Trend Micro hat seinen jährlichen Future Threat Report 2010 veröffentlicht, der die künftige Bedrohungslandschaft aufzeigt:

Virtualisierung, Cloud Computing und sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Infolge der weiteren Verbreitung von Cloud Computing und der Virtualisierungstechnologie in den Unternehmen gehen wir davon aus, dass die Cyberkriminellen neue Methoden finden werden, um ihre Profite zu vergrößern. Im November 2009 machte der US-Anbieter Danger.com Schlagzeilen, als es zu Problemen in seinem Cloud-basierten Rechenzentrum kam, in deren Folge die persönlichen Daten vieler Sidekick-Kunden unwiederbringlich verloren gingen. Der Vorfall demonstriert Schwachstellen des Cloud Computing, die  Trend Micro geht davon aus, dass Cyberkriminelle dabei entweder die Anbindung zur Cloud anvisieren oder aber das Cloud-Datenzentrum selbst Cyberkriminelle auszunutzen versuchen werden.

Sich ändernde Internetstrukturen bieten Cyberkriminellen neue Möglichkeiten:

Das Internetprotokoll der nächsten Generation, Internet Protocol v.6 (IPv6), das von der Internet Engineering Task Force vorgestellt wurde, befindet sich noch in der Experimentalphase, das seit nunmehr 20 Jahren bestehende Protokoll IPv4 abzulösen. Nicht nur Anwender fangen an, sich mit IPv6 auseinanderzusetzen, auch Cyberkriminelle sind aktiv. Man kann erwarten, dass erste Proof-of-Concept-Elemente in IPv6 im kommenden neuen Jahr sichtbar werden. Mögliche Zugänge für einen Missbrauch beinhalten Covert Channels oder Command & Control.

Domain-Namen werden zunehmen internationalisiert und die Einführung regionaler Top-Level-Domains (Russisch, Chinesisch und arabische Schriftzeichen) wird neue Möglichkeiten kreieren, altbekannte Phishing-Attacken über ähnlich aussehende Domains aufleben zu lassen – mit der Nutzung kyrillischer Schriftzeichen anstelle von lateinischen Buchstaben. Trend Micro sagt voraus, dass es zu Reputationsproblemen und zu Missbrauch kommen wird, der für Sicherheitsanbieter eine große Herausforderung bedeutet.

Social Media und soziale Netzwerke bleiben im Fadenkreuz der Cyberkriminellen, die darüber versuchen, in den „Kreis der Vertrauten“ der Nutzer einzudringen:

Soziale Netzwerke sind aus Sicht der Kriminellen mittlerweile einträgliche Schauplätze, um an persönliche Informationen heranzukommen. Die Qualität und Quantität der dort veröffentlichten Daten der Benutzerprofile und die Möglichkeit, Interaktionen nachzuverfolgen, laden Cyberkriminelle geradezu ein, die Identität des Nutzers zu stehlen und für weitere Social Engineering-Angriffe zu missbrauchen. 2010 wird sich die Situation zuspitzen, so wird erwartet, dass vor allem bekannte Persönlichkeiten das Opfer manipulierter Profilseiten und gestohlener Bankdaten werden.

Globale Attacken werden aussterben,lokalisierte, gezielte Angriffe mehr werden:

Die Bedrohungslandschaft hat sich verändert. Attacken auf globaler Ebene, wie bei Slammer und CodeRed der Fall, gehören der Vergangenheit an. Nicht einmal der von den Medien begleitete Conficker-Vorfall im Jahr 2008 und Anfang 2009 war ein globaler Angriff im eigentlichen Sinn. Vielmehr handelte es sich dabei um einen besonders sorgfältig vorbereiteten und dirigierten Angriff. Künftig wird erwartet, dass die Zahl und die Raffinesse lokalisierter und gezielter Angriffe steigen wird.

Trend Micros weitere Vorhersagen für 2010:

• So lange das Geld lockt, blüht das Cybercrime-Geschäft.
• Windows 7 wird die Bedrohungslandschaft beeinflussen, denn in der Standardkonfiguration ist das Betriebssystem weniger sicher als Vista.
• Risikomindernde Maßnahmen funktionieren immer weniger, selbst im Fall von alternativen Browsern und Betriebssystemen.
• Malware verändert ihre Form oft innerhalb weniger Stunden.
• Drive-By-Infektionen sind die Norm; der einmalige Besuch einer Website genügt um sich zu infizieren!
• Es entstehen neue Angriffsvektoren für virtualisierte und Cloud-Computing Umgebungen.
• Botnetze können nicht mehr gestoppt werden. Sie sind da, um zu bleiben.

Viele Sicherheitsverantwortliche und IT-Administratoren sind es leid, sich ständig mit System-Patches und Sicherheits-Updates herum zu schlagen. Sie stellen Überlegungen an, ob Betriebssysteme wie Google Chrome Microsofts Dominanz im Bereich der Desktop-Betriebssysteme lockern und sie vielleicht in fünf Jahren mit einer höheren Sicherheit rechnen können. Dies ist eine schwierige Frage, denn wir sollten davon ausgehen, dass es in ein paar Jahren noch mehr zerstörerische Technologien geben wird. Daher ist wohl die beste Antwort auf obige Überlegungen zu analysieren, was derzeit passiert.

Wir befinden uns eindeutig in einem fortwährenden Cyberkrieg. Die Angreifer sind Cyberkriminelle, die mit Malware, Hacking und anderen bösartigen Aktivitäten gutes Geld verdienen. Und sie können ihre Angriffe deswegen erfolgreich durchführen, weil der Desktop fest in der Hand eines Betriebssystems ist. Ein Angreifer, der sich mit seinen Attacken auf Microsoft-Plattformen konzentriert, ist in der Lage, genügend Computer zu erreichen, um damit viel Geld zu verdienen. Dies ist ganz einfach eine Frage der Wirtschaftlichkeit. Sobald andere Betriebssysteme wie Mac OS sich weiter verbreiten und Desktop-Marktanteile gewinnen, wird dafür auch mehr Malware in Umlauf kommen – nicht weiter erstaunlich.

Doch was passiert, wenn das Betriebssystem sehr klein und quelloffen ist? Oder wenn alle Daten und Anwendungen in der Cloud gespeichert werden, wie es bei Chrome OS der Fall ist? Ist das sicherer?

Theoretisch ja. Das Betriebssystem ist kleiner (weniger Codezeilen) und hat infolgedessen weniger Schwachstellen. Aufgrund der Tatsache, dass es aber auch weniger mächtig ist, könnte lokal installierte Malware der Vergangenheit angehören. Ich glaube auch nicht, dass Open Source riskanter ist, weil die Angreifer die Schwachstellen schneller entdecken – ein häufiges Argument gegen Quelloffenheit. Sicherheit durch Verheimlichung hat noch nie funktioniert.

Einige der Angriffsszenarien könnten dennoch auch weiter erfolgreich sein:

1. Manipulieren der Verbindung zur Cloud: Dabei müssen Angreifer etwas am Betriebssystem herumpfuschen, um die DNS-Records zu ändern. Als Folge wird der Nutzer erst an eine Untergrund-Site geraten und dann auf seine Webanwendungsseite weitergeleitet. Damit sind dann alle seine Daten einzusehen, wenn der Kommunikationskanal nicht gesperrt werden kann. Klar, wir könnten uns auf IPv6, Verschlüsselung und Zertifikate verlassen, doch ist und bleibt dies ein Angriffspunkt.
2. Die Cloud selbst angreifen: Wenn Cloud-basierte Anwendungen und Cloud-getriebene Betriebssysteme zur Normalität werden, wie wichtig ist eine 99,999-prozentige Verfügbarkeit? Sie stellt den Schlüssel zum Erfolg dar, denn ohne den Zugang zu den Informationen und dem Anwendungs-Host ist der Computer wertlos. Was passiert also, wenn die Angreifer Standard-Botnetze nutzen, um die Cloud-Infrastruktur des Hosts zu überlasten? Wir werden in den nächsten zehn Jahren sicherlich von Bots infizierte Computer mit Standard-Betriebssystemen erleben. Vorstellbar ist auch, dass Angreifer eine kleine „Spende“ fordern, um sicherzustellen, das der Cloud-Host, der mit Anfragen überschüttet wurde, seine Dienste wieder aufnimmt? Ein sehr lukratives Geschäft für Kriminelle und keine Science Fiction. Dies passiert bereits im kleineren Umfang, doch wenn ein Geschäft (die Infektion von Desktops mit Malware) einbricht, so wird ein neues Geschäftsmodell dies ersetzen.
3. Diebstahl von wertvollen Informationen wie Kreditkartendaten oder Logon-Konten in der Cloud: Die Cloud-Anbieter müssen sicherstellen, dass kein nicht autorisierter Zugriff möglich ist, dass ein Hacker niemals in der Lage ist, Millionen von User-Datensätze, Login-Daten, Online-Banking-Informationen, Rechnungsdaten, Transaktionsdaten und so weiter zu kopieren. Ich bezweifle, dass das möglich ist!

Ich vermeide jede Prognose zur Verbreitung von Chrome OS oder eines anderen Betriebssystems innerhalb der nächsten fünf Jahre. Doch eines ist sicher: Die Sicherheitsindustrie wird nicht verschwinden, sondern sie muss sich neu erfinden, um die künftigen Angriffsvektoren zu anzugehen. Das bedeutet keine lokalen Antivirus-Lösungen mehr mit riesigen Signaturdateien, stattdessen Cloud-basiert Reputationsdienste für Web, E-Mail und Dateien. Trend Micro bietet mit dem Smart Protection Network heute schon einen solchen intelligenten, Cloud-basierten Schutz an. Und natürlich bedarf es der Schwachstellenüberprüfung, Abwehr und Verschlüsselung – also des gesamten, für den sicheren Austausch von digitalen Informationen erforderlichen Arsenals.

Portabilität und Interoperabilität beim Cloud Computing scheinen die Sicherheit nur marginal zu berühren. Doch sind die beiden Bereiche wichtig, wenn es darum geht, die Abhängigkeit von einem einzigen Anbieter zu vermeiden, um etwa Risiken bei der Verfügbarkeit von Diensten und Daten möglichst gering zu halten. Standardisierung war schon immer ein Mittel, um Portabilität und Interoperabilität sicher zu stellen. Daher ist es nicht weiter verwunderlich, dass man auch beim Cloud Computing davon ausgeht, über Standards Herstellerabhängigkeit vermeiden zu können.

Interoperabilität und Portabilität für Infrastructure-as-a-Service (IaaS) wirft zwei wichtige Probleme auf. Das eine ist das Format der Templates (oder Images) der virtuellen Maschine für die Beschreibung der Platten und der Konfiguration der erforderlichen virtuellen Ressourcen. Im Allgemeinen werden diese Daten von der darunter eingesetzten Virtualisierungslösung bestimmt, doch haben einige Anbieter eigene Formate entwickelt, beispielsweise die Amazon Machine Image. Zwar gibt es das Open Virtualization Format (OVF) als einzigen Standard, doch werden Anbieter öffentlicher Clouds aus verschiedenen Gründen auch weiterhin ihre eigenen Formate unterstützen. Daher bietet sich als zweitbeste Lösung für die praktische Portabilität eine Formatumwandlung an. Als Zwischenlösung akzeptieren einige Service Provider mittlerweile mehrere Formate, um den Umwandlungs-Overhead zu vermeiden.

Die zweite Herausforderung besteht in der derzeitigen Inkompatibilität des Management-APIs für das Hoch- und Herunterladen, die Inspektion, Konfiguration sowie verschiedene andere Aktionen. Jeder Anbieter hat sein eigenes API, das Orchestrierungs-Software daran hindert, mit mehreren Service Providern zusammen zu arbeiten. Mehrere Ansätze für eine Problemlösung sind vorhanden. Einige Gruppen wie das Open Grid Forum versuchen, mit dem Open Cloud Computing Interface (OCCI) einen Standard zu spezifizieren. Andere wie Eucalyptus emulieren das Amazon Web Services Interface als den Defacto-Standard. VMware hat sein eigenes vCloud API entwickelt und dies der Distributed Management Task Force (DMTF) als offenen Standard übergeben. Das vCloud API soll eine Basisinteroperabilität zwischen Vmware-basierten Lösungen (und künftig vielleicht auch anderen) liefern. Dabei geht es aber bestimmt nicht um die etablierten Lösungsanbieter.

Die meisten Provider verzichten auf offizielle Standardisierung, weil sie in diesem aufstrebenden Markt schnell vorankommen wollen und müssen, und Standardisierungsgremien sind nicht gerade für ihre Schnelligkeit bekannt. Doch auch wenn es nicht ein einziges, allgemein akzeptiertes API gibt, heißt das nicht, dass diese Tatsache die Interoperabilität und Portaliblitä zunichte macht. Mehrere APIs lassen sich unter einem einzigen kombinieren, auch ohne Zutun des Providers.

Für den Bereich Virtualisierung gibt es bereits ein API für die APIs, und zwar ist das das libvirt.  Für das Cloud Computing übernimmt das Unified Cloud Interface Project die Aufgabe, ein solches API zu definieren, die Arbeiten stecken allerdings noch in den Kinderschuhen. Eine weitere Initiative cloudloop liefert ein API für die Zusammenarbeit verschiedener Storage-Dienste, sodass Framework-Anbieter, Middleware-Hersteller und Endanwender ein einziges API nutzen können, ohne sich über die Abhängigkeit von einem Service Provider Gedanken machen zu müssen.

Für Platform-as-a-Service (PaaS) wiederum stellt Portabilität und Interoperabilität eine größere Herausforderung dar, denn Plattform-Dienste können naturgemäß sehr verschiedene Datenformate umfassen. Windows Azure beispielsweise bietet Datenbank-Services und .NET-Anwendungs-Container. Die Applikationen und Daten in Azure aber sind nicht kompatibel zur Google AppEngine. Die einzige Möglichkeit, eine Abhängigkeit zu verhindern, wenn PaaS eingesetzt wird, ist folglich, ein Framework zu wählen, das mehrere Provider offerieren sowie Provider-spezifische Erweiterungen wie die von Python in AppEngine zu vermeiden. Ich gehe davon aus, dass eine ähnliche Abstraktionsstrategie wie in anderen Cloud-Bereichenentstehen wird, sodass eine Anwendung auf vielen PaaS-Produkten lauffähig sein wird.

Die größten Interoperabilitätsprobleme hat aufgrund der Datenvielfalt im Internet Software-as-a-Service (SaaS). Man kann nicht erwarten, dass Daten von Facebook in andere soziale Medien-Site exportiert und von da importiert werden können. Auch lässt sich nicht davon ausgehen, dass alle Software-Services Datenextraktion anbieten. Im Fall von Services wie Google Docs jedoch, kann man natürlich eine Form der Umwandlung oder Export-Optionen erwarten. Hier ist Umwandlung ein praktischeres Vehikel für die Portabilität als Standardisierung.

In dem sich rapide entwickelnden Markt für Cloud Computing werden viele Standards entstehen. Doch wie schon der Storage-Experte Stephen Foskett bemerkt: “Es werden nur die nützlichen Standards überleben.” Dies ist ein gesunder Prozess für eine neue Umgebung wie die des Cloud Computings. Bis sich jedoch diese Standards etabliert haben, lässt sich Portabilität und Interoperabilität auch unabhängig davon erreichen – nämlich über Umwandlung und Abstraktion.

Es ist immer wieder erstaunlich zu hören, dass allgemein IaaS-Provider (Infrastructure-as-a-Service) irrtümlicherweise für diejenigen gehalten werden, die die Sicherheit in der öffentlichen Cloud gewährleisten. Sie sorgen sicherlich für eine ordentliche Grundsicherheit (physische Sicherheit, Perimeter-Firewalls, Load Balancing und möglicherweise Intrusion Detection bzw. Prevention). Manche IaaS-Anbieter streben danach, sich durch bessere Sicherheit von der Konkurrenz abzusetzen, doch die meisten konzentrieren sich auf eine aggressive Preispolitik und werben mit der Flexibilität, die das Konzept verspricht im Vergleich zu Onpremise-Datencenter.

Auch wenn IaaS-Anbieter versuchen, eine sichere Umgebung zu liefern, so liegt die Verantwortung für die Sicherheit bei den Unternehmen, die den Dienst nutzen. Diese Tatsache stellt übrigens Amazon Web Services in den Kundenvereinbarungen klar fest und weist jegliche Garantie für die Sicherheit der Inhalte in der eigenen Cloud von sich. Dies ist keine Ausnahme. Alle IaaS-Provider schließen die Gewährleistung der Sicherheit, die über die physische Security, des Sicherheitspersonals sowie Basis-Perimetersicherheit der genutzten Computerumgebung hinaus geht aus. Der Grund dafür liegt wahrscheinlich darin, dass die meisten IaaS-Anbieter (75 Prozent laut IDC) in den USA ansässig sind, wo Klagen an der Tagesordnung sind.

Bis dato ist noch kein IaaS-bezogener Datenmissbrauch bekannt geworden. Distributed Denial of Service (DDoS)  und verlorene Daten gab es, doch keinen Missbrauch von kritischen Informationen. Doch angesichts der bestechenden wirtschaftlichen und technischen Vorteile, die Anwender von Applikationen in der Cloud erwarten, kommen immer mehr geschäftskritische Daten in die Cloud, und ist es nur eine Frage der Zeit bis zum ersten Missbrauchsvorfall. Zwar können Unternehmen die Verantwortung für die Sicherheit abgeben, indem sie auf den Security-Maßnahmen des IaaS-Anbieters vertrauen oder einem Managed Security Service Provider (MSSP), doch wenn etwas schief geht, wird der Besitzer der Daten dafür zur Verantwortung gezogen.

Wie lassen sich die Risiken minimieren, wenn es um Anwendungen in der Cloud geht, die kritische Informationen beinhalten? Die Anwendungsentwickler werden wohl zu einem Deployment in der Cloud raten mit dem Zusatz, „sicher, solange Sie die folgenden Schritte unternehmen …“. Zu diesen Schritten gehört auch der Schutz der einzelnen Hosts innerhalb des IaaS-Perimeters mithilfe von Host-basierter Technik, die etwa Deep Packet Inspection für IDP/IPS und Firewalls umfasst, sowie Integritäts-Checking der Dateien und Log-Analysen. Ein für all diese Zwecke ideales Tool ist das neue, auf zahlreiche Cloud-Sicherheits- und Compliance-Fragen zugeschnittene Trend Micro Deep Security.

Noch etwas zu dem, was mein Kollege Todd über den Datenverlust bei Microsoft/Danger geschrieben hat…

Was als Versagen des Cloud-Computings, insbesondere der Datenspeicherung im Internet, gebrandmarkt wurde, macht zwar Schlagzeilen und sorgt für Aufregung, trägt aber nicht gerade zur Aufklärung bei.

• Größerer Service-Ausfall trifft T-Mobile Sidekick-Benutzer: „Benutzer von T-Mobile Sidekick waren in den letzten Tagen von einem größeren Service-Ausfall betroffen, durch den viele von ihnen keinen Zugriff mehr auf das Internet oder ihr Adressbuch hatten.“

• Gerichtsverfahren eingeleitet wegen Sidekick-Service-Ausfällen: „In diesem Gerichtsverfahren führen die Rechtsanwälte von Thompson Gründe an, weshalb der Service-Ausfall von Sidekick so besonders verheerend war, und betonen dabei die webbasierte Architektur der Geräte: Hier wird die Hauptkopie der Daten nicht auf den Geräten selbst, sondern auf Servern gespeichert, die die Abteilung Danger von Microsoft betreibt.“

Zuverlässigkeit ist der erste Einwand, der bei allem, was mit der „Web-Wolke“ zu tun hat – insbesondere der Datenspeicherung – vorgebracht wird. Das Fiasko von Microsoft/T-Mobile/Sidekick scheint auf den ersten Blick das Potenzial zu haben, der Cloud-Speicherung den Todesstoß zu versetzen.

Laut öffentlichen Berichten über die Service-Architektur des Microsoft/Danger Backends für das Sidekick-Gerät – Oracle RAC auf EMC SAN – ist dies allerdings keine Architektur, die ernstzunehmende Techniker, die mit fehlertoleranter, verteilter Infrastruktur arbeiten, als Cloud-Infrastruktur bezeichnen würden. Tatsächlich handelt es sich um ein Datenzentrum herkömmlicher Architektur, das den Dienst versagte! Welch Ironie… Dies ist nicht die Art Architektur, mit der beispielsweise Google oder Amazon oder auch Trend Micro an einer Reihe von Projekten arbeiten. In dieser werden Daten tatsächlich über SNA (Shared Nothing Architecture) mit zahlreichen Redundanzen repliziert und verteilt. Ich glaube aber, dass viele diesen Unterschied nicht verstehen. Das Sidekick-Geschäftsmodell verkaufte die Idee, dass Benutzerdaten überall und jederzeit verfügbar sein würden – eben genau das, was sich die meisten Menschen unter der „Wolke“ vorstellen. Und nicht genug damit: Das an der Sache beteiligte Microsoft Tochterunternehmen heißt ausgerechnet auch noch Danger Inc.

Derweil lässt sich der Schaden für T-Mobile real und sofort messen, und viele Branchenkritiker werten das Problem rundweg als blaues Auge für die Cloud-Speicherung, nicht nur für Microsoft:

• Telefon-Verkaufszahlen erleiden herben Rückschlag durch Sidekick-Ausfall: „Branchenkenner bezeichnen den Vorfall als das größte Versagen des Cloud-Computings der jüngsten Vergangenheit…Er wird auch als blaues Auge für Microsoft dargestellt, das Cloud- oder Online-Services als eine kostengünstigere Lösung für die Speicherung von Unternehmensdaten vorangetrieben hat…Es handelt sich um den bislang spektakulärsten Fall von Datenverlust im Internet, gibt Harry McCracken, Redakteur bei Technologizer.com, gegenüber BBC News an.“

Das ist bedauerlich. Wirklich redundante Cloud-Speichertechnologie kann zuverlässiger, skalierbarer und kosteneffizienter sein als die herkömmlichen Technologien, die das Problem bei Microsoft/Danger verursacht haben. Noch gibt es durchaus Unklarheiten und Bereiche, in denen Bedenken angebracht sind, die also geklärt werden müssen. Das sind z. B. Datenschutz und Verwaltbarkeit von Daten in einer sich stets in Bewegung befindlichen, mandantenfähigen Welt – und auf dieser Ebene können und sollten wir diskutieren, ob Cloud-Speicherung für den jeweiligen Kunden oder Service angemessen ist. Wir können und sollten daran arbeiten, Cloud-Speicherlösungen weiterzuentwickeln, die diese Probleme angehen.

Für Service-Provider, deren Betrieb ihrerseits auf Cloud-Infrastruktur (SaaS, IaaS), beispielsweise von Trend Micro, aufsetzt, können wir für Fehlertoleranz, Redundanz, Abwehr und Wiederherstellung echte Cloud-Speichertechnologie verwenden. Das stellt unseren Kunden hochverfügbare Services bereit, die nur teilweise – und definitiv nicht katastrophenmäßig – ausfallen, wenn sie sich mit Gegebenheiten wie unbeständiger Hardware und Netzwerken, und natürlichen oder geopolitischen Katastrophen auseinandersetzen müssen. Durch den Einsatz hochwertiger End-to-End-Sicherheitsprinzipien können wir Datenschutz und -integrität gewährleisten. Wie das sich entwickelnde Sidekick-Fiasko so schmerzlich verdeutlicht, ist ein guter Ruf das A und O: unser guter Ruf, der gute Ruf unserer Plattform-Provider. Wir können mit sorgfältiger Technologie, Offenheit und gutem Ruf Vertrauen gewinnen. Das Vertrauen bewahren wir durch Transparenz, der Entwicklung einer Branche der sicheren Lösungen für den offenen Datenaustausch bei der Datensicherung zwischen Services und Providern und dadurch, dass wir minderwertige oder nachlässige Hersteller, die diese neue Chance gleich zu Anfang in ein schlechtes Licht rücken könnten, nicht dulden.

Beim Mobiltelefon-Service Sidekick von T-Mobile USA, der vom Microsoft Tochterunternehmen Danger betrieben wird, kam es zu einem Zwischenfall, durch den einige Sidekick-Telefonkunden ihre persönlichen Daten einschließlich Kontaktnamen, Telefonnummern und digitale Photos verloren (die New York Times fasste die Ereignisse zusammen und The Register steuerte einige pikante Spekulationen über die Herkunft des Service-Ausfalls bei). Viele Kommentatoren nutzten diesen Vorfall und andere kürzlich erfolgte Ausfälle von Cloud-Services, um die Zuverlässigkeit des Cloud-Computings in Zweifel zu ziehen. Mein Vorschlag lautet: Erst einmal tief Luft holen und nachdenken.

Was Microsoft da mit Danger passiert ist, war ein IT-Schlamassel, der sich in jedem Datenzentrum hätte ereignen können. Daten scheinen zwar verloren gegangen zu sein, ihre Vertraulichkeit blieb aber gewahrt. Der Artikel in The Register weist auf mögliche Konzeptionsfehler in der Infrastruktur hin. Dieser unglückliche Vorfall hätte überall, nicht nur im Internet passieren können, der Unterschied ist jedoch, dass viele Kunden vom Versagen des IT-Prozesses betroffen waren. Vergleicht man den Vorfall bei Danger mit dem, was passiert, wenn Ihr interner Mail-Server abstürzt, liegt der Unterschied darin, wer davon erfährt: Bei Ihrem internen Mail-Server weiß es nur Ihr Unternehmen (und nicht die ganze Welt).

Aus dem Blickwinkel der Sicherheit weisen sowohl der Vorfall bei Microsoft Danger, der kürzlich erfolgte DDoS bei Amazon EC als auch die Herausforderungen an Google bei der Bereitstellung von gehosteter E-Mail auf anfängliche Schwierigkeiten einiger Software-as-a-Service- und Infrastructure-as-a-Service-Angebote (SaaS und IaaS) hin. Es gilt zu unterscheiden, dass es zwar zu Service-Ausfällen gekommen ist, aber nicht nicht zu Sicherheitsverletzungen, die vertrauliche Daten gefährdet haben. Eine solche Sicherheitsverletzung könnte die Verbreitung des Cloud-Computing verzögern, doch die meisten Unternehmen achten sorgfältig darauf, welche Daten sie der öffentlichen Web-Wolke anvertrauen und wie sie geschützt werden.

Eines Tages wird es auch beim öffentlichen Cloud-Computing zu einer Sicherheitsverletzung kommen. Meine Voraussage ist jedoch, dass Kosteneinsparungen und Flexibilität, die sich durch Software-as-a-Service/Platform-as-a-Service/Infrastructure-as-a-Service (und gehostete Services) erzielen lassen, die Verbreitung des Cloud-Computings vorantreiben und dass Sicherheitsteams auf mögliche Risiken hinweisen und versuchen werden, sie abzuwehren. Eine zentrale Herausforderung für Sicherheitsexperten ist es, das Cloud-Computing nicht kategorisch abzulehnen, sondern zu sagen „Ja, Cloud-Computing ist eine gute Sache, aber man muss X, Y und Z tun, um Anwendungen und vertrauliche Daten zu schützen.“

Benutzer von Amazon EC2 sind kürzlich einem gezielten DDoS-Angriff (Distributed Denial of Service) zum Opfer gefallen, der beim webbasierten Code-Hosting-Service Bitbucket für Fassungslosigkeit sorgte (Nachricht mit freundlicher Genehmigung meiner Lieblings-IT-Zeitschrift The Register). Eine der Schattenseiten des Lebens ist, dass es bei massiven DDoS-Angriffen, wie Bitbucket ihn erlebte, nur eine Schutzmaßnahme gibt, wenn die eingehenden Netzwerkkanäle erst einmal überfüllt sind: das Abschotten des DDoS.

Trend Micro hat mit DDoS-Angriffen gleich an zwei Fronten zu kämpfen: im Antiviren-Geschäft und im Hosted-Security-Geschäft (schamlose Verkaufswerbung von meiner Seite: schauen Sie sich InterScan Messaging Hosted Security an, um mehr über unsere Angebote rund um gehostete/SaaS-Mail-Sicherheit zu erfahren). Ich habe einige unserer CTOs und Sicherheitsarchitekten nach ihrer Sicht der Dinge zur Bitbucket-Geschichte gefragt und dabei viel über das schwerwiegende Problem, das DDos-Angriffe darstellen, gelernt.

Anbieter und SaaS-/IaaS (Infrastructure as a Service)-Provider können zwar die Presse täuschen, um sich vor negativen Schlagzeilen zu schützen, vom technologischen Standpunkt aus aber gibt es kein Entkommen, wenn eingehende Netzwerkkanäle erst einmal aufgrund eines DDoS-Angriffs überfüllt ist. Es gibt zwar keine Architektur, die vor DDoS-Angriffen schützt, aber Sie können eine Netzwerkarchitektur implementieren, die diese Angriffe zumindest abschwächt. Mit der Haltung “Einmal konfigurieren und fertig” kommen Sie hier allerdings nicht weit – Sie müssen eine gute Zusammenarbeit mit vorgelagerten Providern entwickeln und Informationen in Echtzeit austauschen, um Angriffe zu mildern.

Die wenigsten netzwerkbasierten Maßnahmen können Sie vor DDoS-Angriffen schützen, da sie weder den zunehmenden Verkehr aufhalten noch zwischen guten und bösen Inhalten unterscheiden können. Intrusion-Prevention-Systeme (IPS) sind wirksam, wenn die Angriffe bereits identifiziert wurden und bekannte Signaturen aufweisen. Geht es allerdings um rechtmäßige Inhalte mit bösartigen Absichten, sind auch diese Systeme unwirksam. Ähnlich ist es um Firewalls bestellt: Sie verwenden üblicherweise einfache Regeln, die Protokolle, Ports oder IP-Adressen zulassen oder verweigern. Für DDoS-Angriffe ist es ein Kinderspiel, Firewalls und IPS-Geräte zu umgehen, da sie so konzipiert sind, dass sie rechtmäßigen Verkehr wie HTTP-Anfragen an einen Webserver versenden. Angriffe generieren so viel Verkehr von so vielen unterschiedlichen Hosts, dass ein Server – bzw. meistens dessen Internet-Verbindung – den Verkehr nicht bewältigen kann.

Ich vermute zwar, dass diese Art von Angriffen recht selten bleiben wird, da die meisten Angriffe heutzutage auf unrechtmäßige Gewinne abzielen und DDoS-Angriffe im Allgemeinen “Ruhm” oder “Rache” zum Motiv haben; dennoch bleiben sie ein Grund zur Sorge für Kunden, IaaS-Anbieter und ISPs. Egal, welcher böse Hacker die bei diesem DDoS-Angriff benutzten Rechner infiziert hat – er hat sie natürlich auch identifiziert. Für ISPs hat das die unangenehme Aufgabe zur Folge, ihre Kunden über den Angriff zu informieren oder die betroffenen Rechner abzuschalten. Tausende von Kunden sind weder schnell noch einfach zu benachrichtigen.

All das ist irrelevant, wenn Sie eine nicht systemkritische Anwendung im Internet verteilen. Lehnen Sie sich entspannt bei einer Tasse Kaffee zurück, bis der DDoS-Angriff vorüber und Ihre Anwendung wieder zugänglich ist.

Anders verhält es sich jedoch, wenn Sie eine systemkritische Anwendung im Internet bereitstellen: Sie müssen die Anwendung so konzipieren, dass sie bereits ab dem 1. Tag des Angriffs ausfallsicher ist. Im Klartext: Sie müssen die Anwendung auf mehrere IaaS-Anbieter verteilen und die Daten zwischen diesen Anbietern replizieren. Und das bedeutet außerdem, dass Sie die Latenzzeiten zwischen den unterschiedlichen IaaS-Anbietern in den Griff bekommen müssen. Internet-Computing und SaaS/IaaS sind ohne Frage großartig, aber Unternehmens- und Anwendungsarchitekten müssen die Sicherheit sorgfältig überdenken, ehe sie sich in das Abenteuer Internet stürzen.

Jeden Tag gibt es neue Schlagzeilen zu Social Networking, Cloud-Computing und Software-as-a-Service (SaaS). All diese schnell wachsenden Bereiche haben eines gemeinsam: Sie basieren auf der Datenübertragung von privaten Computern in das Internet, das heißt in die Öffentlichkeit. Theoretisch schützen die jeweiligen Service Provider diese Daten – schließlich gelten die Hoster als Experten in ihrem Bereich. Doch nur in den seltensten Fällen handelt es sich bei diesem Bereich um Datensicherheit. Daraus ergeben sich Konsequenzen, die wohlbedacht sein wollen.

Sicherheitsexperten rufen Google und andere Betreiber dazu auf, SSL zu verwenden, um alle mit ihren Services verknüpften Interaktionen zu schützen. Ich bin ebenfalls der Meinung, dass es sich dabei um eine Mindestmaßnahme handelt, der sich jeder verpflichten sollte. Aber in meinen Augen ist das nicht weitreichend genug! Viele Cloud-Provider distanzieren sich in ihrem Kleingedruckten von dieser Verantwortung – siehe die EC2-Lizenzvereinbarung von Amazon. Oft sind Provider auch nicht willens, Auskunft darüber zu geben, wie sie ihre Kunden schützen, sondern handeln getreu dem Motto „Vertrauen Sie uns einfach“. Salesforce.com beispielsweise benutzt bei der Erläuterung seiner Sicherheitsmaßnahmen eine Reihe hohler Phrasen; auf harte Fakten können Unternehmen, die diese zu Audit-Zwecken benötigen, aber lange warten. Network World argumentiert, dass die Durchsetzung von PCI in einer von einem Service Provider bereitgestellten Umgebung schwierig bis unmöglich ist… Und in der Welt des Social Networking geht die Diskussion darüber, wem die hochgeladenen Daten gehören, in die nächste Runde.

Aber kommen wir zurück zum Titel: Reicht die Aussage „Vertrauen Sie uns einfach“ wirklich aus, um private Daten in der Öffentlichkeit des Internets zu schützen? Definitiv nicht!

Bevor persönliche Daten im Internet als hinreichend sicher gelten können, müssen einige Bedingungen erfüllt sein:

1. Cloud-Provider müssen die Sicherheit als Wettbewerbsgrundlage sehen – nicht die Kosten.
   Im Augenblick geht es beim Cloud Computing darum, wie viel die Kunden für ihr Geld bekommen, d. h. wie viel Speicherplatz oder Bandbreite und wie viele CPU-Zyklen. Doch mit der Entwicklung des Marktes und dem immer größeren Wettbewerbsdruck bei immer geringeren Gewinnspannen müssen die Anbieter versuchen, ihren Kunden zusätzliche Services anzubieten, um sich von der Konkurrenz abzuheben. Die Sicherheit wird dabei ein wichtiger Faktor sein. In nächster Zeit können wir damit rechnen, dass den Kunden vertragliche Zusagen, Strafklauseln und detaillierte Sicherheitsmodelle angeboten werden.
2. Die IT-Community muss Wege finden, dem Dateneigentümer den Datenschutz zu überlassen und ihm trotzdem die Nutzung aller Vorteile, die das Internet bietet, zu gewährleisten.
   Wenn die Daten von großer Bedeutung für ihren Eigentümer sind, müssen wir ihm (Einzelperson oder Unternehmen) ermöglichen, den Schutz seiner Daten selbst in die Hand zu nehmen – ohne Einbußen bei der Internet-Nutzung. Machen Sie sich auf eine Welle neuer Produkte gefasst, die auf eine Erweiterung des Schutzes (auf privat genutzte wie auch unternehmenseigene Internet-Computer) abzielen, auf die wir alle gewartet haben. Gehen Sie davon aus, dass Cloud-Provider ihre APIs für Dritte öffnen werden, damit diese die fehlenden Komponenten einbauen können und somit die Services noch attraktiver für Kunden werden.

Wir von Trend Micro nennen das „Schutz FÜR das Internet“. Sie können sicher sein, dass Sie in den nächsten Monaten noch öfter darüber lesen werden!

Angebote zu webbasierter Sicherheit als ein Service werden aufgrund der Vorteile des Verteilungsmodells immer beliebter. Sicherheit als ein Service ermöglicht durch Echtzeit-Updates und Feedback von Benutzern eine sehr schnelle Bereitstellung, Kostensenkungen und verbesserte Sicherheit.

Mit der explosionsartigen Zunahme des öffentlichen Cloud-Computings ist es an der Zeit, die Techniken, die wir für die Sicherheit AUS der Cloud einsetzen, nun auch zum Schutz FÜR die Cloud verwenden.

In Umgebungen der public Clouds, wie z. B. Amazon Web Services (AWS), bieten Instanzen von Elastic Compute Cloud (EC2) nur eine Firewall als Service. Es liegt am Kunden, alle Schwachstellen des Betriebssystems und der auf der virtuellen Maschine ausgeführten Anwendungen zu schließen. Das regelmäßige Patching kann die Angriffsflächen reduzieren, reicht aber nicht als einzige Maßnahme aus, um eine sichere Umgebung zu gewährleisten. Die einzige zurzeit brauchbare Option zur Stärkung des Sicherheitsprofils ist, dass der Kunde Host-basierte Steuerelemente verteilt und verwaltet. Host-basierte Agenten können Anti-Malware, IDS/IPS, WAF, DLP, Integritätsüberwachung und andere Funktionen bereitstellen, doch liegt es am Endbenutzer, diese Gegenmaßnahmen zu erwerben, zu verteilen, zu konfigurieren und zu überwachen.

Dies ist eine Chance für Service Provider: Sie können Sicherheit als einen Service zum Schutz der Instanzen anbieten, die ihre Kunden erzeugen. Mit der Einführung hochwertiger Pay-per-Use-Sicherheitsservices könnten Kunden die Gegenmaßnahmen auswählen, die sie je nach Funktion benötigen. Es bedarf dann einfach nur der Aktivierung in einer Check Box, um ihre virtuellen Maschinen nach Malware durchsuchen zu lassen.

Während dies eine natürliche Weiterentwicklung zu sein scheint, setzt sich Sicherheit als ein Service im Bereich Infrastructure-as-a-Service (IaaS) nur langsam durch. Dies liegt teilweise an der erforderlichen Architektur. Um die Unabhängigkeit der Plattform sowie die Flexibilität der Umgebung zu bewahren und virtualisierungsspezifische Themen wie Rollback zu lösen, sollten die Sicherheitsservices transparent außerhalb der virtuellen Maschine bereitgestellt werden (Platform-as-a-Service- und SaaS-Angebote unterliegen nicht dieser Einschränkung, da der Service Provider das Betriebssystem verwaltet).

Externe Sicherheit hat sich bereits in Sicherheit als ein Service zum Schutz AUS der Cloud bewährt, beispielsweise E-Mail-Gateways zum Filtern von Spam und Malware. Es ist nicht gängige Praxis, externe Sicherheit FÜR virtuelle Maschinen bei Cloud Providern bereitzustellen, aber es ist heute möglich – und zwar mit virtuellen Gateways oder virtuellen Appliances, die Hypervisor-Sicherheits-APIs einsetzen, um den Prozessor, den Arbeitsspeicher, das Netzwerk und den Speicher der virtuellen Maschinen zu überprüfen. Was Virtualisierungsplattformen angeht, so ist VMware hier mit VMsafe führend bei der Bereitstellung von Sicherheits-APIs. Service Providern, die andere Virtualisierungstechnologien einsetzen, stehen mittlerweile jedoch auch andere Optionen zur Verfügung.

Damit Sicherheit als ein Service auch brauchbar ist, muss Benutzerfreundlichkeit oberste Priorität haben. Bei AWS allein werden JEDEN TAG schätzungsweise 50.000 neue Instanzen hinzugefügt. Um den Anforderungen, den Preisvorstellungen, dem Ausmaß an Selbstbedienungsfunktionen und der Fachkenntnis der Benutzerbasis gerecht zu werden, müssen die Sicherheitslösungen einfach zu verwalten sein. Die aktuelle Konfiguration von Firewall-ACLs in heutigen IaaS-Angeboten der public Cloud ist ein perfektes Beispiel für die erforderliche Einfachheit. Während einige Sicherheitsservices nur sehr wenig Konfiguration erfordern (wie z. B. Anti-Malware), ist bei anderen seit jeher mehr Konfigurationsaufwand nötig. Um Erfolg zu haben, müssen die Sicherheitsservices so weit wie möglich rationalisiert und automatisiert werden. Das kann bedeuten, dass Hypervisor-Sicherheits-APIs verwendet werden, um den Inhalt der virtuellen Maschinen zu überprüfen und sie gemäß der auf ihr ausgeführten Arbeitslast zu konfigurieren.

Diese Anforderungen sind eine ganz besondere Herausforderung für Anbieter von Sicherheitssoftware, die schnell bedarfsgerechte, Mehrmandanten-fähige Lösungen bereitstellen müssen. Die Anbieter müssen sich auch mit dem Mangel an Standards für die Integration mit den Service Providern auseinandersetzen, eine Herausforderung, die erst im Lauf der Zeit durch das Erstellen gemeinsamer Sicherheits-APIs bewältigt werden kann. Für Service Provider bedeutet Sicherheit als ein Service eine zusätzliche Einnahmequelle und Wertsteigerung ihrer Services. Höchstwahrscheinlich werden die Lösungen zunächst von kleineren Service Providern angeboten, um sich von der Konkurrenz abzuheben. Es gibt jedoch genug Marktchancen, so dass auch die dominierenden Provider zwangsläufig nachziehen werden.

Unter Verwendung des dynamisch bereitgestellten, externen Pay-per-Use-Sicherheitsmodells, das bei webbasierten Services zum Schutz AUS der Cloud sehr gängig ist, macht Cloud-Computing zum Schutz FÜR die Cloud absolut Sinn. Endbenutzer haben Zugriff auf die von ihnen benötigten Sicherheitsservices, ohne selbst Zeit und Aufwand zu investieren, und erhalten Sicherheit, die genau so dynamisch ist wie die von ihnen verwendeten webbasierten Services.

Vor knapp vier Jahren habe ich damit begonnen, mich mit dem SaaS-Sicherheitsmodell (Software-as-a-Service) für Trend Micro zu beschäftigen. Ehrlich gesagt war es – da wir ein Softwareunternehmen sind – sehr schwer, irgendjemanden auf uns aufmerksam zu machen. Dennoch ließ das Team nicht locker und musste manchmal am eigenen Leib erfahren, was nötig ist, um hochverfügbare SaaS-Anwendungen bereitzustellen.  SaaS ist heute eine wohlbekannte, kosteneffiziente Möglichkeit, herkömmliche Softwareanwendungen ohne Investitionen in Infrastruktur und qualifiziertes Personal bereitzustellen. Am häufigsten werden Anwendungen aus dem Bereich Produktivität, wie z. B. CRM und ERP, in Form von SaaS eingesetzt. Es gibt jedoch einen weiteren SaaS-Markt, der schnell und mit einem weltweiten Umsatz von mehr als 500 Millionen Dollar wächst.

SaaS-Sicherheitsanwendungen, manchmal auch als Security-as-a-Service bezeichnet, bieten die gleichen Vorteile wie jede andere SaaS-Anwendung. Es ist sogar so, dass einige SaaS-Sicherheitsanwendungen zusätzliche Vorteile aufweisen. Gehostete E-Mail-Sicherheit bietet eine äußerst kosteneffiziente Möglichkeit, Ihre E-Mail-Systeme zu schützen UND das Team bezüglich der Feinabstimmung für die beste Spam-Erkennung zu entlasten. Solche Services sind für alle Kundentypen optimal geeignet. Die IMHS Hosted Email Services von Trend Micro hosten Kunden jeder Größe – ob mit 5 oder mit 50.000 Benutzerlizenzen. Mehrwert-SaaS-Anwendungen für E-Mail-Sicherheit, wie z. B. Verschlüsselung, können in kürzester Zeit verteilt werden.

Eine andere erfolgreiche SaaS-Sicherheitsanwendung ist die Suche nach und Bewertung von Schwachstellen. Diese gehört zu einem so genannten Hybrid-Modell, da der Großteil der Funktionalität im Internet ausgeführt wird, zusammen mit einigen Elementen, die sich innerhalb des Kundennetzwerks befinden.

Dennoch sind nicht alle Sicherheitsanwendungen für die Cloud geeignet. Es lässt sich darüber streiten, ob Ihr gesamter Internetverkehr über SaaS-Sicherheits-Gateways geleitet werden soll. Aufgrund der Datenmenge ist es vielelicht am besten, Firewall- und Internet-Proxy-Verkehr über lokal installierte Anwendungen zu übertragen. Endpunkt-Sicherheitsanwendungen, die eine permanente Interaktion mit internen Netzwerkelementen erfordern, oder größere Kunden mit sehr stark verteilten Netzwerken, sind möglicherweise für die Einheitsprodukte von SaaS-Sicherheitsanbietern zu komplex. In diesem Fall werden manchmal MSSPs (Managed Security Service Provider) eingesetzt, um interne Ressourcen zu ergänzen.

Unternehmen sollten heute wahrscheinlich eine Kombination aus reiner SaaS-Sicherheit, SaaS-Hybridsicherheit, verwalteten Sicherheitsservices und lokal installierten (oder Private-Cloud-) Lösungen wählen. Welche Lösung im einzelnen eingesetzt wird, hängt von den Anwendungen und der Netzwerkgröße oder -architektur ab.