Schlüssel-Diebstahl

Die Ursachen für den Diebstahl von API-Schlüsseln reichen von einfachen Flüchtigkeitsfehlern der eigenen Administratoren über besorgniserregenden Leichtsinn der eigenen Programmierer bis hin zu gravierenden Treuepflichtverletzungen durch Drittanbieter von Analytics-Lösungen und anderen autorisierten Diensten.

Der Diebstahl von API-Schlüsseln kann für das betroffene Unternehmen verheerende Folgen haben. Der Missbrauch von Cloud-APIs hat häufig folgende Ursachen:

Um diese Problemfelder zu neutralisieren, muss das IT-Fachpersonal ein tiefes Verständnis für die Cybersecurity-Tücken der Cloud entwickeln.

Die führenden Cloud-Anbieter stellen ihren Kunden verschiedene Verschlüsselungsmechanismen zur Verfügung. Bei Amazon AWS lassen sich beispielsweise EBS-Volumes (Elastic Block Store) verschlüsseln.

Die Google Compute Engine mag zwar standardmäßig alle Daten im Ruhezustand automatisch verschlüsseln, doch verwaltet sie die zugehörigen Schlüssel selbst. Unternehmen können zwar eigene Schlüssel bereitstellen („Bring your own Encryption“), Google nutzt diese sogenannten Customer-Supplied Encryption Keys aber nur zum Verschlüsseln des eigenen Schlüsselspeichers, nicht der eigentlichen Daten. Das ist höchst problematisch.

Bei unternehmenskritischen Daten auf die standardmäßig gebotene Schmalspurversion von Ende-zu-Ende-Verschlüsselung eines Cloud-Anbieters zu vertrauen, wäre überaus fahrlässig. Denn solange die Chiffrierschlüssel manuell zum Beispiel im unternehmenseigenen Rechenzentrum verwaltet werden, besteht lediglich eine Illusion von Sicherheit.

Abhilfe schaffen hier Hardware-Sicherheitsmodul-Appliances wie sie beispielsweise von Amazon AWS mit dem Dienst CloudHSM unterstützt werden. Für Anwendungen und Daten, die strengen vertraglichen oder regulatorischen Vorschriften für die Verwaltung kryptografischer Schlüssel unterliegen, ist dieser zusätzliche Schutz erforderlich.

AWS CloudHSM unterstützt Unternehmen beim Einhalten strenger Vorschriften für die Schlüsselverwaltung in einem dedizierten, beständigen und manipulationssicheren Schlüsselspeicher, ohne dabei die Anwendungsleistung zu beeinträchtigen. Der AWS-CloudHSM-Service stellt in der betreffenden VPC (Virtual Private Cloud) eine dedizierte Hardware-Appliance bereit. CloudHSM-Instanzen können dann eine private Netzwerkanbindung mit EC2-Instanzen bei einer sehr niedrigen Latenz herstellen. Das Unternehmen bekommt einen dedizierten und exklusiven Einzelmandanten-Zugriff auf seine CloudHSM-Instanzen. Unternehmen, die aus regulatorischen Gründen Ressourcenänderungen nachverfolgen oder Cloud-Aktivitäten überwachen müssen, können über CloudTrail alle Auf­­-rufe der CloudHSM-API wie auch anderer Dienste überprüfen. Auch lassen sich Vorgänge auf der HSM-Appliance überwachen.

Microsoft bietet mit Azure Storage Service Encryption (SSE) einen Verschlüsselungsdienst für Daten in Azure Blob Storage und clientseitige Verschlüsselung wahlweise mittels .NET oder Java samt Integration mit Azure Key Vault. Azure Key Vault ist ein verwalteter Dienst für das Management von Kryptografieschlüsseln mit integrierter Unterstützung für HSMs (Hardware-Sicherheitsmodul-Appliances), der ohne Instanzen auskommt. Anwendungen haben keinen direkten Zugriff auf Schlüssel. Die Nutzung von Schlüsseln lässt sich anhand von Azure-Protokollen nachvollziehen und an Azure HDInsight oder ein unternehmenseigenes SIEM (Security Information and Event Management) zur zusätzlichen Analyse und Bedrohungserkennung weiterleiten. Diese Dienste sind vergleichsweise neu und werden noch kaum genutzt.

Zur Einhaltung gesetzlicher, regulatorischer und vertraglicher Vorschriften für die Datensicherheit in der Cloud müssen Unternehmen buchstäblich alle Register ziehen. Einige interessante Lösungen für die Datenverschlüsselung und Ressourcenüberwachung stellen die führenden Cloud-An­bie­ter selbst bereit.