sichern, ihre Aufgaben stellten sich als sehr komplex dar. Der BSI hat im Jahr 2001 eine detaillierte Fallstudie zu Firewalls rausgebracht, in der ein direkter Vergleich von verschiedenen Firewall Systemen dargestellt wird.[40]
5.4.1.2 Hardwareverschlüsselung
- Durch Hardwareverschlüsselung wird der komplette Inhalt eines Datenträgers verschlüsselt, ohne das dabei eine bestimmte Software extra installiert werden muss. Die Verschlüsselung wird direkt beim Schreiben in Echtzeit auf den Datenträger vorgenommen. Um auf die Daten zuzugreifen ist ein Schlüssel erforderlich, der beim Hochfahren des Computers oder beim Anschließen des Datenträgers abgefragt wird.
5.4.2 Platform as a Service
5.4.2.1 Gesicherte Verbindungen
- Ein Cloud Computing Anbieter sollte immer die Möglichkeit bietet, den Zugriff auf die Anwendungen über gesicherte Verbindungen anzubieten. Das sollte via HTTP über SSL (Secure Sockets Layer), auch TLS (Transport Layer Security) genannt, gemacht werden. SSL ist ein Verschlüsselungsprotokol zur Datenübertragung dass die Kommunikation zwischen Client und Server verschlüsselt. Die Kommunikation wird auf dem Server auf Betriebssystemebene i.d.R. von OpenSSL verschlüsselt. Auf dem Client wird die Kommunikation erst im Webbrowser selbst entschlüsselt. Somit können die Daten mit einem gewöhnlichen Netzwerksniffer (z.B. wireshark) nicht gelesen werden. Die Authentifizierung erfolgt über Zertifikate. Dazu ist auf dem Server ein sog. Serverzertifikat zu installieren, welches dann vom Webbrowser auf dem Client als gültig oder ungültig erkannt wird. In der Regel ist dieses Zertifikat gültig, es sei denn es ist abgelaufen. Bei HTTPS, so wie es aus dem Internet bekannt ist, wird lediglich der Server auf Gültigkeit überprüft, der Client jedoch außen vor gelassen.
- Um die Verbindung noch sicherer zu machen und zu prüfen ob wirklich der Client auch der Client vom entsprechenden Cloud Computing Anwender ist, kann der Server über ein sog. Clientzertifikat prüfen ob der Client der ist, als der er sich ausgibt und ob das Zertifikat gültig ist. Im Grunde das gleiche wie bei der bekannten HTTPS Authentifizierung, nur andersherum.
- Damit die Verbindung möglichst sicher ist, sollte die in diesem Kapitel beschriebene angeboten werden.[41]
5.4.2.2 System Hardening
- Unter System Hardening versteht man das sog. "härten" eines Systems. Man spricht in diesem Zusammenhang häufig von Least priviledges, was soviel bedeutet wie: Ein System mit den geringsten möglichen Privilegien aufzusetzen. In der IT hat sich das folgende Motto zu diesem Thema durchgesetzt:
So wenig wie möglich aber so viel wie nötig
- Folgendes sind typische Beispiele für das Härten eines Systems:
- User Management (Funktionsuser mit limitierten Rechten für bestimmte Funktionalitäten werden angelegt)
- Systemupdates (Einspielen von Sicherheitsupdates)
- Konfigurationsänderungen (Modifikation der Firewallregeln oder der Windows Registry Einträge)
- Service Stripping (Deaktivierung oder permanente Entfernung von nicht benötigten Diensten)
- Banner Spoofing (Modifikation der Rückmeldungen von Diensten, Programmen, etc.)
- Kernelmodifikationen (Modifikation des UNIX/Linux Betriebssystems)
- Folgendes sind typische Beispiele für das Härten eines Systems:
5.4.3 Software as a Service
5.4.3.1 Datenintegrität
- Neben den gesicherten Verbindungen sollte ein Cloud Computing Anbieter sicherstellen, dass Datenintegrität gewährleistet ist. D.h. dass geprüft werden muss, ob abgeschickte Daten auf der Strecke vom Sender (Client) zum Empfänger (Server), oder umgekehrt, verändert oder beschädigt wurden. Dieses kann durch Prüfsummen (z.b. Hashwert) geprüft werden.
5.4.3.2 Datenverschlüsselung
- Gesicherte Verbindungen sind schon sehr gut, damit die Daten verschlüsselt übertragen werden. Eine weitere Schutzmaßnahme ist es, nicht nur die Verbindung sondern auch die Daten selbst zu schützen indem diese verschlüsselt werden. Diese Verschlüsselung kann über private- und public-Keys gemacht werden. Damit ist sichergestellt, dass selbst wenn die gesicherte Verbindung aufgebrochen wird und die zu übertragenden Daten gelesen werden können, diese immer noch nicht im Klartext sichtbar sind, sondern verschlüsselt.
- Die wohl verbreitetste Public-Private-Key Datenverschlüsslung ist wohl die PGP (Pretty Good Privacy) Technik. Sie wurde vor allem im privaten Bereich populär, wird aber zunehmend auch kommerziell genutzt, um z.B. Emails zu verschlüsseln. PGP wird als extrem sicher betrachtet, und baut auf einem RSA-Algorithmus auf. Mathematiker und IT-Experten sind der Meinung, dass selbst Geheimdienste nur schwer bzw. gar nicht PGP-Dateien entschlüsseln können. Anfänglich hatten die US-Behörden versucht die Verbreitung von PGP zu verhindern, indem Sie es unter das US-Exportgesetz fielen ließen. Darauf wurden Anfang der 90er-Jahre Verschlüsselungssysteme mit einem Schlüssel von mehr als 40bit unter besondere Exportbeschränkungen gestellt. Die erste Version von PGP verwendete eine 128bit Verschlüsselung. Die Exportbeschränkung wurde von dem Entwickler von PGP (Phil Zimmermann) umgangen, in dem er den gesamten Quellcode von PGP in einem Buch veröffentlichte. Ende der 90er Jahre wurden die Exportbeschränkung von den US-Behörden aufgehoben.[42]
- Die Funktionsweise von PGP kann unter folgender Seite nachgelesen werden: http://www.heise.de/security/dienste/pgp/pgp.shtml (Link vom 01.06.2009)
- Die wohl verbreitetste Public-Private-Key Datenverschlüsslung ist wohl die PGP (Pretty Good Privacy) Technik. Sie wurde vor allem im privaten Bereich populär, wird aber zunehmend auch kommerziell genutzt, um z.B. Emails zu verschlüsseln. PGP wird als extrem sicher betrachtet, und baut auf einem RSA-Algorithmus auf. Mathematiker und IT-Experten sind der Meinung, dass selbst Geheimdienste nur schwer bzw. gar nicht PGP-Dateien entschlüsseln können. Anfänglich hatten die US-Behörden versucht die Verbreitung von PGP zu verhindern, indem Sie es unter das US-Exportgesetz fielen ließen. Darauf wurden Anfang der 90er-Jahre Verschlüsselungssysteme mit einem Schlüssel von mehr als 40bit unter besondere Exportbeschränkungen gestellt. Die erste Version von PGP verwendete eine 128bit Verschlüsselung. Die Exportbeschränkung wurde von dem Entwickler von PGP (Phil Zimmermann) umgangen, in dem er den gesamten Quellcode von PGP in einem Buch veröffentlichte. Ende der 90er Jahre wurden die Exportbeschränkung von den US-Behörden aufgehoben.[42]
- Eine gute Alternative zu PGP ist die Open-Source Verschlüsselungs-Lösung "GNU Privacy Guard".
- Des Weiteren schützen verschlüsselte Daten davor, dass der Geheimdienst diese einfach vom Server des Cloud Computing Anbieters kopiert (vgl. Theoretische Einflussnahme) und auf irgendeinem gespiegelten System liest. Natürlich kann der Geheimdienst die Daten entschlüsseln aber das bedeutet Zeit- und Kostenaufwand. Selbst wenn man wüsste welche Verschlüsselungstechnik angewendet wurde und wie diese funktioniert, müsste man alle möglichen Schlüssel durchprobieren. Je nachdem wie stark die Verschlüsselung der Daten ist, kann eine Entschlüsselung mehrere Stunden, bzw. auch mehrere Tage dauern. Geheimdienste nutzen für die Entschlüsselung entsprechende High-End Großrechner, die mit einer Vielzahl von Prozessoren und Speicher ausgerüstet sind, um eine Entschlüsslung in möglichst geringer Zeit durchführen zu können. Man spricht in diesem Fall von der Brute-Force-Methode.[43]
5.4.3.3 Anti-Spy und Anti-Viren Software
- Dadurch dass die genutzten IT-Ressourcen nicht real auf dem Client liegen sondern in einer "Rechnerwolke", können sich Schadprogramme wie Trojaner, Würmer oder Viren noch viel rasanter verbreiten als heutzutage. Die Anbieter von Anti-Viren-Software stehen daher vor neuen Herausforderungen. Zum einen muss der Client geschützt werden, mit dem der Endanwender auf die Cloud-Dienste zugreift. Und zum Anderen muss der Cloud Service selbst von den Daten, die vom Endanwender kommen oder von Cyberkriminellen / Geheimdiensten manipuliert oder ausspioniert werden, geschützt werden. IT-Sicherheitsfirmen versuchen schon längst diese möglichen Gefahren zu erkennen und neue Produkte zu entwickeln. IT-Sicherheitsexperten gehen davon aus das es in Zukunft für die Cloud Services, Cloud Services geben wird, die sich auf die Cloud-Sicherheit spezialisieren. Das würde heißen, dass die IT-Sicherheitsdienste selbst als Cloud Dienst angeboten werden. Man geht davon aus wenn sich der Anstieg von Schadprogrammen so fortsetzen wie in den letzten Jahren, es unabdingbar ist IT-Sicherheitsdienste als Cloud Dienste anzubieten, da eine Viren-Signatur-Datenbank mehr Speicher verbrauchen würde, als den meisten PC's heutzutage zur Verfügung steht. Konkret heißt das, dass ein einzelner Rechner mit der Vielzahl von Viren-Signaturen überfordert wäre. Dadurch dass Anti-Viren-Software und andere Sicherheitsdienste in einer Cloud laufen und andere CC-Dienste überwachen würden, könnten Viren-Signatur-Datenbanken sehr schell aktualisiert werden. Wenn z.B. ein neuer Trojaner erkannt wird könnte die Verbreitung dadurch gestoppt werden, dass das BfV und das BIS versuchen eng und regelmäßig mit IT-Sicherheitsfirmen zusammen zu arbeiten. [44]
5.4.4 Rechtliche Maßnahmen
- Im Kapitel Illegale Informationsüberwachung wurde festgestellt das es keine eindeutige Regelung für die Online-Durchsuchung im Ausland gibt. Der BND hat auf Grund der allgemeinen Generalvollmacht, die im BND Gesetz festgeschrieben ist, freies Geleit wenn es um Online-Durchsuchungen im Ausland geht. Genauso wurde im Kapitel Rechtliche Lage die derzeitigen Möglichkeiten aufgezeigt, die deutsche Geheimdienste anwenden können, wenn es um Online-Überwachung im Inland geht. Seit längerem fordern Politiker eine eindeutige Regelung, bisher konnte aber nur für die Innere Überwachung eine durchgesetzt werden. Das Bundesverfassungsgericht fällte im Februar 2008 nach einer Klage eines ehemaligen Bundesministers das Urteil, dass Online-Durchsuchungen innerhalb der BRD nur noch unter strengen Auflagen durchgeführt werden können. Überwachungen hingegen im Ausland sollen zukünftig nur noch nach dem "Grundsatz der Verhältnismäßigkeit" durchführbar sein. Der BND-Präsident soll zukünftig jede einzelne Maßnahme prüfen und persönlich genehmigen, somit erhoffen sich die Politiker und Datenschützer mehr Transparenz und Sensibilisierung wenn es mit dem Umgang von fremden Daten geht.
- Eine weitere rechtliche Maßnahme könnte auch eine internationale Einigung zur Internet- und Telekommunikationsüberwachung sein. Gespräche und Einigungen dazu sind bei den Treffen der G8-Staaten bisher gescheitert, da die Staaten in erster Linie ihre Interessen vertreten und es durchaus für manche lukrativ ist, Geheimdiensten mehr Macht einzuräumen als andere Staaten wollen. In den Grundlagen wurde erläutert, dass manche Staaten gezielt Wirtschaftsspionage betreiben, um Technologien zu klauen und Produkte zu kopieren.
6 Fazit/Schlussbetrachtung
Cloud Computing ist ein weiterer Trend in der IT-Branche, der in den letzten Jahren sehr an Bedeutung gewonnen hat. Es bietet vor allem im Hinblick auf Einsparungen in der IT hohes Potenzial. Allerdings hat diese Fallstudie gezeigt, dass die neue Technologie auch weitere Risiken mit sich bringt. Besonders mit Blick auf Datenschutz, -Verlust, Manipulation und Diebstahl von Daten und Know-How darf man diese jedoch nicht verharmlosen.
Vor allem private Anwender und kleine bis mittelständische Unternehmen gehen im Internet noch viel zu sorglos mit ihren Daten um. Alleine durch das Verhalten der Anwender ist es schwierig, die Daten durch Sicherheits- oder Rechtliche-Maßnahmen vollständig zu schützen. Das Thema Sicherheit wird in vielen Unternehmen wenig betrachtet, da es Geld kostet und zumindest Funktional keinen Mehrwert bietet. Die deutschen Geheimdienste versuchen dem entgegenzusteuern, in dem sie neue Sicherheitstechnologien mitentwickelt und die Unternehmen und Privathaushalte versuchen aufzuklären. Auf der anderen Seite versuchen sie auch Einfluss auf IT-Dienstleiter (u.a. Cloud Computing Anbieter) auszuüben in dem sie auf deren Protokolldaten zugreifen dürfen, um Kriminelle virtuell (im Internet) verfolgen zu können. Inwieweit Cloud Computing Dienstleistungen die Einflussnahme von Geheimdiensten verstärken werden, sind derzeit noch nicht abzusehen, da die Technologie noch relativ jung ist. Derzeit werden Geheimdienste mit der aktuellen Gesetzeslage konfrontiert, in der es u.a. heißt: Solange der Standort der Datenhaltung nur in Deutschland ist, greifen die deutschen Gesetze und der Anwender sowie seine Daten sind soweit es die Schutzmaßnahmen hergeben geschützt. Sobald der Datenstandort nicht mehr in Deutschland ist, haben die Geheimdienste ohne richterliche Erlaubnis die Möglichkeit, auf die Daten in der Cloud zuzugreifen, ohne das deutsche Gesetz zur verletzen. Sofern kein Hinweis darauf besteht, dass nur autorisierte Personen auf ein System zugreifen dürfen, ist es verboten Daten zu manipulieren und zu sabotieren; der reine Einbruch jedoch nicht. Des Weiteren gibt es kein Gesetz in Deutschland, was es verbietet ungesicherte Daten die übers Internet transportiert werden abzuhören. Gesetze in anderen Ländern sind da ggf. anders, wurden in dieser Fallstudie jedoch nicht weiter berücksichtigt. Durch diese Gegebenheiten muss sowohl der Cloud Computing Anbieter als auch der Cloud Computing Kunde und der Anwender darauf achten, dass seine Daten so sicher wie möglich sind.
Auch in der heutigen, offenen Kommunikationswelt stehen Staaten in Konkurrenz zueinander so dass es weiterhin kriminelle und terroristische Bedrohungen gibt. Ob und in wieweit die Politik spezielle Maßnahmen zu Cloud Computing Diensten ergreifen wird ist fraglich, da auf bestehende Technologien aufgebraut wird.
7 Fußnoten
- ↑ vgl. Singh (2001), Seite 9-17
- ↑ vgl. [BfV], passim
- ↑ vgl. [BfV1], passim
- ↑ vgl. [BND], passim
- ↑ vgl. [BND1], passim
- ↑ vgl. [BKA], passim
- ↑ vgl. [BKA1], passim
- ↑ vgl. [BSI], passim
- ↑ vgl. [BSI1], passim
- ↑ vgl. Hummelt (1997), passim.
- ↑ vgl. [COPT], passim
- ↑ vgl. [SILICON], passim
- ↑ vgl. [FAS], passim
- ↑ vgl. [JURIS], passim
- ↑ vgl. [JURIS1], passim
- ↑ vgl. [JURIS4], passim
- ↑ vgl. [BGB], passim
- ↑ vgl. [JURIS2], passim
- ↑ vgl. [JURIS3], passim
- ↑ vgl. [JURIS3], passim
- ↑ vgl. [STGB], passim
- ↑ vgl. [STGB] §202a
- ↑ vgl. [STGB] §202a
- ↑ vgl. [OOW], passim
- ↑ vgl. [BSI4], Seite 60
- ↑ vgl. [TGS], passim
- ↑ vgl. [PCP], passim
- ↑ vgl. [BFV2], passim
- ↑ vgl. Kapitel Geheimdienste
- ↑ vgl. Kapitel Geheimdienste und Industrie-Spionage
- ↑ vgl. [BSI2], passim
- ↑ vgl. [FTD], passim
- ↑ vgl. [JURIS3], §4 (6)
- ↑ vgl. [VDS2], passim
- ↑ vgl. [VDS], passim
- ↑ vgl. [STGB] §202a
- ↑ vgl. [SPO], passim
- ↑ vgl. [SPO1], passim
- ↑ Diese Aussage kommt immer wieder von sog. Business Ownern, die bei der IT einen Service beauftragen um diesen dann den Mitarbeitern eines Unternehmens anzubieten. Die Autoren führen in nahezu jedem IT Projekt in der eigenen Firma Diskussionen zu genau solchen Sicherheitsthemen.
- ↑ vgl. [BSI3], passim
- ↑ vgl. [SSL], passim
- ↑ vgl. [PGP], passim
- ↑ vgl. [WIKI], passim
- ↑ vgl. [VIR], passim
8 Quellenverzeichnis
| [BFV] | Bundesamt für Verfassungsschutz, Was genau macht der Verfassungsschutz?, http://www.verfassungsschutz.de (Link vom 15.05.2009) |
| [BFV1] | Bundesamt für Verfassungsschutz, Was genau macht der Verfassungsschutz?, http://www.verfassungsschutz.de/de/das_bfv/waswirtun/was_genau.html (Link vom 11.06.2009) |
| [BFV2] | Spionageabwehr, Proliferationsabwehr, Geheim- und Sabotageschutz, Wirtschaftsschutz http://www.verfassungsschutz.de/de/arbeitsfelder/af_spionageabwehr_und_geheimschutz (Link vom 15.05.2009) |
| [BGB] | Bundesgesetzblatt, Gesetz zur Abwehr von Gefahren des internationalen Terrorismus durch das Bundeskriminalamt, http://www.bgblportal.de/BGBL/bgbl1f/bgbl108s3083.pdf (Link vom 15.05.2009) |
| [BKA] | Bundeskriminalamt, Webseite des BKA, http://www.bundeskriminalamt.de (Link vom 15.05.2009) |
| [BKA1] | Bundeskriminalamt, Aufgabenverständnis - Gesetzlicher Auftrag vom BKA, http://www.bundeskriminalamt.de/profil/profil1.html (Link vom 11.06.2009) |
| [BND] | Bundesnachrichtendienst, Wir über uns., http://www.bnd.de/cln_090/nn_1365548/sid_A3B44939FC415A49A517B2C8C3C198F4/nsc_true/DE/WirUeberUns/WirUeberUns__node.html?__nnn=true (Link vom 11.06.2009) |
| [BSI] | Bundesamt für Sicherheit in der Informationstechnik, Webseite des BSI, http://www.bsi.de (Link vom 15.05.2009) |
| [BSI1] | Bundesamt für Sicherheit in der Informationstechnik, Die Aufgaben des BSI, http://www.bsi.de/bsi/organisation.htm (Link vom 11.06.2009) |
| [BSI2] | Bundesamt für Sicherheit in der Informationstechnik, Hacker, Cracker, Script Kiddies, http://www.bsi-fuer-buerger.de/abzocker/05_03.htm (Link vom 11.06.2009) |
| [BSI3] | Bundesamt für Sicherheit in der Informationstechnik, Fallsutdie des BSI über Firewalls, http://www.bsi.bund.de/literat/studien/firewall/fwstud01/fwstud.pdf (Link vom 05.06.2009) |
| [BSI4] | BSI-Lagebericht 2009 http://www.bsi.de/literat/lagebericht/Lagebericht2009.pdf (Link vom 15.05.2009) |
| [COPT] | corporate-trust.de, KMU Magazin Nr.4 (Mai 2008): Firmen und Geheimdienste interessieren sich auch für KMU, http://www.corporate-trust.de/pdf/pm-080528.pdf (Link vom 10.06.2009) |
| [FAS] | Fas.org - Operations Security - INTELLIGENCE THREAT HANDBOOK, ECONOMIC INTELLIGENCE COLLECTION DIRECTED AGAINST THE UNITED STATES, http://www.fas.org/irp/nsa/ioss/threat96/part05.htm (Link vom 21.06.2009) |
| Faßl (2002) | Robert Faßl: Internet und Recht: Datenschutz im Internet, Fachhochschule der Sächsischen Verwaltung Meißen, 2002, ISBN (e-Book) 978-3-640-04188-6 |
| [FTD] | Financial Times Deutschland, Wirtschaftsspione zielen auf Mittelstand, Artikel vom 16.12.2008, http://www.ftd.de/unternehmen/industrie/:Gefahr-von-Sp%E4hangriffen-Wirtschaftsspione-zielen-auf-Mittelstand/451956.html (Link vom 11.06.2009) |
| Hummelt (1997) | Roman Hummelt: Wirtschaftsspionage auf dem Datenhighway, Veröffentlicht von Hanser Verlag, 1997, ISBN 3446190708 |
| [JURIS] | Bundesministerium der Justiz, Gesetz über den Bundesnachrichtendienst, http://bundesrecht.juris.de/bndg/BJNR029790990.html (Link vom 15.05.2009) |
| [JURIS1] | Bundesministerium der Justiz, Bundesverfassungsschutzgesetz - BVerfSchG, http://bundesrecht.juris.de/bverfschg/BJNR029700990.html (Link vom 15.05.2009) |
| [JURIS2] | Bundesministerium der Justiz, Telekommunikationsgesetz, http://bundesrecht.juris.de/tkg_2004/BJNR119000004.html (Link vom 15.05.2009) |
| [JURIS3] | Bundesministerium der Justiz, Bundesdatenschutzgesetz, http://bundesrecht.juris.de/bdsg_1990/BJNR029550990.html (Link vom 15.05.2009) |
| [JURIS4] | BSI Errichtungsgesetz http://bundesrecht.juris.de/bsig/BJNR028340990.html (Link vom 15.05.2009) |
| [OOW] | Fachhochschule OOW, Prof. W. Koops – Datensicherung mit dem RSA-Algorithmus (2007), http://staff.fh-oow.de/koops/Vorlesung%20Netze%20RSA.pdf (Link vom 20.05.2009) |
| [PCP] | Pc-professionell.de, Allensbach-Umfrage zum Datenschutz in Firmen und beim Staat, http://www.pc-professionell.de/album.php?name=20090508_datenschutz-umfrage&item=1 (Link vom 11.06.2009) |
| [PGP] | Wikipedia.de, Pretty Good Privacy, http://de.wikipedia.org/wiki/Pretty_Good_Privacy (Link vom 11.06.2009) |
| Schwenk (2005) | Jörg Schwenk: Sicherheit und Kryptographie im Internet: Von sicherer e-mail bis zu IP-verschlüsselung, Veröffentlicht von Vieweg+Teubner Verlag, 2005, ISBN 3834800422 |
| [SILICON] | Silicon.de - Sicherheit - Security-Management, Wachstum bei Industriespionage, http://www.silicon.de/sicherheit/management/0,39039020,39160392,00/wachstum+bei+industriespionage.htm (Link vom 10.06.2009) |
| Singh (2001) | Simon Singh: Geheime Botschaften. Die Kunst der Verschlüsselung von der Antike bis in die Zeiten des Internet, Veröffentlicht von Deutscher Taschenbuch Verlag, 2001, ISBN 3423330716 |
| [SPO] | Spiegel Online, BND infiltrierte Tausende Computer im Ausland, http://www.spiegel.de/netzwelt/web/0,1518,611954,00.html (Link vom 26.05.2009) |
| [SPO1] | Spiegel Online, BND beobachtete afghanischen Minister Farhang, http://www.spiegel.de/politik/deutschland/0,1518,549434,00.html (Link vom 26.05.2009) |
| [SSL] | Uni-Linz, Seminararbeit zu Secure Socket Layer von Lehner Thomas, http://www.ssw.uni-linz.ac.at/Teaching/Lectures/Sem/2000/Lehner/ (Link vom 11.06.2009) |
| [STGB] | Strafgesetzbuch http://dejure.org/gesetze/StGB/202a.html (Link vom 02.06.2009) |
| [TGS] | Tagesschau.de - Inland, Neues Problem für die Telekom - Daten von 17 Millionen T-Mobile-Kunden geklaut, http://www.tagesschau.de/inland/telekom186.html (Link vom 11.06.2009) |
| [VDS] | Vorratsdatenspeicherung.de, Hintergrund-Informationen zur Vorratsdatenspeicherung, http://www.vorratsdatenspeicherung.de/content/view/78/86/lang,de/ (Link vom 26.05.2009) |
| [VDS1] | Europa Lexikon, Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, http://eur-lex.europa.eu/Notice.do?val=425159%3Acs&lang=de&list=425159%3Acs%2C&pos=1&page=1&nbl=1&pgs=10&hwords=&checktexte=checkbox&visu= (Link vom 26.05.2009) |
| [VIR] | Viruslist.com, Fallstudie: Freier Blick für die Zukunft - Cloud-Computing und Cloud- Sicherheit, http://www.viruslist.com/de/analysis?pubid=200883647 (Link vom 11.06.2009) |
| [WIKI] | Wikipedia.de, Brute-Force Methode, http://de.wikipedia.org/wiki/Brute-Force-Methode (Link vom 14.06.2009) |
