Das Dokument bietet einen umfassenden Überblick über Cloud Computing, einschließlich der verschiedenen Service- und Liefermodelle sowie ihrer Vorteile und Risiken. Es behandelt den Datenschutz, die potenziellen Missbrauchsmöglichkeiten von Cloud-Diensten für Cyberangriffe und die Herausforderungen der Forensik in der Cloud. Zudem wird auf die Notwendigkeit von Sicherheitsmaßnahmen und die Verantwortung der Cloud-Anbieter eingegangen.

1. Cloud Computing –
Technologie & Missbrauchspotentiale
Jens Deponte
adesso AG
11.07.2011

2. Cloud
11.07.2011 2 Cloud Computing - Technologie und Missbrauchspotential

3. Cloud Servicemodelle: IaaS – PaaS – SaaS
Infrastructure Platform Software
as a Service as a Service as a Service
> Virtuelle Server
> Analog zu > Application Server in
Virtualisierung der Cloud > Software Service in
> Nur Betriebssystem, > Automatisches der Cloud
Storage etc. Skalieren > EMail, CRM, Office
> Erst nach Installation > Basis für Individual- Suites…
von Applikationsinfra- Software
struktur nutzbar
Google AppEngine
11.07.2011 3 VMware CloudFoundry
Cloud Computing - Technologie und Missbrauchspotential

4. Gemeinsame Eigenschaften
► On-Demand
> Nur nutzen (und zahlen), wenn man es gerade braucht
► Überall nutzbar über das Netz
► Schnelle Elastizität z. B. bei hoher Last
> Mehr Ressourcen können schnell zur Verfügung gestellt
werden
► Self-Service
> Selber buchen über eine Portal
> Vollautomatisierte Prozesse
> Keine Beauftragung des Betriebs oder Dienstleisters
> Wesentlich weniger Aufwand und wesentlich schneller
► Vision: IT wird wie Strom oder das Telefon
> Steht immer und überall ausreichend zur Verfügung
11.07.2011 4 Cloud Computing - Technologie und Missbrauchspotential

5. Cloud Liefermodelle
► Private Cloud
► Public Cloud
► Hybrid Cloud
► Community Cloud
11.07.2011 5 Cloud Computing - Technologie und Missbrauchspotential

6. Cloud-Vorteile: Kostenmodell
► Man bezahlt nur, was man nutzt (Pay-as-you-go) (Public Cloud)
► Praktisch keine Investitionskosten
► Last-Spitzen kostengünstig abdecken
► Transparente Kosten
► Bessere Ressourcen-Auslastung (Private Cloud)
► Kosten können intern weiterberechnet werden
► Logischer Schritt nach Virtualisierung
11.07.2011 6 Cloud Computing - Technologie und Missbrauchspotential

7. Cloud-Aspekt: Datenschutz
Verarbeitung personenbezogener Daten
► Ort der Verarbeitung?
> USA? China?
> Europa! (amazon-Einstellung: Daten nur in Europa verarbeiten und speichern)
► Rechts (un) sicherheit
> Beschlagnahmeschutz / Insolvenzschutz
► Verantwortliche Stelle
> Auftragsdatenverarbeitung (§11 BDSG)
– Cloud Dienstleistung als klassische ‚Datenverarbeitung im Auftrag?‘
– Überprüfung der technisch-organisatorischen Maßnahmen wird vorausgesetzt
> Funktionsübertragung
– Erfordert Zustimmung (z.B. in AGBs) oder ‚Erforderlichkeit‘
► Ausweg bspw. die GDV-Initiative Trusted German Insurance Cloud
11.07.2011 7 Cloud Computing - Technologie und Missbrauchspotential

8. Cloud als Angriffswerkzeug
11.07.2011 8 Cloud Computing - Technologie und Missbrauchspotential

9. Cloud als Angriffswerkzeug
Direkte Angriffe aus der Cloud
► Alternative zu klassischen Botnets
► Hosting von C&C Servern
► Nutzbar z. B. für (D)DoS oder Brute Force
Quelle: http://www.tecchannel.de/sicherheit/news/2027448/sip_attacken_angriffe_kommen_aus_der_amazon_cloud/index.html?r=557603823902419&lid=73839
11.07.2011 9 Cloud Computing - Technologie und Missbrauchspotential

10. Cloud als Angriffswerkzeug
Cloud als unterstützendes Werkzeug
► Nutzung der Rechenleistung & Speicherkapazität
► Kostengünstige Berechnungen
> z. B. von Rainbowtables
► Knacken von Passworten oder kryptographischen Schlüsseln
> z. B. zum Brechen der iPhone-Verschlüsselung
► Beschleunigung durch GPU-Computing in der Cloud
> CUDA, OpenCL etc. erlauben deutlich höhere Durchsatzraten als Standard-
Hardware
> HPC in der Cloud
11.07.2011 10 Cloud Computing - Technologie und Missbrauchspotential

11. Cloud als Angriffsziel
11.07.2011 11 Cloud Computing - Technologie und Missbrauchspotential

12. Cloud als Angriffsziel
Differenzierung nach Cloud-Liefermodell und ermittelten Risiken
► Private Cloud
> Analogien zu „klassischer“ Infrastrukur
► Public Cloud
> Eigene Maßnahmen i.W. auf organisatorischer
Ebene möglich (Risikoanalyse)
Availability
> Cloud Provider muss Sicherheit bereitstellen
> Vertrauen zum Provider?!
Integrity
Confidentiality
11.07.2011 12 Cloud Computing - Technologie und Missbrauchspotential

13. Auswirkungen von Angriffen
Hohes Schadenpotential bei Angriffen gegen Cloud-Services
► Große Breitenwirkung möglich durch gezielte Angriffe auf
> Basisinfrastruktur (Netzwerk, Storage etc.)
> Hypervisor
► Schäden durch
> Ausfallzeiten
> Datendiebstahl
> Datenverlust
► Großes Schadenpotential durch starke Verdichtung von Services ggf.
unterschiedlicher Kunden in einer Cloud
Beispiel (unabhängig von der Ursache):
► Ausfall der Cloud-Services bei amazon ab 21.04.2011:
> Ausfallzeiten von bis zu 3 Tagen
> unwiederbringliche Datenverluste
11.07.2011 13 Cloud Computing - Technologie und Missbrauchspotential

14. Cloud als Angriffsziel
Gegenmaßnahmen in der Public Cloud
► Cloud Provider muss Sicherheit bereitstellen
► Perimeter Protection funktioniert nur eingeschränkt
> Eindämmung von Angriffen aus der Cloud in die Cloud
► Security Infrastruktur nur als Software-Lösung
> Bspw. keine WAF-Appliance
> Neue kryptographische Verfahren in Entwicklung
► Monitoring, Intrusion Detection & Prevention
> in klassischer DMZ schon aufwändig
> Cloud bietet deutlich mehr Flexibilität
► Ein Fazit:
> Absicherung muss auf der Anwendungsebene erfolgen
11.07.2011 14 Cloud Computing - Technologie und Missbrauchspotential

15. Forensik in der Cloud
Untersuchung von Angriffen in der Public Cloud
► Isolierung der angegriffenen Komponenten ist schwierig
► Zugriff auf Log-Daten erschwert insb. bei SaaS
► Forensik-Werkzeuge müssen auf Cloud-Technologie angepasst werden
> Ausnahme: VM Image sehr gut untersuchbar
11.07.2011 15 Cloud Computing - Technologie und Missbrauchspotential

16. business.people.technology.
adesso AG
Stockholmer Allee 24
44269 Dortmund
Phone: +49 231 930-9234
Fax: +49 231 930-9331
Jens Deponte Mobil: +49 178 280 8021
jens.deponte@adesso.de
Principal Software Engineer www.adesso.de