Ich komme aus dem Bereich und ich interessiere mich für

Insights

Cybersicherheit und Strategie

Souveräne Clouds und IT-Sicherheit: Cyber Security in der Cloud-Ära

Wie können wir Vertrauen in die Sicherheit kritischer digitaler Infrastrukturen und souveräner Clouds entwickeln? Und wodurch kann dieses Vertrauen letztendlich gerechtfertigt sein? Eine geostrategisch-technische Analyse zur Cybersicherheit in der Cloud-Ära. 

von Michael Barth und Alexander von Gernler

Mit Regulierungen wie NIS2, Cyber Resilience Act und dem Cloudstandard BSI C5 setzen Deutschland und Europa Standards. Was oft als Verbotspolitik der EU gebrandmarkt wird, hat eine Vielzahl guter Effekte.

Michael Barth, Abteilungsleiter Strategy

Geostrategische Perspektiven und Cyberraum

von Michael Barth

Die Welt ist unsicherer geworden. Statt einer Blockkonfrontation wie im Kalten Krieg agieren heute verschiedene Akteure an unterschiedlichen Fronten mit teilweise flexibel wechselnden Allianzen. Durch die Anerkennung von Cyber als weiterer Organisationsbereich neben Heer, Marine und Luftwaffe haben nahezu alle Armeen dieser Welt durch schlüssiges Handeln dokumentiert, wie entscheidend eine Überlegenheit auch im Informationsraum ist – für die eigene Information und Führungsfähigkeit, aber auch, um die Infrastruktur und Verteidigungsfähigkeit des Gegners zu stören.

Eine neue Ära für die IT-Sicherheit

IT-Sicherheit mag früher ein Nischenthema gewesen sein, das begrenzten Schaden verursachen konnte. Heute ist sie eine Frage digitaler Souveränität und damit der nationalen Sicherheit. Eine empfindliche Störung ziviler Informationsinfrastruktur für Kraftwerke, Energienetze, Krankenhäuser, Pipelines, Flughäfen oder Bahnlinien ist militärisch automatisch von hohem Interesse. Nicht zuletzt im Ukrainekrieg und an den vorangegangenen Hackerangriffen auf zivile Infrastrukturen wird dies deutlich.  

Angriffe zu militärischen Zwecken können unbeabsichtigt und schnell auf zivile Strukturen übergreifen. Gleichzeitig bietet der Operationsraum der Cyberdomäne Möglichkeiten der Manipulation und Beeinträchtigung von Infrastrukturen, die unter der Schwelle zum bewaffneten Konflikt liegen. Somit ist das Risiko einer Eskalation für staatliche Akteure geringer als in anderen Bereichen der Auseinandersetzung. Sie sind damit ein bevorzugtes Mittel der Wahl. 

Es ist also folgerichtig, dass die EU mit ihrer Gesetzgebung im Cyberbereich diese Lücken so weit wie möglich schließen will, um dem Prinzip der Daseinsvorsorge gerecht zu werden. Hervorzuheben sind vor allem die NIS-2-Richtlinie und der Cyber Resilience Act. Dabei kann nicht mehr davon ausgegangen werden, dass sich Sicherheit rein mit technischen Mitteln durchsetzen lässt. Vielmehr zielen Instrumente wie ISMS, ISO 27001 und IT-Grundschutz nach BSI darauf ab, Angriffsoberflächen zu reduzieren, organisationale Strukturen zu härten sowie ein vorausschauendes Risikomanagement samt Plänen für den Ernstfall zu etablieren. 

Deutschland und Europa setzen Standards für die Cybersicherheit

Wie auf technischer Ebene gilt auch politisch Defense in Depth, also das Prinzip der zusätzlichen Sicherheitsmechanismen, sollte der erste fehlschlagen. Deutschland und Europa setzen hier Standards. Neben NIS 2.0, Cyber Resilience Act und AI Act auf europäischer Ebene ist dies national etwa der Cloudstandard BSI C5.  

Was oft als Verbotspolitik gebrandmarkt wird, hat eine Vielzahl guter Effekte. Ebenso wie bei der DSGVO hat auch C5 dazu geführt, dass multinationale Konzerne wie Amazon, Google oder Microsoft sich an europäische Regularien halten. Der europäische Wirtschaftsraum ist in seinem Bruttoinlandsprodukt den USA mehr als ebenbürtig. Hier unterschätzt sich Europa oft und wirkt wegen der vielfältigen Stimmen in Rat und Kommission nicht so homogen wie die USA. Dort wird per Presidential Order auch mal ein recht konkretes Paradigma wie Zero Trust für die Bundesbehörden verordnet. 

Es erscheint naheliegend, dass zentrale Funktionen wie der Zugang zu Clouddiensten oder die Trennung von Mandanten und Informationen in der Cloud für die Nutzung im Verschlusssachenkontext zusätzlich durch vertrauenswürdige Dienste gehärtet werden müssen.

Michael Barth

Souveräne Schüsseltechnologien für vertrauenswürdige souveräne Clouds

In den letzten Jahren beobachten wir nicht nur die steigende Relevanz von Zero Trust für eine souveräne Informationsverarbeitung, sondern auch den Wunsch, behördliche Informationsverarbeitung mittels Cloudtechnologien zu konsolidieren, wie es die Wirtschaft seit Längerem tut. Das vorsichtige Abwarten der öffentlichen Hand ist verständlich: Anders als die freie Wirtschaft ist der Staat mit der allzu spontanen Anwendung der Trial-and-Error-Methode schlecht beraten, da mit den Auswirkungen länger umgegangen werden muss. Auch das Vergaberecht ist in seiner derzeitigen Ausprägung nur bedingt geeignet, Verträge mit unsicherem Ausgang in Sachen Technologie zu realisieren. 

Gleichzeitig stellen sich Nischenbereiche wie die mit Verschlusssachenbearbeitung betrauten Behörden die Frage, ob und wie sie von den Versprechen der Cloudnutzung profitieren können. Dabei muss klar sein, dass die Anforderungen an die Sicherheitseigenschaften höher sein werden als für klassische Verwaltungsaufgaben. Denn es geht qua Definition um die Verarbeitung von Informationen, die im Falle eines Missbrauchs für den Bestand der Bundesrepublik Deutschland mindestens nachteilig sein können.  

Deshalb erscheint es naheliegend, dass zentrale Funktionen wie der Zugang zu Clouddiensten oder auch die Trennung von Mandanten und Informationen in der Cloud für die Nutzung im Verschlusssachenkontext zusätzlich durch vertrauenswürdige Dienste gehärtet werden müssen. Diese Vertrauensanker wären in diesem Sinne also unverzichtbare Schlüsseltechnologien, deren Nutzung durch staatliche Nutzer eingefordert werden sollten, um weiterhin Kontrolle über die kritischen Daten zu behalten. 

Technische Perspektiven zu IT-Sicherheit und souveräner Cloud

von Alexander von Gernler

Lange Zeit galt:  „Die Cloud ist eigentlich nur jemand anderes Rechner“.  Sprich, wenn ich den Cloud-Betreibern nicht vertrauen kann, sollte ich die Cloud nicht für Berechnungen und Anwendungen nutzen. Das reine Speichern von Daten wäre zwar unbedenklich, solange diese ordentlich verschlüsselt werden. Als entfernte Dateiablage spielt die Cloud allerdings praktisch keine ihrer Vorteile aus. Was ich nicht unter physischer Kontrolle habe, kann ich technisch kaum sichern. Bereits einige Zeit vor der Cloud begann deshalb das Zeitalter der Service Level Agreements und der Security by Contract. Es wurde darauf vertraut, dass die Diensteanbieter sich nicht durch schlampigen Umgang mit den Daten das Geschäft ruinieren würden. 

Vom Perimeter zu Zero Trust

Analog zur Cloudbewegung haben sich in den vergangenen Jahren auch die Netze weiterentwickelt. Vom früheren Perimeter-Paradigma (gut innen, böse außen) ging es über Mikrosegmentierung (Firewalls zwischen einzelnen Teilen des Netzes), Intrusion and Exfiltration Detection und Software Defined Networking bis hin zu der Annahme von Zero Trust, dass lokale Netze eigentlich ohnehin als irrelevant oder kompromittiert anzusehen sind. Fand früher eine Filterung von Daten auf Paketebene und anhand von technischen Merkmalen (IP-Adresse, Port) statt, so wurden die Filterkriterien entlang der ISO/OSI-Schichten nach oben immer mächtiger. In heutigen Zero-Trust-Setups ist das wichtigste Kriterium die Identität der User. Alle anderen Kriterien können zusätzlich zu einem Defense-in-Depth-Ansatz beitragen. 

Eine in der Praxis immer noch unrealisierte Hoffnung ist, auf verschlüsselten Daten zu rechnen, Stichwort Homomorphe Verschlüsselung. Spätestens bei komplizierteren Rechenoperationen stößt dies schnell an seine Grenzen. Die bekannten Verfahren skalieren schlecht in Zeit und Rechenaufwand. Viele wurden bisher zu wenig verwendet, um echtes Vertrauen entwickeln zu können. 

Wenn ich der Cloud nicht vertrauen kann, sollte ich sie auch nicht nutzen. Wir brauchen im Sinne der Versorgungssicherheit dringend einen funktionierenden Markt nationaler Provider und souveräner Cloud-Lösungen.

Alexander von Gernler, Leiter Research and Innovation

Hoffnungsträger Confidential Computing

Vor Kurzem trat ein vielversprechender Kandidat auf die Bühne: Confidential Computing.  Dabei werden Spezialfeatures gängiger Prozessoren (z.B. AMD oder Intel) genutzt, um den Hauptspeicher einer Enklave komplett verschlüsselt zu haben und nur beim Laden von Daten in die CPU zu entschlüsseln. Dies kann kryptografisch von außen verifiziert werden, ähnlich wie bei Measured Boot im Trusted Computing. Auf diese Weise muss nicht mehr dem Cloud-Provider vertraut werden, sondern nur noch dem Prozessorhersteller. Das ist insofern akzeptabel, da diesen bereits zuvor vertraut werden musste. Auch bietet eine manipulierte CPU erheblich schlechtere Angriffsmöglichkeiten als ein manipulierter Cloud Stack. 

Confidential Computing leidet derzeit noch an messbaren Einbußen bei der Performance. Außerdem ist die Frage nach der finalen Architektur offen. Wichtig ist darüber hinaus ein kompatibles Framework, mit dem verlässlich und skalierbar abgeprüft werden kann, ob sich die gewünschten Virtuellen Maschinen oder Kubernetes-Pods wirklich in einer sicheren Enklave befinden. 

Drei Forderungen an die Sicherheit souveräner Clouds

Wenn wir nun den Blick auf eine sichere und souveräne behördliche Informationsverarbeitung richten – auch für Verschlusssachen – egal ob in der privaten oder einer öffentlichen Cloud, welche Forderungen sollten wir insgesamt stellen?   

  • Erstens: Confidential Computing sollte funktionierend, erprobt und performant zur Verfügung stehen.   

  • Zweitens: Die Verarbeitung der Daten sollte nicht nach Gusto erfolgen, sondern nach einem Plan der relevanten Behörde, des Bundesamt für Sicherheit in der Informationstechnik. 

  • Drittens: Wir brauchen im Sinne der Versorgungssicherheit dringend einen funktionierenden Markt nationaler Provider und souveräner Cloud-Lösungen.   

Zur Verfügung stehende proprietäre Lösungen wie zum Beispiel das von Delos beabsichtigte m365 im nationalen Rechenzentrum benötigen im Sinne der Überprüfbarkeit die Möglichkeit von Einsichtnahme durch BSI und Benutzer. Und ganz grundlegend sollten wir nicht hinter die bereits bestehenden Standards wie etwa BSI C5 zurückfallen. 


Dieser Beitrag ist in gekürzter Fassung auch in der Ausgabe 1/2024 der Fachzeitschrift ix erschienen.