Dieses Oneconsult Security Advisory zeigt die Stärken, aber auch die Grenzen von BYOK und BYOE auf und liefert Denkanstösse für deren sinnvollen Einsatz.
Ausgangslage
Mit der wachsenden Akzeptanz und der breiten Etablierung von Cloud-Diensten wurden spätestens nach den Snowden-Veröffentlichungen Fragen nach dem Schutz der Daten auf firmenfremder Hardware laut.
Ein wichtiger Punkt dabei stellt die Verschlüsselung der Daten dar. Diese wird für bestimmte Anwendungen sogar zwingend vertraglich oder gesetzlich gefordert. Die Cloud stellt dabei besondere Herausforderungen, da eine Ver-/Entschlüsselung immer einen Schlüssel beinhaltet, der geheim gehalten werden muss: Wie kann ein solcher Schlüssel sicher in die Cloud übertragen und/oder dort verwaltet werden?
Je nach Anwendungsfall kommen zudem Bedenken bezüglich Zugriffen von fremden Staaten hinzu. Die meisten Anbieter von Cloud-Diensten fallen z.B. unter die US-Amerikanische Rechtsstaatlichkeit. Entweder weil es sich bei den Anbietern um amerikanische Unternehmen handelt (Microsoft, Amazon, Google etc.) oder weil die Unternehmen «systematisch» in den USA geschäftstätig sind. Mit der Verabschiedung des «USA Patriot Acts» können US-Behörden von Unternehmen, welche unter die eigene Rechtsstaatlichkeit fallen Geschäfts- sowie persönliche Daten von Nicht-Amerikanern einsehen, ohne dass die im hiesigen, im Vergleich tendenziell strikten Datenschutzgesetze durch die Dienste beachtet werden müssen. Und dies auch dann, wenn die betroffenen Systeme nicht auf US Boden stehen.
“That intelligence capability is enormously important to the United States, to our conduct of foreign policy, to defense matters, [to] economic matters. And I am a strong supporter of it.”
— Former Vice President Dick Cheney
Um dem Datenhunger der US-Dienste entgegenzutreten, wurde das «Safe-Harbour»-Abkommen zwischen der EU und den USA unterzeichnet. Das Abkommen sollte den Austausch von personenbezogenen Daten unter Berücksichtigung der EU-Datenschutzgesetze regeln. Das Safe-Harbour-Abkommen wurde jedoch im Oktober 2015 durch den Europäischen Gerichtshof (EuGH) für ungültig erklärt und im August 2016 durch das «EU-US Privacy Shield» Abkommen abgelöst.
Analog zu der EU, wurde auch in der Schweiz ein «US-Swiss Safe Harbor Framework» ausgearbeitet und nach dem EuHG Beschluss durch den Bundesrat formell wieder aufgehoben. Im Januar 2017 wurde das «Swiss-US Privacy Shield»-Abkommen als Nachfolgeregelung festgelegt.
In der letzten Zeit wurden verschiedene Lösungsansätze vorgestellt, um das Vertrauen in die Cloud zu erhöhen (im Folgenden wird davon ausgegangen, dass die geschützten Daten nicht nur in der Cloud gespeichert sind, sondern auch dort verarbeitet werden sollen):
Bring Your Own Key
Hinter dem Begriff «Bring Your Own Key» steht das Konzept, dass Daten auf den Cloud-Diensten vom Cloud Anbieter verschlüsselt abgelegt werden, wobei (im Idealfall) nur der Kunde über den Zugriff auf den Schlüssel verfügt. Eine reine BYOK-Lösung bei der Daten in der Cloud verarbeitet werden, bringt aber erhebliche Schwachstellen mit sich:
- Der Cloud-Dienstanbieter hat die Kontrolle über die Verschlüsselungssoftware und somit die Möglichkeit einen «Masterkey» zu generieren, mit welchem sich die verschlüsselten Daten entschlüsseln lassen.
- Der Cloud-Dienstanbieter hat die Kontrolle über die Hardware. Wenn Daten in der Cloud entschlüsselt werden, müssen der Schlüssel und die zu verarbeitenden Daten zwangsläufig in den Hauptspeicher des Servers kopiert werden. Wer Zugriff auf den Server hat (physisch oder auf das Betriebssystem), kann den Speicher «dumpen» und die entschlüsselten Daten auslesen oder auch gezielt nach dem Schlüssel durchsuchen.
Bring Your Own Key & HSM
HSM steht für «Hardware Security Module», ein physisches Gerät bzw. ein Prozessor, welcher kryptographische Schlüssel verwaltet:
«Alle Kryptofunktionen, bei denen die geschützten Schlüssel verwendet werden, finden innerhalb der HSM Grenzen statt. So ist sichergestellt, dass diese Schlüssel die Sicherheitsgrenze des HSM nie verlassen und somit auch von Microsoft nicht eingesehen werden können.» – Beschreibung von BYOK der Microsoft Azure Cloud
- Schwachstellen sind jedoch auch in einer BYOK-Implementation mit HSM vorhanden:
HSM Lösungen verhindern das direkte Auslesen eines Schlüssels aus dem Speicher des Servers. Das Problem, dass ein Dienstleister sich möglicherweise selbst einen «Masterkey» ausstellen kann, bleibt aber bestehen, genauso wie die Möglichkeit, entschlüsselte Daten von den Servern auszulesen. - Je nach Implementation der Verschlüsselung wird nur der für die eigentliche Verschlüsselung verwendete Schlüssel vom HSM entschlüsselt und an die Server weitergegeben. In solchen Szenarien kann der Schlüssel für den Zugriff auf die Daten ebenfalls aus dem Hauptspeicher des Servers ausgelesen werden.
- Wenn das HSM als Entschlüsselungs-Gateway fungiert, welches zwischen persistentem Speicher und den Servern die Daten entschlüsselt, könnte z.B. mit einem geklonten oder kompromittierten Server auf diese Schnittstelle zugegriffen werden, um Daten auszulesen. Derartige Aktivitäten sollten zwar in den Schlüssel-Management-Logs ersichtlich sein, aber bis die Anomalien entdeckt werden, sind die Daten bereits entwendet.
- Direkte Angriffe auf die aktuell in den Cloud Lösungen verwendeten HSM sind zwar nicht bekannt, aber in der Vergangenheit wurden HSM bereits erfolgreich angegriffen: Dem Team von Karsten Nohl gelang es beispielsweise, wie auf dem 32. Chaos Computer Congress (CCC) präsentiert, gleich auf zwei verschiedenen Wegen geschützte Daten aus einem HSM auszulesen – Per «Side Channel Attack», der Messung von leichten Abweichungen von Antwortzeiten auf Seiten des HSMs, sowie durch das Kurzschliessen von Sicherheitsmechanismen und direktem Zugriff auf den Prozessor selbst. Es ist davon auszugehen, dass was einem Team von Sicherheitsforschern gelingt, für die mächtigen Geheimdienste ebenfalls möglich ist.
Bring Your Own Encryption
Cloud Dienstleister, welche «Bring Your Own Encryption» anbieten gehen einen Schritt weiter als mit «Bring Your Own Key» und überlassen dem Kunden zusätzlich die Auswahl und das Verwalten der kryptographischen Algorithmen. Aus Sicherheitssicht ändert sich dadurch an den oben genannten Punkten allerdings nichts. Wenn aus Compliance-Gründen spezifische Algorithmen gefordert werden, kann diese Flexibilität jedoch hilfreich sein.
Fazit
BYOK/BYOE Lösungen erhöhen die Sicherheit von Daten in der Cloud, sind jedoch kein «magisches Allheilmittel». Verschiedene Angriffe, die darauf basieren, die Daten aus persistentem Speicher auszulesen können so verhindert werden. Abhängig von der genauen Implementation sind jedoch, wie hier beschrieben, weiterhin Angriffe auf die Daten möglich. Insbesondere dann, wenn der primäre Grund dafür, nicht auf eine Cloud-Lösung zu setzen die Angst vor Zugriffen durch die US Behörden auf Basis des «Patriot Acts» war, wird auch durch BYOK/BYOE keine zufriedenstellende Lösung geboten. In Szenarien, in denen die Daten nur in der Cloud gespeichert werden sollen und die verwendeten Schlüssel sicher gewählt werden und die lokalen Systeme des Nutzers nicht verlassen, kann eine BYOK/BYOE-Lösung aber durchaus einen vollständigen Schutz gegen Datenabflüsse in der Cloud bieten.
Autor
Immanuel Willi ist Senior Security Consultant & Penetration Tester bei der Oneconsult AG.
Über Oneconsult
Die Oneconsult-Unternehmensgruppe ist seit 2003 Ihr inhabergeführter, produkte- und herstellerunabhängiger Schweizer Cybersecurity Services Partner mit Büros in Thalwil (Zürich), Bern und München. Die Oneconsult-Gruppe besteht aus der Holdinggesellschaft Oneconsult International AG und deren Tochtergesellschaften Oneconsult AG und Oneconsult Deutschland GmbH.
30+ hochqualifizierte Spezialisten – darunter zertifizierte Penetration Tester (OPST, OPSA, OSCP, GXPN), IT-Forensiker (GCFA, GCFE, GREM), ISO Security Auditoren (ISO 27001 Lead Auditor) und IT Security Researcher – meistern Ihre anspruchsvollsten Herausforderungen im Informationssicherheitsbereich. Gemeinsam packen wir Ihre externen und internen Bedrohungen, wie Malware-Infektionen, Hacker-/APT-Attacken sowie digitalen Betrug und Datenverlust mit Kerndienstleistungen wie Penetration Tests / Ethical Hacking, APT-Tests unter Realbedingungen und ISO 27001 Security Audits an. Bei Notfällen können Sie rund um die Uhr (24 h x 365 Tage) auf die Unterstützung des Oneconsult Incident Response & IT Forensics Expertenteams zählen.