Cloud Computing: "Nie war es so einfach, sich einen Trojaner einzufangen"

Sicherheitsexperten sehen mit Überwachungsprogrammen wie PRISM und Tempora nicht das Ende des Cloud Computing kommen. Das Konzept sei "zu verführerisch", als dass es nun unattraktiv werden könnte, konstatierte Michael Herfert vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) am Donnerstag auf einer Veranstaltung des Forums Technikjournalismus (FTJ) in Berlin. Gängige Cloud-Dienste hätten aber ein "Problem mit dem Vertrauensmodell".

Solche Angebote verlangten es meist, dass Applikationen auf dem Rechner des Nutzers laufen – ein Einfallstor für eine Insiderattacke: "Nie war es so einfach, einen Trojaner auf einem Rechner zu installieren wie heute", führte Herfert aus – zum Beispiel durch einen automatischen Update-Mechanismus. Zumindest bei externen Dateiablagen sollten daher die eigentlichen Speicherfunktionen von der Anwendungssoftware getrennt ablaufen und Daten verschlüsselt werden, wie zum Beispiel bei Boxcryptor. An derartigem arbeite das SIT im Projekt "OmniCloud"; sie soll im Frühjahr 2014 auf den Markt kommen.

Bei Cloud-Systemen mit echter Verarbeitung von Daten aus Webshops oder aus dem Personalwesen ist Herfert zufolge dagegen kein solcher zusätzlicher Schutz möglich, da die Bits und Bytes im Klartext vorliegen müssten. Es gebe zwar den alten Traum von Kryptographen, mit verschlüsselten Daten arbeiten zu können, solche Verfahren seien aber noch nicht einsatzreif.

Für Herfert ist es kein Wunder, dass laut Umfragen 80 Prozent der Firmen Sicherheitsbedenken bei Cloud Computing haben und die Zuverlässigkeit der Dienste vielfach selbst bei großen Anbietern wie Amazon, Google oder Microsoft angezweifelt werde. So sei es schwierig, den Quellenschutz journalistischer Informationen oder den Datenschutz allgemein zu gewährleisten.

Die mit den PRISM-Enthüllungen ausgelöste Debatte sieht Herfert eher als Chance für deutsche und europäische Cloud-Anbieter. Sie unterlägen im Gegensatz zu ihren US-Konkurrenten nicht dem Patriot Act, solange sie nicht hauptsächlich in den USA tätig seien. Aufgrund der britischen Spitzelaktivitäten mit Tempora müsse man aber auch auf dieser Seite des Atlantiks vorsichtig sein. Herfert forderte einheitliche Kennzeichen für die Bewertung von Cloud-Diensten und ein Gütesiegel.

Sicherheit müsse massiv von den Verbrauchern eingefordert werden, meinte Günther Welsch vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Bestimmte Techniken sollten nur bis zu einer bestimmten Grenze genutzt werden. Eine Institution dürfe keine Kernkompetenzen in Rechnerwolken auslagern, wenn dessen Folgen zu überblicken seien.

Für den Netzaktivisten und früheren Wikileaks-Sprecher Daniel Domscheit-Berg sind viele Cloud-Dienste intransparent. Es sei schwer einschätzbar, ob die eingesetzten Techniken überhaupt kontrollierbar seien. Daher müsse hier auf Open Source und offene Standards gesetzt werden. Das derzeitige Wachstum von Cloud-Nutzern erklärte er damit, dass zum Beispiel Smartphone-Anwender automatisch in Backup-Systeme hineinrutschten. Hier könne eine Vielzahl dezentraler Anbieter helfen.

Jörn Kellermann von T-Systems freute sich über eine Zuwachsrate von 50 Prozent im Jahr in der "Private Cloud" der Deutschen Telekom. Durch über 1000 abgeschlossene Verträge erwirtschafte das Unternehmen 2 Milliarden Euro in diesem Jahr. Der Bonner Konzern investiere jährlich einen dreistelligen Millionenbetrag in IT-Sicherheit, der in Personal, Zertifizierungen oder Maßnahmen für technische Ausfallsicherheit fließe. Vor PRISM sei für viele Kunden der Preis entscheidend gewesen, jetzt werde Vertrauen wichtiger. Um dieses zu gewinnen, sei es wichtig, verschiedene Schutzklassen von Daten zu definieren und kein Cloud-Produkt von der Stange zu verkaufen. (anw)