Kategorien
News

Hey Fraunhofer, das ULD bestätigt hohe Sicherheit des TeamDrive Cloud Storage

Wie wir uns erinnern, hat das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter die Lösung vom deutschen Anbieter TeamDrive, in Frage gestellt. Das Brisante daran ist, dass TeamDrive vom Unabhängigen Landeszentrum für Datenschutz (ULD), das dem bekannten Datenschützer Thilo Weichert unterstellt ist, als sicher zertifiziert wurde. Neben einer offiziellen Stellungnahme von TeamDrive Geschäftsführer Volker Oboda hatte sich ebenfalls CloudSafe CEO Roberto Valerio via Kommentar zu den Vorwürfen von Fraunhofer geäußert. Beide vertreten die Meinung, dass Fraunhofer diese Studie nur dazu nutzen wird, um demnächst einen eigenen Cloud Storage auf den Markt zu bringen, was ebenfalls mein erster Gedanke war, als ich von der Studie gehört hatte.

In einer heutigen Stellungnahme erklären das ULD sowie die technischen und rechtlichen Gutachter, dass an der Zertifizierung zum Datenschutzgütesiegel festgehalten wird. TeamDrive erfüllt somit weiterhin die hohen Sicherheitsanforderungen, die zur Erteilung des Datenschutzgütesiegel erforderlich sind. Das ULD und die Gutachter begrüßen die ausführliche Studie von Fraunhofer SIT. Sie gibt wertvolle Hinweise zu Schwachpunkten von Cloud-Diensten.

Bezüglich des zertifizierten Produkts „TeamDrive 2.4“ weisen die Gutachter Rechtsanwalt Stefan Hansen-Oest und der IT-Sachverständige, Andreas Bethke die Kritikpunkte, die zur Abwertung von TeamDrive geführt haben, zurück. In Ihrer Stellungnahme erläutern sie, dass die in TeamDrive verwendete Transportverschlüsselung eine starke Kombination aus bekannten, sicheren, symmetrischen und asymmetrischen Verschlüsselungsverfahren ist.

„Das „Kerckhoffs’sche Prinzip“ hat seine Berechtigung, sofern ein Anbieter die Sicherheit seines Systems nur mit der Geheimhaltung der „Verschlüsselungsmethode“ und nicht nur auf die Geheimhaltung des Schlüssels begründet. Eine Verschlüsselung wird aber nicht dadurch unsicher, dass der Verschlüsselungsalgorithmus nur einer begrenzten Anzahl von Personen wie z.B. Sachverstän digen oder Zertifizierungsstellen zugänglich gemacht wird. Entscheidend ist, dass der Verschlüsselungsalgorithmus als sicher bewertet werden kann. Und das war im Hinblick auf TeamDrive der Fall.“, so Rechtsanwalt Hansen-Oest.

Nach Auffassung der Gutachter hat das Fraunhofer Institut TeamDrive unberechtigt falsch bewertet. In der Fraunhofer Studie wurden die Serverlösungen von TeamDrive für Privat Clouds oder auf eigenen Server vollkommen verschwiegen. Mit den TeamDrive Enterprise Hosting Servern haben Unternehmen die volle Kontrolle über alle Daten und deren Sicherheit.

TeamDrive bleibt damit die einzige Lösung, die Storage in der Cloud in Zusammenhang mit dem deutschen Datenschutzgütesiegel anbietet.

Kategorien
News

Google Apps erhält ISO-27001 Zertifizierung

Google hat seine Office Suite Google Apps von den Wirtschaftsprüfern Ernst & Young nach ISO-27001 zertifizieren lassen. Das teilt Google auf seinem Unternehmensblog mit und unterstreicht damit erneut das hartnäckige Ziel, auch Unternehmenskunden in seine Cloud begleiten zu wollen.

Google erhält damit die Bestätigung, dass sich Google Apps for Business an sämtliche Anforderungen für die „… Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken… “ hält.

Einzelne Nutzer oder Startups schauen in erster Linie nicht darauf, ob ein Unternehmen eine ISO-Zertifizierung besitzt. Allerdings erhalten größere Unternehmen sowie Entscheider, die sich mit ihrer Unterschrift für den Vertrag verantworten müssen, ein stück weit Sicherheit und dass sie bedenkenlos Googles Cloud Lösung nutzen können.

Die weltweite gültige Zertifizierung wurde von Ernst & Young durchgeführt und ergänzt Google Apps for Government, die bereits die Zertifikate SSAE 16/ISAE 3402 und Fisma besitzt. Allerdings sollte man nicht vergessen, dass dieses Zertifikat keinen Freifahrtschein für die 100%ige Sicherheit der Anwendung ausstellt. Unternehmen die sich nach ISO-27001 zertifizieren lassen, setzen sich lediglich selbst hohe Maßstäbe, um eine hohe Sicherheit zu gewährleisten. Ihre Sicherheitsvorkehrungen und Prozesse dokumentieren sie zudem sorgfältig, um zu zeigen, wie sie den eigenen hohen Erwartungen gerecht werden.

Unternehmen sollten weiterhin zur Kenntnis nehmen, dass Google seinen Kunden weiterhin nicht die Möglichkeit gibt, selbst zu entscheiden, wo die Unternehmensdaten – bspw. in Europa – gespeichert werden.

Weitere Informationen zu den Sicherheits-Audits und Zertifizierung für Google Apps stehen im Dokument [PDF] „Google Apps for Business Audit & Certification Summary„.

Kategorien
Events

Event-Tipp: CyberCrime Congress 2012

Aufgrund von Hacker-Angriffen, Datendiebstahl oder gezielter Verbreitung von Schad-Software bei international renommierten Unternehmen rücken die Themen Datenschutz und Informationssicherheit ins Zentrum der öffentlichen Wahrnehmung. Der Bundesverband der Dienstleister für Online-Anbieter e.V. (BDOA) bietet mit dem Kongress CyberCrime 2012 am 13. bis 15. Juni 2012 eine Plattform zum interaktiven Austausch und vermittelt aktuelles, werthaltiges Wissen zu den wichtigsten IT-Sicherheitsthemen bei Mobile Business, Cloud Computing, Social Media und Online-Handel.

Event-Tipp: CyberCrime Congress 2012

Computerkriminalität ist auf dem Vormarsch

Die Sicherheitspanne bei Dropbox, die den zeitweisen Zugriff auf Dateien aller Nutzer ermöglichte, oder der Datendiebstahl bei Sony, dem rund 77 Millionen Kundendaten zum Opfer fielen, zeigen die Bedeutung der IT-Sicherheit und das potenzielle Ausmaß der Cyber-Kriminalität. Unternehmen erleiden nicht nur wirtschaftlichen, sondern auch einen enormen Imageschaden.

Computerkriminalität betrifft nicht nur die klassische IT eines Unternehmens, sondern hat längst schon Einzug in Bereiche, wie Mobile, Cloud und Soziale Netzwerke gehalten. Wegen der zunehmenden Bedeutung dieser Bereiche gehen Experten davon aus, dass die Bedrohungslage in Zukunft eine ganz neue Qualität erreichen wird. Während sich die Angreifer bisher auf Finanzbetrug oder den Datendiebstahl konzentrierten, nehmen sie mit Wirtschaftsspionage zunehmend die gesamte Wertschöpfung eines Unternehmens ins Visier.

Unternehmen sind noch nicht vorbereitet

Eine Erklärung für die häufigen Attacken ist sicherlich das geringe Bewusstsein für Computerkriminalität in Unternehmen. Oftmals wird nur reagiert, anstatt im Vorfeld aktiv zu agieren. 60 Prozent der Befragten gaben an, nicht die Kapazitäten im Haus haben, um Cyber-Straftaten aufzuspüren, belegt eine PwC-Studie. Nur jedes zweite Unternehmen ist auf einen Ernstfall mit geeigneten Strategien und Maßnahmen vorbereitet. Entsprechend gering ist auch die Vorbeugung durch Schulungen der Mitarbeiter: In mehr als 40 Prozent der Unternehmen fand in den vergangenen zwölf Monaten keine Ausbildung gegen Computerkriminalität statt. 60 Prozent der Teilnehmer gaben in der Studie an, dass Face-to-Face-Trainings die effektivste Trainingsmethode sei. Allerdings sind diese bislang wenig verbreitet.

Dreitägiger Kongress unter dem Motto „Verstehen, Vorbeugen, Schützen“

Um hier einen Beitrag zu leisten, unterstützt der BDOA vom 13. bis 15. Juni den Kongress CyberCrime 2012, der aktuelle Trends bei Cyber-Crime-Szenarien und Abwehrmaßnahmen beleuchtet. Das Motto des Kongresses lautet dabei „Verstehen, Vorbeugen, Schützen“. Kompakt, fokussiert und praxisbezogen vermitteln namhafte, dynamische Referenten und führende Persönlichkeiten aus der Branche werthaltiges Wissen zu einem breiten Spektrum an IT-Sicherheitsthemen, angefangen von klassischen IT-Infrastrukturen bis hin zu Cloud Computing, Mobile Business und Social Media. Zielgruppe sind kaufmännische Entscheider und Mitarbeiter, IT-Fachexperten, Fachleute aus der öffentlichen Verwaltung und Bildungsträger.
Den Auftakt des Kongresses bilden interaktive Workshops, in denen ausgewählte Experten zu aktuellen Cyber-Crime-Themen aufklären. Die Sessions der beiden Kongresstage bieten neben Netzwerk- und Endgerätesicherheit ein breites Themenspektrum von Live-Hacking-Sessions über Erfahrungsberichte zu neusten Betrugsszenarien, wie Social Engineering, Schutzgelderpressung mit DoS Attacken, Computersabotage oder das Ausspähen und Abfangen personenbezogener oder unternehmenskritischer Daten. Zugesagt für Workshops bzw. Vorträge haben etwa das Bundeskriminalamt (BKA) Wiesbaden, Bundesamt für Sicherheit in der Informationstechnik (BSI), Conrad Electronic SE, Deutsche Telekom AG und PricewaterhouseCoopers AG.

Zudem findet dort die konstituierende Sitzung des entsprechenden Fachbereichs statt, der IT-Experten vernetzt, Präventionsmaßnahmen erarbeitet und IT-Sicherheitsschulungen anbietet. Eine Ausstellung der Key-Player der IT-Sicherheitsbranche begleitet das weitere hoch-karätige Kongressprogramm.

Alle weitere Informationen und die Anmeldung zum Kongress gibt es unter http://www.cybercrime2012.de

Kategorien
News

Fraunhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive?

In einem Paper stellt das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter das vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) zertifizierte TeamDrive in Frage. Gründe für das Ergebnis sind technische Probleme und eine schlechte Nutzung der Angebote. Nach eigenen Angaben habe es Fraunhofer sogar geschafft über Suchmaschinen an sensible Daten zu gelangen.

Innerhalb der Studie, die vom Sommer 2011 bis Januar 2012 stattfand, wurden die Cloud Storage Services von Mozy, Dropbox, Cloudme, Crashplan, Ubuntu One, Wuala und Teamdrive betrachtet und insbesondere die Bereiche Datenverschlüsselung und Kommunikation untersucht.

Die Kritikpunkte

CloudMe

Ist für eine große Anzahl von Angriffen offen. Dazu gehören die Aufzählung von Benutzernamen, der Versand unerwünschter E-Mails, Cross-Side Request Forgery Angriffe sowie die Übernahme des Accounts und Incrimination Attacks.

CrashPlan

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich, einzelne Installationen zu entfernen.

Dropbox

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Es wird keine Client-seitige Verschlüsselung unterstützt. Es ist unklar, wie die Daten miteinander geteilt werden (die Art), wenn Nicht Dropbox Nutzer eingebunden werden.

Mozy

Verschlüsselt Dateien, aber nicht die Dateinamen. Die Deduplizierung über mehrere Benutzer hinweg ist nicht ausreichend gesichert. Zudem wird die Deduplizierung über mehrere Benutzer hinweg nicht sicher verwaltet. Weiterhin können schwache Passwörter verwendet werden, ohne das darauf hingewiesen wird.

TeamDrive

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich bereits aktivierte Geräte wieder zu entfernen. Wenn Nutzer aus Bereichen entfernt wurden, wird der kryptographische Schlüssel weiterhin verwendet, um diesen Bereich zu verschlüsseln. Anfangs wurde das Zurücksetzen des Passworts über eine einfache HTTP Verbindung ohne Verschlüsselung vorgenommen. Nach einem Hinweis durch Frauenhofer, hat das TeamDrive diesen Missstand umgehend beseitigt.

Ubuntu One

Verfügt über keine Verschlüsselung.

Wuala

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Die Verschlüsselung schützt nicht vor Angreifern, die Zugriff auf die unverschlüsselten Dateien haben. URLs die mit Nicht-Kunden geteilt werden enthalten den Benutzernamen.

Die Kritik an TeamDrive ist brisant

Insbesondere die Kritik an TeamDrive ist brisant. Denn der Cloud Storage aus Hamburg, der sich speziell an Unternehmen richtet, wurde vom ULD Schleswig-Holstein, das unserem wohl bekanntesten Datenschützer Thilo Weichert unterstellt ist, zertifiziert.

In einer ersten Stellungnahme von Sven Thomsen via Twitter wird das ULD die Ergebnisse der Studie nun zunächst prüfen. Von TeamDrive habe ich nach einer ersten Anfrage dazu bisher noch keine Reaktion erhalten.

UPDATE: Stellungnahme von Volker Oboda – Geschäftsführer TeamDrive

Ich habe von Volker Oboda, Geschäftsführer von TeamDrive, eben eine Stellungnahme zu den Vorwürfen von Fraunhofer erhalten:

„TeamDrive wurde insgesamt ja sachlich und korrekt dargestellt, aber es wurde lediglich der Cloud Storage Teil bewertet und die einzigartigen On-Premise Lösungen und die freie Serverwahl wurden vollständig verschwiegen. Es gab eigentlich nur eine Abwertung bei TeamDrive die aber völlig subjektiv aus der Luft gegriffen ist. Die Abwertung und Kritik von TeamDrive betrifft die eigenen Authentifizierungsalgorithmen (kein SSL/TLS) die nicht offen gelegt sind. Das solche Methoden nicht unsicher sind, wurde uns durch externe Audits durch das ULD und Gutachter bestätigt. Insofern ist die Abwertung ungerechtfertigt. Weiterhin waren zu dem Zeitpunkt unsere SmartPhone Clients für Android und iOS noch nicht lieferbar. Mit dem jetzigen Software Release TeamDrive 3 haben wir die Public/Private Key Verschlüsselung in RSA-2048 ausgetauscht und damit noch einmal erhöht. Auf Kundenanforderung könnten wir technisch auch auf eine HTTPS Übertragung in die TeamDrive Cloud umstellen. Das ist aber aus Sicherheitsgründen nicht relevant und führt nur zu einer höheren Belastung der Serversysteme. Deshalb haben wir uns dagegen entschieden.

Die weiteren einzigartigen Designmerkmale von TeamDrive (USPs) wie die freie Serverwahl und komplette „On Premise“ Lösungen wurden in dem Gutachten überhaupt nicht erwähnt. Nach unserer Recherche dient das Dokument dem Fraunhofer Institut als Grundlage eigene Technologie zu entwickeln die den bestehenden Lösungen Wettbewerb bieten sollen.

Volker spricht einen Punkt an, der exakt meiner ersten Reaktion entsprach, als ich von den Fraunhofer Vorwürfen auf dem MIT-Blog gelesen hatte. Ich sehe es ebenfalls so, dass Frauenhofer diese Studie als reinen Selbstzweck veröffentlicht hat, um eigene (Sicherheits)-Lösungen zu vermarkten.

Zudem weist Volker darauf hin, dass das ULD und weitere Gutachter die eigenen Authentifizierungsalgorithmen von TeamDrive nicht für sicherheitskritisch halten.


Weitere Informationen und die Ergebnisse der Studie gibt es hier.

PS: Wer Angst um seine Daten hat und trotzdem Cloud Storage Services nutzen möchte, der sollte sich mal Boxcryptor anschauen, dieser verschlüsselt die Daten für Dropbox und Google Drive.

Kategorien
Events

Ein Rückblick auf die SecureCloud 2012 in Frankfurt – Datenschutz: Das Verkaufsargument in Deutschland

Am 9. und 10. Mai fand in Frankfurt die SecureCloud 2012 Deutschland statt. Ich war am ersten Tag vor Ort und möchte euch von meinen Eindrücken und ein paar Neuigkeiten berichten. War grundsätzlich eine tolle Veranstaltung mit hochkarätigen Sprechern und einem guten Themenmix.

Ein Rückblick auf die SecureCloud 2012 in Frankfurt - Datenschutz: Das Verkaufsargument in Deutschland

Das Negative zuerst. Kostenloses WLAN war leider Fehlanzeige. Für 10€ durften sich Teilnehmer einen Voucher kaufen. In Zeiten wo die Live Kommunikation und Berichterstattung an der Tagesordnung steht, ein unschöner Missstand. Es sind nicht die 10€ die direkt stören. Wenn ein Teilnehmer jedoch bereits eine Gebühr von 600 EUR entrichtet, sollte auch das WLAN enthalten sein. Wie auch immer, mein Android dufte mit seiner Tethering und Hotspot Funktion erhalten.

Die SecureCloud 2012 wurde von der Cloud Security Alliance (CSA), der European Network and Information Security Agency (ENISA), dem Center for Advanced Security Research Darmstadt (CASED)/Fraunhofer Institute for Secure Information Technology und der ISACA (previously the Information Systems Audit and Control Association) veranstaltet.

Die zweitägige Veranstaltung fokussierte sich auf neue technische Entwicklungen, erfolgreiche Strategien für das Risikomanagement sowie Änderungen der EU-Datenschutzrichtlinien und deren Bedeutung für Unternehmen. Zu den Themen der Englisch sprachigen Konferenz gehörten u.a. Cloud-Sicherheit aus der Kundenperspektive, Steuerung, Risiko und Compliance in der Cloud, Sicherheit von Virtualisierung, Praxisnahe Verschlüsselung für die Cloud sowie der Bereich der Cloud Forensic.

Die SecureCloud selbst war eine gelungene Veranstaltung. Auch wenn der eine oder andere Vortragstitel mehr Cloud Sicherheit versprochen hat, als er am Ende hergab, sprechen die Teilnehmerzahlen für sich. Ich habe keine genauen Zahlen, aber in beiden Tracks mussten die Teilnehmer anfangs stehen.

Neben dem Thema Cloud Sicherheit selbst, wurde während der Panels vermehrt über den eigentlichen Nutzen des Cloud Computing gesprochen. Es ging da an manchen Stellen viel mehr um Cloud Evangelismus und Grundsatzsdiskussionen die bereits vor 2 Jahren geführt wurden, als um konkrete Sicherheitsthemen.

Die Zukunft in der Cloud liegt

Neben Hochkarätern wie Billy Hawkes – Irish Data Protection Commissioner („Datenschutz ist ein Grundrecht für jeden!“) und wahrscheinlich der einflussreichste Datenschützer der EU, war ebenfalls Thomas Endres – ehemaliger CIO von Lufthansa – im Panel „Cloud Security User Perspective“ vor Ort, der die Sicht aus dem Blickwinkel der Unternehmen vertrat.

Endres vertritt die Meinung, dass „die Zukunft in der Cloud liegt.“, was schön zu hören und selten von den Lippen eines CIOs abzulesen ist. Zudem sieht er in den Markentingabteilungen der Anbieter ein großes Problem, da diese der Meinung sind, dass die Unternehmen schon weit genug für die Cloud sind. Dem ist laut Endres nicht so. Weiterhin sieht er in Enterprise Clouds viel Potential, was er u.a. mit Kosteneinsparungen von bis zu 40% begründete. Endres sieht die Kosten aber nicht als Hauptargument für Unternehmen. Es geht viel mehr um Agilität, Flexibilität und Standardisierung. Bei einem war sich das dreiköpfige Panel um Endres einig, die meisten Unternehmen entscheiden sich auf Grund der rechtlichen Situation für Private Clouds. Zudem sind Compliance Themen ein derzeit viel diskutiertes Thema. Was von wichtiger Bedeutung ist, denn „Unternehmen dürfen nicht leichtsinnig Risiken eingehen.“, wie Endres kommentierte. Neben der Compliance werden in Unternehmen derzeit ebenfalls die Bereiche Prozesse, Risiken und Finanzen diskutiert.

Thomas Endres fehlen weiterhin grundsätzliche Diskussionen und Präsentationen, wie man die Cloud wieder verlassen kann. Also das Lock-In Problem! „Überall wird erläutert wie man in die Cloud hineinkommt, aber wie man wieder hinauskommt erzählt keiner.“, so Endres. Er hält es für ein Unternehmen weiterhin für quasi unmöglich zu prüfen, ob ein Cloud Anbieter seinen Job richtig macht. „Es gibt Bereiche bei einem Cloud Anbieter die kann ein Unternehmen nicht beeinflussen. Das Auditing ist schwierig.“ Aus diesem Grund rät Endres, „nicht alle Bereiche und Daten eines Unternehmen in die Cloud zu verlagern.“ Das Risiko sei zu hoch.

Das Panel erläurterte im weiteren Verlauf, dass die Cloud Sicherheit sich in mehrere Bereiche aufteilt, die separat betrachtet werden müssen. Es gibt hierfür keinen Masterplan. Zudem sind die System- und Prozesssicherheit für Unternehmen die größten Herausforderungen in der Cloud. Thomas Endres: „Unternehmen benötigen ein Sicherheitsmanagementsystem.“ Worin sich das Panel einig war, die Cloud Anbieter stellen ihren Kunden nur eine Plattform bereit. Die Sicherheit bzgl. Unternehmensprozesse obliegt dem Kunden selbst. Zudem raten sie zur Vorsicht und einer genauen Prüfung. Der erste Eindruck von Cloud Auditoren sei demnach „Super“, der zweite Eindruck: „Vorsichtig sein.“

Thomas Endres abschließende rhetorische Frage, die unbeantwortet blieb: „Was passiert wenn der Cloud Anbieter zahlungsunfähig wird?“

Die EU arbeitet an einer breiten und intensiven Unterstützung des Cloud Computing

Die European Commission arbeitet an einer Cloud Strategie und hat damit begonnen, mehr für die ganzheitliche Cloud Computing Adaption und Integration zu tun und ist bestrebt, kritische Infrastrukturen zu schützen und hat dafür bspw. ein CyberSecurity Lab gegründet. Der Plan sieht vor bis 2013 über 50 Mio EUR in ein europäisches Security Framework zu investieren. In die Cloud Strategie werden die Industrie, Cloud Experten und das EU Policy Framework einbezogen. Mit einem Legal Framework sollen zudem einheitliche Regeln geschaffen werden, um bspw. Cloud Datenschutz und Sicherheit zu klären.

Mit einem Pre-Commercial Procurement einem weiteren Framework soll die Umsetzung erfolgen, das sich aus drei Phasen zusammensetzt und mit dem eine europäische Cloud Partnerschaft aufgebaut werden soll. Zudem soll eine internationale Cloud Computing Policy entwickelt werde, in der Sicherheit, Zertifizierungen und Standards stehen werden. Zukunftsthemen sieht die EU bis 2020 bei den Themen Sicherheit und Datenschutz im Cloud Computing sowie in den Bereichen Software und Services.

Die Niederlande setzen vollständig auf die Private Cloud

Die niederländische Regierung nutzt die Cloud, um E-Government Services an seine Behörden und Institutionen auszuliefern. Dabei werden nicht alle Daten in die Cloud verlagert, sondern eine Klassifizierung vorgenommen. Dabei planen die Niederlande zwar auf Public aund Private Cloud Lösungen setzen, allerdings werden zunächst nur die Methoden des Cloud Computing genutzt, um eine Government Cloud (Private Cloud) aufzubauen. Hintergründe für den Private Ansatz sind Bedenken bzgl. Datenschutz und Datensicherheitsrisiken in Public Cloud Umgebungen.

Cloud Computing = Outsourcing 2.0

Ein weiteres Panel diskutierte den Einfluss des Cloud Computing auf die Sicherheit. Die Teilnehmer sahen dabei nicht die Cloud Sicherheit als das Problem selbst an, sondern die Transparenz, die im Vordergrund stehen muss. Die Cloud wurde in diesem Zusammenhang korrekterweise auch als Blackbox beschrieben.

Zudem war sich das Panel einig, werden aktuell exakt dieselben Diskussionen über die Cloud geführt wie vor Jahren über das Outsourcing. Beim Outsourcing hieß es früher: „Don’t touch my systems and data!“ Doch plötzlich fingen alle doch an Outsourcing zu nutzen. Cloud Computing wird daher dieselbe Erfahrungen sammeln müssen wie das Outsourcing. Wodurch Cloud Computing auch als Outsourcing 2.0 beschrieben wurde. Darüber hinaus haben die Marketing Abteilungen mit ihren „Cloud Aufklebern“ Cloud Computing zu einem Hype verkommen lassen, der von vielen nicht ernst genommen wird.

Als Tipps gab das Panel den Teilnehmern mit auf den Weg, dass man sich zunächst über die Art der Cloud im klaren sein sollte, bevor die Migration beginnen kann. Bspw. können Community Clouds Unternehmen auf Grund der Erfahrungen der anderen Unternehmen ein Mindestmaß an Sicherheit bieten. Zudem sah das Panel den Bereich Identity Management als den Master Use Case für Security-as-a-Service und das beim Thema Zertifizierung darauf geachtet werden sollte, das der gesamte Stack betrachtet wird, vom Personal bis hinunter zum Hypervisor.

Datenschutz ist das Verkaufsargument

Im weiteren Verlauf der Veranstaltung hatte ich Gelegenheit mit mehreren Beratern zu sprechen. Die durchweg einstimmigen Aussagen waren, dass sich Cloud Angebote aus Deutschland mit dem Verkaufsargument des hohen Datenschutzniveau sehr gut verkaufen lassen.

Ein paar Bilder zur SecureCloud 2012 gibt es auf Flickr.

Kategorien
Events

Event-Tipp: SecureCloud 2012

Vom 9. bis 10. Mai 2012 findet die SecureCloud 2012, ein internationales Treffen von Cloud Computing Sicherheitsexperten, im Sheraton Congress Hotel in Frankfurt am Main statt.

Event-Tipp: SecureCloud 2012

Die SecureCloud 2012 wird von der Cloud Security Alliance (CSA), der European Network and Information Security Agency (ENISA), dem Center for Advanced Security Research Darmstadt (CASED)/Fraunhofer Institute for Secure Information Technology und der ISACA (previously the Information Systems Audit and Control Association) veranstaltet.

Die zweitägige Veranstaltung fokussiert sich auf neue technische Entwicklungen, erfolgreiche Strategien für das Risikomanagement sowie Änderungen der EU-Datenschutzrichtlinien und deren Bedeutung für Unternehmen. Zu den Themen der Englisch sprachigen Konferenz gehören:

  • Die neuen EU-Richtlinien und ihre Bedeutung für Cloud-Nutzer und Anbieter
  • Umgang mit Zwischenfällen in der Cloud
  • Cloud-Sicherheit aus der Kundenperspektive
  • Steuerung, Risiko und Compliance in der Cloud
  • Überwachung von Sicherheits- und Dienstebenen
  • Sicherheit von Virtualisierung
  • Praxisnahe Verschlüsselung für die Cloud
  • Cloud Forensic

Zu den Referenten der SecureCloud 2012 gehören unter anderem:

  • Dr. Carl-Christian Buhr
    European Commission, Mitglied im Kabinett der EU-Vizepräsidentin Neelie Kroes
  • Dr. Waldemar Grudzien
    Bundesverband Deutscher Banken e.V., Direktor
  • Thomas Endres
    Lufthansa, CIO
  • Eran Feigenbaum
    Google, Director of Security Google Apps
  • Billy Hawkes
    Irish Data Protection Commissioner
  • CJ Moses
    Amazon, Amazon Web Services Deputy, Chief Information Security Officer
  • Ari Juels
    RSA, Chief Scientist
  • Monika Josi
    Microsoft, Chief Security Advisor EMEA

Weitere Informationen zum Programm und die Anmeldung sind unter https://cloudsecurityalliance.org/events/securecloud-2012 zu finden.

Kategorien
News

EU stellt Leitfaden für Cloud Sicherheit zur Verfügung

Die ENISA sieht Nachholbedarf in der sicheren Anbindung von Cloud Services. Laut der europäischen Sicherheitsagentur ist der Fokus darauf viel zu gering ausgerichtet und möchte mit einem neuen Leitfaden, beim öffentlichen Sektor das Verständnis für Cloud Sicherheit schärfen.

Die ENISA möchte das Verständnis für das Thema Cloud Sicherheit wecken.

Die Beschaffung und Verwaltung von Cloud-Service Verträgen wird eine immer wichtigere Aufgabe für IT-Mitarbeiter. Ein wesentlicher Bestandteil bei dieser Arbeit ist es, im Vorfeld die Sicherheitsanforderungen zu regeln. Aber noch wichtiger ist es, in der Lage zu sein diese Kriterien zu überwachen und zu prüfen und zu schauen ob diese Sicherheitsanforderungen zu einem bestimmten Zeitpunkt und während der gesamten Laufzeit des Vertrags erfüllt werden.

Dazu betrachtet der Leitfaden acht unterschiedliche Bereiche und Parameter, auf die ein IT-Mitarbeiter achten sollte. Dazu gehören u.a. die Service-Verfügbarkeit, die Reaktion im Fehlerfall sowie die technische Compliance und das Sicherheitsmanagement.

Der 64 Seiten umfassende Leitfaden „Procure Secure: A guide to monitoring of security service levels in cloud contracts“ kann hier heruntergeladen werden.


Bildquelle: http://www.mxsweep.com, http://www.enisa.europa.eu

Kategorien
News

Cloudwurm: Amazon Web Services und Rackspace Images sind anfällig für Windows RDP Exploit

Wie sicher sind Cloud Server wirklich? Diese Frage stellt The Hacker News und berichtet von einem RDP Windows Exploit (MS12-020), von dem scheinbar Windows Images der Amazon und Rackspace Cloud betroffen sind.

Tests mit dem Nmap NSE Script „rdp-ms12-020.nse“ haben demnach ergeben, dass alle Rackspace Cloud Images davon standardmäßig betroffen sind. Auf Amazon EC2 sind aktuell alle ungepatchten Windows AMIs und EBS Images vor der Version „2012.03.13“ betroffen, die über die AWS Management Konsole mit den Standard Firewall-Regeln gestartet werden.

Laut The Hacker News haben die Cloud Anbieter zwar Schritte unternommen, um dem MS12-020 Exploit entgegenzuwirken, jedoch soll das nicht ausreichen, um die Kunden zu schützen, was daran liegen soll, dass AWS als auch Rackspace auf Grund ihrer Standard-Sicherheitseinstellungen an dieser Stelle Lücken aufweisen.

So verfügt Amazon EC2 über eine globale Standard „allow RDP“ Firewall-Regel (Port 3389) für alle Kunden, die ihre EC2 Instanzen über die AWS Management Konsole starten. Rackspace hingegen hat für alle seine Cloud Server ein ungesichertes Servicenetz – ein LAN, dass mit keiner Firewall geschützt wird.

Wenn ein weiterer Exploit nun den MS12-020 Exploit ausnutzen würden, könnte es dazu kommen, dass sich die Sicherheitslücke über eine Vielzahl von Servern in der Cloud verteilt.

Nutzer können sich selbst dagegen schützen, indem sie ihre Cloud Server patchen und darauf achten die RDP Firewall-Regeln sicher zu gestalten und alle nicht notwendigen Ports schließen.


Weiterführende Links


Bildquelle: thehackernews.com, ibnlive.in.com

Kategorien
News

Google erhöht die Sicherheit für seine Cloud Developer Services

Google hat die Sicherheit seiner Cloud Services speziell für Entwickler noch einmal erhöht. So können Services wie Cloud Storage nun mit Anwendungen über Zertifikats-basierte Dienste kommunizieren.

Statt mit Shared Keys und Passwörtern zu arbeiten, wird mit Zertifikaten die Authentifizierung deutlich erhöht, da diese nicht von Menschen lesbar und zu erraten sind, schreibt Justin Smith in einem Blogbeitrag.

Zu den Google Services, die diese neue Authentifizierungsmechanismen nutzen gehören Google Cloud Storage, Google Prediction API, Google URL Shortener, Google OAuth 2.0 Authorization Server, Google APIs Console und Google APIs Client Libraries for Python, Java und PHP.

Google ist bereits dabei, weitere APIs und Client Libraries mit dem Mechanismus zu erweitern. Die Funktion ist als ein OAuth 2.0 Flow implementiert und entspricht dem Entwurf 25 der OAuth-2.0-Spezifikation.


Bildquelle: http://searchengineland.com, http://blogspot.com

Kategorien
Management

Weltweite Cloud Computing Scorecard veröffentlicht – Deutschland auf Platz 3

Die Business Software Alliance (BSA), ein globale Fürsprecher der Software-Industrie gegenüber Regierungen und Kunden auf dem internationalen Markt hat die erste weltweite Cloud Computing Scorecard veröffentlicht. Deutschland belegt darin einen guten dritten Platz. „Weltmeister“ ist Japan gefolgt von Australien.

Die erste weltweite Cloud Scorecard analysiert die rechtlichen und ordnungspolitischen Rahmenbedingungen sowie die Breitband-Infrastruktur von 24 Ländern, die zusammen 80 Prozent des weltweiten ITK-Markts ausmachen. Die Analyse ist in sieben Kategorien zusammengefasst, die von zentraler Bedeutung für das Wachstum und den Betrieb von Cloud Computing sind.

Analyse-Bereiche der Studie

Die Studie umfasst eine detaillierte Land-für-Land-Analyse der Gesetze, Vorschriften, Rechtsprechungen, Politik der Regierung und Standards. Die darin betrachteten Einschätzungen enthalten eine Bewertung der Umsetzung und Durchsetzung der bestehenden Gesetze in jedem Land sowie eine Bewertung der Übereinstimmung mit den einschlägigen Verträgen und gegebenenfalls globalen Vereinbarungen. Die Scorecard-Analyse basiert auf einer Kombination der veröffentlichten Informationen, Statistiken und Bewertungen durch unabhängige Experten der Galexia Consulting. Weitere Details bezüglich Quellen, einschließlich Links, sind in den einzelnen Berichten zu den Ländern vorhanden.

Thema Gewichtung Wert
Datenschutz 10% 10
Sicherheit 10% 10
Internetkriminalität 10% 10
Geistiges Eigentum 20% 20
Standards 10% 10
Förderung des freien Handels 10% 10
IKT-Bereitschaft, Breitbandausbau 30% 30

Die Punktzahl des jeweiligen Lands wurde unter Verwendung eines 66-Punkt Scoring-Gitter und Analysen berechnet. Die Punkte stammen aus einem gewichteten System, das jedem Abschnitt/ Frage eine unterschiedliche Gewichtung zuordnet. Eine Reihe von grundlegenden untersuchenden Fragen wurden aus dem Scoring-System ausgeschlossen. Jede Gruppe von Fragen wurde gewichtet, um ihre Bedeutung für das Cloud Computing zu reflektieren. Dabei wurde jede einzelne Frage ebenfalls gewichtet, um ihre Bedeutung innerhalb der Gruppe zu reflektieren. Um bei der Nutzung der Studie und dem Scoring zu helfen, basieren die Bewertungen auf einer Reihe von Fragen, die so aufgebaut sind, dass eine „Ja“-Antwort gute Rahmenbedinungen für das Cloud Computing in diesem Land wiederspiegelt.

Die Gewichtungen befinden sich in der obigen Tabelle. Die Ergebnisse können in der Studie nachgelesen werden.

Die berücksichtigten Länder der Studie

Die Scorecard soll eine Plattform für Diskussionen zwischen politischen Entscheidungsträgern und Anbietern von Cloud-Angeboten bieten und dabei einen Blick auf die Entwicklung einer international harmonisierten Regelung von Gesetzen und Verordnungen, die relevant für das Cloud Computing sind, bieten. Es ist ein Tool, mit dem Politiker eine konstruktive Selbst-Evaluation führen können und die nächsten Schritte ergreifen sollen, um damit dazu beitragen, das Wachstum des globalen Cloud Computing zu fördern.

Deutschland landet mit 79.0 Punkten in der Studie nach Japan (83.3) und Australien (79.2) weltweit auf Platz 3. Zu den weiteren Ländern gehören die USA, Frankreich, Italien, Großbritannien, Korea, Spanien, Singapur, Polen, Kanada, Malaysia, Mexiko, Argentinien, Russland, Turkei, Südafrika, Indien, Indonesien, China, Thailand, Vietnam und Brasilien.

Zusammenfassung der Bewertung für Deutschland

Laut der Studie verfügt Deutschland über umfassende Gesetzgebungen zur Bekämpfung des Cybercrime und ist bzgl. des Schutz des geistigen Eigentums immer auf dem aktuellen Stand. Die Kombination dieser Gesetze bietet einen angemessenen Schutz für Cloud Computing Services in Deutschland. Beide Gesetze sollen laut der Studie bald überprüft werden.

Es gibt jedoch eine anhaltende Unsicherheit darüber, ob Web-Hosting Anbieter und Internetzugangsanbieter für Urheberrechtsverletzungen auf ihren System haften müssen.

Deutschland verfügt ebenfalls über moderne E-Commerce Gesetze und ist dabei die elektronische Signatur einzuführen. Wie die meisten europäischen Länder verfügt Deutschland über umfassende Rechtsvorschriften zum Datenschutz, hat aber erschwerende Zulassungsanforderungen, die als Kosten Barriere für die Nutzung von Cloud Computing dienen können. Darüber hinaus hat Deutschland 17 Datenschutzbehörden, was zu Unsicherheiten bei der Anwendung von Gesetzen führt.

Deutschland hat ein starkes Engagement für internationale Standards und Interoperabilität, was ist mit den jüngsten politischen Änderungen verbessert wurde.

Im Jahr 2009 wurde in Deutschland die Breitbandstrategie der Bundesregierung veröffentlicht, welche die Internetzugangsanbieter verpflichtet, bis 2015 in 75% der Haushalte die Download-Geschwindigkeiten auf 50 Mbps zu erhöhen.

Rangliste

Platz Land Punkte
1. Japan 83.3
2. Australien 79.2
3. Deutschland 79.0
4. USA 78.6
5. Frankreich 78.4
6. Italien 76.6
7. Großbritannien 76.6
8. Korea 76.0
9. Spanien 73.9
10. Singapur 72.2
11. Polen 70.7
12. Kanada 70.4
13. Malaysia 59.2
14. Mexiko 56.4
15. Argentinien 55.1
16. Russland 52.3
17. Turkei 52.1
18. Südafrika 50.4
19. Indien 50.0
20. Indonesien 49.7
21. China 47.5
22. Thailand 42.6
23. Vietnam 39.5
24. Brasilien 35.1

Interessant in diesem Zusammenhang ist, dass die Amazon Web Services gerade verstärkt in Brasilien investieren! Es bleibt abzuwarten, ob sich dieses Engagement positiv auswirken wird.


Quelle: BSA Global Cloud Computing Scorecard