Anwendbarkeit von BSI IT-Grundschutz Standards auf Cloud ...
Anwendbarkeit von BSI IT-Grundschutz Standards auf Cloud ...
Anwendbarkeit von BSI IT-Grundschutz Standards auf Cloud ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Masterthesis<br />
in<br />
Advanced Computer Science - Master<br />
<strong>Anwendbarkeit</strong> <strong>von</strong> <strong>BSI</strong><br />
<strong>IT</strong>-<strong>Grundschutz</strong> <strong>Standards</strong> <strong>auf</strong><br />
<strong>Cloud</strong> Computing<br />
Design der <strong>Cloud</strong>-Sicherheitsumgebung<br />
SMMaaS<br />
Referent:<br />
Korreferent:<br />
Prof. Dr. Christoph Reich<br />
Frank Dölitzscher M.Sc.<br />
vorgelegt am: 28. Juni 2012<br />
vorgelegt <strong>von</strong>:<br />
Marc Thomas<br />
Mühlengasse 10<br />
55546 Pfaen-Schwabenheim
cb<br />
Dieses Werk ist unter einer Creative Commons Lizenz vom Typ Namensnennung<br />
3.0 Unported zugänglich. Um eine Kopie dieser Lizenz einzusehen, konsultieren<br />
Sie http://creativecommons.org/licenses/by/3.0/ oder wenden Sie sich brieich<br />
an Creative Commons, 444 Castro Street, Suite 900, Mountain View, California,<br />
94041, USA.
Abstract<br />
In dieser Arbeit wird die <strong>Anwendbarkeit</strong> <strong>von</strong> <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> <strong>auf</strong> <strong>Cloud</strong><br />
Computing untersucht. Dabei wird speziell <strong>auf</strong> die Gefahren und Maÿnahmen<br />
aus dem <strong>IT</strong>-<strong>Grundschutz</strong>katalog eingegangen und in Bezug <strong>auf</strong> <strong>Cloud</strong> Computing<br />
analysiert. Fehlende Gefahren werden beschrieben. Dieses Analyse soll Vorbereitungen<br />
für einen Bausteinentwurf <strong>Cloud</strong> Computing treen. Die Ergebnisse<br />
der Analyse ieÿen in die Security Managment und Monitoring as a Service (SM-<br />
MaaS)-Architektur ein. Anhand der Anforderungen die sich durch die Ergebnisse<br />
ergeben werden einzelne Module <strong>von</strong> SMMaaS genauer designt und beschrieben.
II<br />
Inhaltsverzeichnis<br />
Inhaltsverzeichnis<br />
Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .<br />
Inhaltsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .<br />
Abbildungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .<br />
Tabellenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .<br />
Abkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .<br />
I<br />
II<br />
IV<br />
V<br />
VI<br />
1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1<br />
1.1 Zielsetzung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1<br />
1.2 Einordnung in bestehende Architekturen . . . . . . . . . . . . . . 1<br />
1.3 verwandte Arbeiten . . . . . . . . . . . . . . . . . . . . . . . . . . 2<br />
2 Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
2.1 <strong>Cloud</strong> Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . 3<br />
2.2 Kryptographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5<br />
2.2.1 Symmetrische Kryptograe . . . . . . . . . . . . . . . . . . 6<br />
2.2.2 Asymmetrische Kryptograe . . . . . . . . . . . . . . . . . 6<br />
2.2.3 Hash Verfahren . . . . . . . . . . . . . . . . . . . . . . . . 7<br />
2.2.4 Digitale Signatur . . . . . . . . . . . . . . . . . . . . . . . 7<br />
2.2.5 Hybride Verfahren . . . . . . . . . . . . . . . . . . . . . . 8<br />
2.3 Public Key Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . 8<br />
2.3.1 digitale Zertikate . . . . . . . . . . . . . . . . . . . . . . 8<br />
2.3.2 Certication Authority . . . . . . . . . . . . . . . . . . . . 10<br />
2.3.3 Registration Authority . . . . . . . . . . . . . . . . . . . . 10<br />
2.3.4 Sperrlisten & Validation Authority . . . . . . . . . . . . . 11<br />
2.4 Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11<br />
2.5 Truststufenmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . 12<br />
2.6 <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> . . . . . . . . . . . . . . . . . . . . . . . . . 14<br />
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> . . . . . . . . . . . . . . . . . . . . . . . . . . . 17<br />
3.1 Gefahren für die <strong>Cloud</strong> nach <strong>IT</strong>-<strong>Grundschutz</strong>katalog . . . . . . . . 17<br />
3.1.1 Vorhandene Gefahren . . . . . . . . . . . . . . . . . . . . . 17<br />
3.1.2 Gefahren aus Bausteinentwürfen . . . . . . . . . . . . . . . 27<br />
3.1.3 Neue Gefahren . . . . . . . . . . . . . . . . . . . . . . . . 28<br />
3.2 Zusammenarbeit mit dem <strong>BSI</strong> . . . . . . . . . . . . . . . . . . . . 31<br />
4 SMMaaS Architektur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
Inhaltsverzeichnis<br />
III<br />
4.1 SMMaaS Architektur . . . . . . . . . . . . . . . . . . . . . . . . . 33<br />
4.2 <strong>Anwendbarkeit</strong> <strong>von</strong> <strong>IT</strong>-<strong>Grundschutz</strong> Maÿnahmen <strong>auf</strong> SMMaaS . . 35<br />
4.3 SMMaaS Architektur erweitern . . . . . . . . . . . . . . . . . . . 38<br />
4.4 Modul: Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40<br />
4.4.1 Anforderungen aus dem <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong>katalog . . . . 42<br />
4.4.2 Architekturdesign . . . . . . . . . . . . . . . . . . . . . . . 46<br />
4.4.3 Architekturreview . . . . . . . . . . . . . . . . . . . . . . . 51<br />
4.5 Modul: Customer PKI . . . . . . . . . . . . . . . . . . . . . . . . 52<br />
4.5.1 Anforderungen aus dem <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong>katalog . . . . 53<br />
4.5.2 Architekturdesign . . . . . . . . . . . . . . . . . . . . . . . 58<br />
4.5.3 Architekturreview . . . . . . . . . . . . . . . . . . . . . . . 62<br />
4.6 SMMaaS Architekturreview . . . . . . . . . . . . . . . . . . . . . 63<br />
5 Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65<br />
5.1 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . . . . . 65<br />
5.2 Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65<br />
Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67<br />
A Anhang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73<br />
A.1 <strong>BSI</strong> Korrespodenz . . . . . . . . . . . . . . . . . . . . . . . . . . . 73<br />
A.1.1 E-Mail an das <strong>BSI</strong> . . . . . . . . . . . . . . . . . . . . . . 73<br />
A.1.2 Interessensbekundung vom <strong>BSI</strong> . . . . . . . . . . . . . . . 75<br />
A.2 <strong>IT</strong>-<strong>Grundschutz</strong> Kreuzreferenztabellen . . . . . . . . . . . . . . . 77<br />
A.2.1 M 1 Infrastruktur . . . . . . . . . . . . . . . . . . . . . . . 77<br />
A.2.2 M 2 Organisation . . . . . . . . . . . . . . . . . . . . . . . 78<br />
A.2.3 M 3 Personal . . . . . . . . . . . . . . . . . . . . . . . . . 79<br />
A.2.4 M 4 Hard- und Software . . . . . . . . . . . . . . . . . . . 80<br />
A.2.5 M 5 Kommunikation . . . . . . . . . . . . . . . . . . . . . 81<br />
A.2.6 M 6 Notfallvorsorge . . . . . . . . . . . . . . . . . . . . . . 82
IV<br />
Abbildungsverzeichnis<br />
Abbildungsverzeichnis<br />
Abbildung 2.1 Aufbau einer PKI . . . . . . . . . . . . . . . . . . . . . . 9<br />
Abbildung 2.2 Der Weg einer Log Nachricht . . . . . . . . . . . . . . . . 12<br />
Abbildung 4.1 <strong>Cloud</strong>DataSec-Schichtenarchitektur . . . . . . . . . . . . . 33<br />
Abbildung 4.2 ursprüngliche SMaaS-Architekturdiagramm . . . . . . . . 34<br />
Abbildung 4.3 Übersichtlicheres SMMaaS-Architekturdiagramm . . . . . 38<br />
Abbildung 4.4 Aktuelles SMMaaS-Architekturdiagramm . . . . . . . . . 39<br />
Abbildung 4.5 erweitertes SMMaaS-Architekturdiagramm . . . . . . . . 40<br />
Abbildung 4.6 Direkter Angri <strong>auf</strong> Server in der <strong>Cloud</strong> . . . . . . . . . . 41<br />
Abbildung 4.7 Angri <strong>auf</strong> Server in der <strong>Cloud</strong> mit zentralem Log-Server 42<br />
Abbildung 4.8 Architekturdiagramm für das Logging-Modul . . . . . . . 47<br />
Abbildung 4.9 Angri <strong>auf</strong> Server in der <strong>Cloud</strong> mit zentralem Log-Server<br />
und PKI, Kommunikationverschlüsselung . . . . . . . . . 52<br />
Abbildung 4.10 Architekturdiagramm für das PKI-Modul . . . . . . . . . 59
Tabellenverzeichnis<br />
V<br />
Tabellenverzeichnis<br />
Tabelle 2.1 Unterscheidungen zwischen den Truststufen . . . . . . . . 13
VI<br />
Tabellenverzeichnis<br />
Abkürzungsverzeichnis<br />
AES Advanced Encryption Standard<br />
API Application Programming Interface<br />
ASP Application Service Provider<br />
<strong>BSI</strong> Bundesamt für Sicherheit in der Informationstechnik<br />
CA Certication Authority<br />
CEP Complex Event Processing<br />
CERT Computer Emergency Response Team<br />
<strong>Cloud</strong>IA <strong>Cloud</strong> Infrastructure & Applications<br />
CRL Certication Revocation List<br />
CSP <strong>Cloud</strong>-Service-Provider<br />
CSR Certicate Signing Request<br />
EV Extended-Validation<br />
DES Data Encryption Standard<br />
DFS Distributed File System<br />
IaaS Infrastructure as a Service<br />
<strong>IT</strong>U International Telecommunication Union<br />
KMU kleine und mittlere Unternehmen<br />
NIST National Institute of <strong>Standards</strong> and Technology<br />
NTP Network Time Protocol<br />
OCSP Online Certicate Status Protocol<br />
PaaS Platform as a Service<br />
PDA Personal Digital Assistant<br />
PKI Public Key Infrastructure<br />
PRNG Pseudo Random Number Generator<br />
RA Registration Authority
Tabellenverzeichnis<br />
VII<br />
SaaS Software as a Service<br />
SAN Storage Area Network<br />
SHA Secure Hash Alghorithm<br />
SLA Service Level Agreement<br />
SMMaaS Security Managment und Monitoring as a Service<br />
TRNG True Random Number Generator<br />
VA Validation Authority<br />
VM Virtual Machine<br />
WORM Write-once-read-many
1 Einführung 1<br />
1. Einführung<br />
1.1. Zielsetzung<br />
In dieser Thesis soll dargestellt werden, wie der <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> mit <strong>Cloud</strong><br />
Computing vereinbar ist. Dazu werden vorhandene Gefahren aus dem <strong>IT</strong>-<br />
<strong>Grundschutz</strong>katalog analysiert, wieweit sie <strong>auf</strong> <strong>Cloud</strong> Computing zutreen. Ebenso<br />
wird analysiert in wieweit die Beschreibung der Gefahren <strong>auf</strong> <strong>Cloud</strong> Computing<br />
übereinstimmen. Neben der Analyse der vorhanderen Gefahren werden auch neue<br />
Gefahren beschrieben für die der <strong>IT</strong>-<strong>Grundschutz</strong>katalog bisher keine Gefahren<br />
vorsieht. Für die analysierten Gefahren wird jeweils beschrieben, wie sich die Situation<br />
bei Housing und <strong>IT</strong>-Outsourcing darstellt. Dem Gegenübergestellt wird<br />
die Situation bei <strong>Cloud</strong> Computing. Im weiteren Verl<strong>auf</strong> der Thesis werden<br />
die SMMaaS-Architektur vorgestellt und notwendige Korrekturen beschrieben.<br />
Des Weiteren werden für mehrere Module aus der SMMaaS-Architektur die<br />
Anforderungen, welche sich aus dem <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> ergeben, erläutert.<br />
Darüber hinaus wird die Architektur der einzelnen Module detailiert designt und<br />
beschrieben, sodass die Anforderungen, wenn möglich erfüllt werden. Jede Modularchitektur<br />
und die SMMaaS-Architektur wird abschlieÿend einem Review unterzogen,<br />
welche <strong>auf</strong>zeigen sollen, ob die Anforderungen erfüllt sind und welche<br />
Anforderungen nicht durch die Architekturen gelöst werden können.<br />
1.2. Einordnung in bestehende Architekturen<br />
Die Arbeit konkretisiert und deniert einige Module der SMMaaS-Architektur des<br />
<strong>Cloud</strong> Research Lab, einem Forschungsinstitute an der Fakultät Informatik der<br />
Hochschule Furtwangen. Die Module werden entsprechend den Anforderungen aus<br />
dem <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> sowie den Aufgaben <strong>von</strong> SMMaaS designt. Desweiteren<br />
werden Anpassungen an der SMMaaS-Architektur selbst vorgestellt. SMMaaS<br />
ist ein Teil des Sicherheitsmanagements für die <strong>Cloud</strong> Umgebung <strong>Cloud</strong> Infrastructure<br />
& Applications (<strong>Cloud</strong>IA). <strong>Cloud</strong>IA ist die <strong>Cloud</strong> Umgebung welche<br />
am <strong>Cloud</strong> Research Lab entwickelt wird. Sie soll speziell für die Bereiche e-<br />
Learning, Forschung und für kleine und mittlere Unternehmen (KMU) konzipiert<br />
werden. Neben diesen Architekturen verwendet die Thesis weite Teile des<br />
<strong>IT</strong>-<strong>Grundschutz</strong>katalogs. Inbesondere die Gefahren und Maÿnahmen werden verwendet<br />
und <strong>auf</strong> die <strong>Anwendbarkeit</strong> <strong>auf</strong> <strong>Cloud</strong> Computing untersucht. Fehlende<br />
Gefahren werden neu beschrieben. Die Anforderungen, welche sich durch die<br />
Gefahren und Maÿnahmen ergeben, werden dann zum Designen einzelner Module<br />
der SMMaaS-Architektur verwendet.
2 1 Einführung<br />
1.3. verwandte Arbeiten<br />
Es gibt zum jetzigen Zeitpunkt keine wissenschaftlichen Arbeiten welche die <strong>Anwendbarkeit</strong><br />
<strong>von</strong> <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> <strong>auf</strong> <strong>Cloud</strong> Computing thematisieren. Die<br />
einzigen Dokumenten [1], [2] welche diesen Zusammenhang beschreiben sind vom<br />
Bundesamt für Sicherheit in der Informationstechnik (<strong>BSI</strong>) selbst. Die meisten<br />
wissenschaftlichen Arbeiten welche sich mit Compliance und <strong>Cloud</strong> Computing<br />
beschäftigen, verwenden Regelungen wie PCI-DSS, HIPAA, SOX oder ISO27001,<br />
hier ist z.B. das Paper <strong>von</strong> Beckers und Jürjens [3] zu nennen. Arbeiten, welche<br />
sich allgemein Sicherheit in <strong>Cloud</strong> Computing befassen, sind zahlreich. Hierbei<br />
ist insbesondere das Buch <strong>von</strong> Mather, Kumaraswamy und Latif [4] zu nennen.<br />
Neben diesem ist auch der Guide der <strong>Cloud</strong> Security Alliance [5] und die Studie<br />
vom Frauenhofer S<strong>IT</strong> zu <strong>Cloud</strong>-Computing-Sicherheit [6] hilfreich. Gerade für den<br />
europäischen Bereich ist noch die Veröentlichung <strong>von</strong> der European Network and<br />
Information Security Agency (ENISA) zu <strong>Cloud</strong> Computing Risiko Abschätzung<br />
[7] wichtig. Einige dieser Arbeiten wie [3] und [8] stellen dabei eine eigene Architektur<br />
zur Sicherheit in <strong>Cloud</strong> Computing vor. Die Arbeit <strong>von</strong> Thomas zu<br />
Datenverschlüsselung in der <strong>Cloud</strong> [9] hat eine Reihe <strong>von</strong> Ideen, welche bei der<br />
Planung der Module behilich sind. Neben diesen wissenschaftlichen Arbeiten<br />
und Veröfentlichungen gibt es noch einige Projekte welche sich mit der Standardisierung<br />
in <strong>Cloud</strong> Computing beschäftigen. Da die Standardisierung eine wichtige<br />
Vorrausetzung für eine einheitliche und ein Provider übergreifendes Sicherheitmangement<br />
ist, sollen diese Arbeit nicht vergessen werden. Einige dieser Projekte<br />
sind Open<strong>Cloud</strong> und OpenCirrus.
2 Grundlagen 3<br />
2. Grundlagen<br />
In diesem Kapitel werden die Grundlagen <strong>von</strong> <strong>Cloud</strong> Computing, Kryptograe,<br />
Public Key Infrastructure (PKI) und Logging vorgestellt. Desweiteren werden<br />
das Truststufenmodell des <strong>Cloud</strong>DataSec-Projektes erklärt und eine kurze Einführung<br />
in das <strong>BSI</strong> und die <strong>BSI</strong> <strong>Grundschutz</strong>standards gegeben. Bei <strong>Cloud</strong> Computing<br />
werden die Charakteristiken, die Servicemodelle und Geschäftsmodelle<br />
erklärt. Der Abschnitt Kryptograe gibt einen Überblick über die grundlegenden<br />
Verfahren der Kryptograe. Im Kapitel PKI wird die Struktur einer PKI sowie<br />
alle wichtigen Komponenten erklärt.<br />
2.1. <strong>Cloud</strong> Computing<br />
Für <strong>Cloud</strong> Computing gibt es bisher noch keine allgemein akzeptierte Denition.<br />
Die Denition <strong>von</strong> dem National Institute of <strong>Standards</strong> and Technology (NIST)<br />
deniert <strong>Cloud</strong> Computing sehr treend:<br />
<strong>Cloud</strong> computing is a model for enabling convenient, on-demand<br />
network access to a shared pool of congurable computing resources<br />
(e.g., networks, servers, storage, applications, and services) that can<br />
be rapidly provisioned and released with minimal management eort<br />
or service provider interaction. This cloud model promotes availability<br />
and is composed of ve essential characteristics, three service models,<br />
and four deployment models. Quelle: NIST [10]<br />
Wie die Denition vom NIST aussagt, kann <strong>Cloud</strong> Computing mit fünf grundlegenden<br />
Charakteristiken beschrieben werden. Weiterhin lassen sich drei Servicemodelle<br />
und vier verschiedene Geschäftsmodell unterscheiden.<br />
Die fünf Charakteristiken sind sinngemäÿ laut NIST [10] die folgenden:<br />
On-demand self-service<br />
Der Kunde kann ohne Eingreifen durch den <strong>Cloud</strong>-Service-Provider (CSP)<br />
selbstständig und nach Bedarf neue Ressourcen, wie mehr Rechenleistung<br />
oder neue Serverinstanzen, allokieren.<br />
Broad network access<br />
Kapazitäten sind über ein Network verfügbar und durch <strong>Standards</strong> nutzbar.<br />
Heterogene Geräte wie Handy, Laptops, Personal Digital Assistant (PDA)s<br />
können deshalb die Kapazitäten verwenden.<br />
Resource pooling<br />
Der CSP bietet Kapazitäten gemeinsam meheren Kunden an. Diese Kapazitäten<br />
werden durch die Mandantenfähigkeit dynamisch einem Kunden
4 2 Grundlagen<br />
zugeordnet oder wieder freigegeben. Ebenso beinhaltet dies eine Lokationstransparenz:<br />
Der Kunde hat keine Kenntniss über den Standort der Kapazität.<br />
Auf einem höheren Abstraktionsniveau, wie dem <strong>Cloud</strong>managment,<br />
kann der Kunde einen Ort denieren an welchem die Kapazitäten zur Verfügung<br />
gestellt werden müssen, so z.B. Bundesland, Staat oder Rechenzentrum.<br />
Rapid elasticity<br />
Kapazitäten können schnell und dynamisch bereitgestellt werden, in<br />
manchen Fällen automatisiert. Dadurch können die Kapazitäten schnell<br />
gesteigert und ebenso reduziert werden. Für den Kunden hat es oft den<br />
Anschein dads die bereitgestellten Kapazitäten bis ins unendliche gesteigert<br />
werden können. Ebenso macht es den Anschein als ob diese Kapazitäten in<br />
beliebiger Menge und zu jedem Zeitpunkt gek<strong>auf</strong>t werden können.<br />
Measured Service<br />
<strong>Cloud</strong> Systeme kontrollieren und optimieren automatisch die Auslastung<br />
der Kapazitäten. Dies bezieht sich <strong>auf</strong> die einzelnen Kapazitätsarten wie<br />
z.B. Storage, Rechenleistung, Bandbreite und aktiven Benutzeraccount <strong>auf</strong><br />
den Systemen. Die Ressourcennutzung kann überwacht, kontrolliert und<br />
gemeldet werden; dies passiert transparent für den Kunden und den CSP.<br />
Die Servicemodelle welche bei <strong>Cloud</strong> Computing allgemein bekannt sind, sind<br />
Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as<br />
a Service (SaaS). Diese können folgendermaÿen beschrieben werden:<br />
IaaS<br />
Bei IaaS wird <strong>IT</strong>-Infrastruktur wie z.B. Server, Storage, Netzwerkbandbreite<br />
als Service angeboten. Die Server sind allerdings alles Virtual Machines<br />
(VMs). Der Kunde hat vollen Zugang zu den virtuellen Servern, er ist daher<br />
für die Installation, Wartung und Administration des Servers und aller<br />
Dienste selbst verantwortlich. Für die virtuellen Server gibt es meist vorgefertige<br />
VM-Images, welche der Kunde beliebige anpassen kann.<br />
PaaS<br />
Bei PaaS stellt der CSP eine Umgebung bereit in welcher der Kunde eigene<br />
Anwendungen deployen kann. Der Kunde muss die Anwendungen gegen das<br />
Application Programming Interface (API) des CSP programmieren. Er ist<br />
hierbei nur für die Wartung und Administration seiner eigenen Anwendung<br />
zuständig. Die darunter liegende Infrastruktur und die Applikationsserver<br />
administriert und wartet der CSP.
2 Grundlagen 5<br />
SaaS<br />
Bei SaaS nutzt der Kunde eine komplett durch den CSP installierte Umgebung,<br />
z.B. Webmail. Der Kunde ist bei SaaS nicht für die Administration<br />
zuständig; dies ist alleinig Aufgabe des CSP. SaaS-Anwendungen bieten oft<br />
Schnittstellen für verschiedene Client-Geräte an z.B. Smart-Phone, Thin-<br />
Client oder Fat-Client.<br />
Bei <strong>Cloud</strong> Computing sind die Geschäftsmodelle Public <strong>Cloud</strong>, Private<br />
<strong>Cloud</strong>, Community <strong>Cloud</strong> und Hybrid <strong>Cloud</strong> bekannt, welche folgendermaÿen<br />
beschrieben werden können [10]:<br />
Private <strong>Cloud</strong><br />
Bei Private <strong>Cloud</strong> wird die <strong>Cloud</strong> <strong>von</strong> einem Unternehmen selbst betrieben.<br />
Die interne <strong>IT</strong> wird dabei in einer <strong>Cloud</strong> organisiert. Dies ist das Modell<br />
mit den wenigsten Problemen, insbesondere aus Sicht des Datenschutzes.<br />
Community <strong>Cloud</strong><br />
Eine Community <strong>Cloud</strong> ist eine spezielle <strong>Cloud</strong> welche sich mehrere Unternehmen<br />
teilen. Alle diese Unternehmen haben die selben Anforderungen<br />
und arbeiten oft schon miteinander. Eine solche <strong>Cloud</strong> entspricht der Auslagerung<br />
der <strong>IT</strong> eines Konzerns in ein selbstständiges Unternehmen.<br />
Public <strong>Cloud</strong><br />
Eine Public <strong>Cloud</strong> wird <strong>von</strong> einem CSP betrieben, welcher seine Dienstleisten<br />
jeder Person und jedem Unternehmen anbietet. Dies ist eine Modell mit<br />
vielen Problemen, insbesondere mit dem Datenschutz, da viele CSP keine<br />
Internas bekannt geben und auch nicht immer der Standort der Rechenzentren<br />
bekannt ist.<br />
Hybrid <strong>Cloud</strong><br />
Bei einer hybrid <strong>Cloud</strong> werden mehrere Geschäftsmodelle miteinander verbunden.<br />
So kann ein Unternehmen eine eigene <strong>Cloud</strong> besitzen und bei Bedarf<br />
Kapazität aus einer Public <strong>Cloud</strong> hinzunehmen.<br />
2.2. Kryptographie<br />
Kryptograe ist die Wissenschaft des Verschlüsselung <strong>von</strong> Informationen. Die<br />
Kryptograe verfolgt nach [11] vier Ziele, die nachfolgend deniert sind:<br />
Vertraulichkeit Nur dazu berechtigte Personen sollen in der Lage<br />
sein, die Daten oder die Nachricht zu lesen oder Informationen<br />
über ihren Inhalt zu erlangen.
6 2 Grundlagen<br />
Integrität Die Daten müssen vollständig und unveränderbar sein.<br />
Authentizität Der Urheber der Daten oder der Absender der<br />
Nachricht soll eindeutig identizierbar sein, und seine Urheberschaft<br />
sollte nachprüfbar sein.<br />
Nichtabstreitbarkeit Der Urheber der Daten oder Absender einer<br />
Nachricht soll nicht in der Lage sein, seine Urheberschaft zu<br />
bestreiten, d. h. sie sollte sich gegenüber Dritten nachweisen<br />
lassen.<br />
Die Kryptograe kann dabei grundlegend in zwei Verfahren geteilt werden: symmetrische<br />
Kryptograe und asymmetrische Kryptograe. Diese beiden Verfahren<br />
werden in den nächsten Kapiteln kurz beschrieben.<br />
2.2.1. Symmetrische Kryptograe<br />
Bei symmetrischen Verfahren in der Kryptograe wird nur ein Schlüssel zum Verschlüsseln<br />
und Entschlüsseln verwendet. Der Vorteil dieser Verfahren liegt in ihrer<br />
Geschwindigkeit, weshalb sie meist genutzt werden um groÿe Datenmengen zu<br />
Verschlüsseln. Das groÿe Problem bei diesen Verfahren ist allerdings der Schlüsselaustausch.<br />
Jeder der den Schlüssel kennt kann die Daten entschlüsseln, es herrscht<br />
das Problem des Schlüsselaustauschs. Da ein Angreifer den Schlüssel in Erfahrung<br />
gebracht haben kann ist die Authentizität nicht sicher festzustellen. Typische Algorithmen<br />
dieses Verfahrens sind Advanced Encryption Standard (AES), Data<br />
Encryption Standard (DES) und Triple-DES.<br />
2.2.2. Asymmetrische Kryptograe<br />
Asymmetrische Verfahren sind dadruch charakterisiert, dass es nicht nur einen<br />
Schlüssel gibt sondern immer ein Schlüsselpaar. Diese Schlüssepaare bestehen immer<br />
aus einem privaten Schlüssel und einem öentlichen Schlüssel. Beide Schlüssel<br />
sind zwar mathematisch <strong>von</strong>einander abhängig, ein errechnen des privaten Schlüssels<br />
aus dem öentlichen und umgekehrt ist aber praktisch ausgeschlossen. Die<br />
Sicherheit der Schlüssel beruht bei gängigen Algorithmen <strong>auf</strong> den mathematisch<br />
Problemen der Faktorisierung <strong>von</strong> Primzahlen und des diskreten Logarithmus.<br />
Die beiden Probleme lassen sich nur mit erheblichen Aufwand berechnen. Die<br />
Umkehrfunktionen Multiplikation und Exponentialfunktion lassen sich dagegen<br />
mit geringem Aufwand berechnen. Der gröÿte Vorteil dieses Verfahrens ist das<br />
der Schlüsselaustausch problemlos möglich ist, es ist sogar gewollt den öentlichen<br />
Schlüssel zu verbreiten. Daten können mit dem Verfahren einfach mittels des öffentlichen<br />
Schlüssels verschlüsselt werden und der Empfanger, Besitzer des privaten<br />
Schlüssels, kann diese mit seinem Schlüssel wieder entschlüsseln. Ein Nachteil
2 Grundlagen 7<br />
bei diesem Verfahren ist dass es im Gegensatz zu den symmetrische Verfahren<br />
sehr viel langsamer ist. Durch die asymmetrischen Verfahren hat sich eine neue<br />
Möglichkeit in der Kryptograe <strong>auf</strong>getan; das digitale Signieren <strong>von</strong> Daten.<br />
Im folgenden Kapitel wird das Hash Verfahren vorgestellt, es ist ein wichtiges<br />
Instrument um die Integrität <strong>von</strong> Daten zu sichern.<br />
2.2.3. Hash Verfahren<br />
Hash Verfahren werden auch oft als Einwegfunktionen bezeichnet. Dies beruht<br />
dar<strong>auf</strong> dass Hash Funktionen nicht umkehrbar sind. Hash Funktionen bilden eine<br />
beliebig lange Zeichenfolge <strong>auf</strong> eine Zeichenfolge fester Länge ab. Diese Zeichenfolge<br />
fester Länge wird dann als Hashwert bezeichnet. Eine Anforderung an eine<br />
Hash Funktion ist dass sich der Hashwert stark ändert wenn auch nur ein Zeichen<br />
der ursprüngen Zeichenfolge geändert wird. Ebenso soll es nicht passieren dass<br />
zwei beliebige Zeichenfolgen den selben Hashwert haben. Das Vorkommen wird<br />
als Kollision bezeichnet und schwächt die Hash Funktion. Durch Hash Funktionen<br />
lässt sich die Integrität <strong>von</strong> Daten feststellen. Wenn der Hashwert nach der<br />
Übertragung der Daten ein anderer ist, ist eindeutig sichergestellt dass die Daten<br />
während der Übertragung verändert wurden. Das Hash-Verfahren ist ein wichtiger<br />
Teil für digitale Signaturen welche im folgenden Abschnitt erklärt werden.<br />
2.2.4. Digitale Signatur<br />
Digitale Signatur dient dazu die Integrität, Authentizität und Nichtabstreitbarkeit<br />
<strong>von</strong> Nachrichten sicher zustellen. Eine digitale Signatur dient nicht<br />
zur Vertraulichkeit einer Nachricht. Das Gegenteil ist eher der Fall, da die<br />
eigentliche Nachricht im Klartext übermittelt wird. Gesetze die sich mit Signaturen<br />
beschäftigen sind in Deutschland insbesondere das Signaturgesetz [12]. In<br />
diesem wird allerdings der Begri elektronische Signatur verwendet. Diese elektronischen<br />
Signaturen sind nicht gleichzusetzen mit digitalen Signaturen, obwohl<br />
eine elektronische Signatur <strong>auf</strong> einer digitalen Signatur basieren kann. Der Begri<br />
elektronische Signatur ist eine juristischer Begri. Digitale Signatur allerdings ist<br />
ein Begri aus der Mathematik. Im Signaturgesetz ist der Einsatz <strong>von</strong> elektronischen<br />
Signaturen geregelt z.B. Sicherheitsanforderungen an Anbieter, Abgrenzungen<br />
zwischen Stufen elektronischer Signaturen und die Einsatzmöglichkeiten <strong>von</strong><br />
elektronischen Signaturen.<br />
Für eine digitale Signatur wird ein Schlüsselpaar, eine Hash Funktion und die<br />
Nachricht selbst benötigt. Diese Signatur wird berechnet indem zuerst ein Hashwert<br />
der Nachricht berechnet wird. Dieser Hashwert wird mit dem privaten Schlüssel<br />
verschlüsselt. Der verschlüsselte Hashwert wird dann an die Nachricht ange-
8 2 Grundlagen<br />
fügt. Der Empfänger kann diesen verschlüsselten Hashwert mit dem öentlichen<br />
Schlüssel entschlüsseln und mit dem selbst erstellten Hashwert der Nachricht<br />
vergleichen. Wenn beide Werte identisch sind, ist die Integrität der Nachricht<br />
sichergestellt und durch die Verwendung des öentlichen Schlüssels des Absenders<br />
auch die Authentizität und Nichtabstreitbarkeit.<br />
Neben den ersten beiden Verfahren, symmetrisch und asymmetrisch, gibt es noch<br />
hybride Verfahren, welche beide Verfahren kombinieren. Diese hybriden Verfahren<br />
werden im folgenden Kapitel beschrieben.<br />
2.2.5. Hybride Verfahren<br />
Durch hybride Verfahren lassen sich die Vorteile der symmetrischen und asymmetrischen<br />
Verfahren nutzen. Dazu wird der symmetrische Schlüssel mittels des<br />
asymmetrische öentlichen Schlüssels verschlüsselt und an den Empfänger übertragen.<br />
Dieser kann mit seinem privaten Schlüssel den symmetrischen Schlüssel<br />
wieder entschlüsseln. Auf diese Weise kann der symmetrische Schlüssel sicher<br />
übertragen werden und nur der richtige Empfänger kann ihn nutzen. Nach dem<br />
Transport des symmetrischen Schlüssels, mittels asymmetrischen Verfahren, wird<br />
die weitere Kommunikation mit symmetrischen Verfahren durchgeführt. So kann<br />
die Geschwindigkeit der symmetrischen Verfahren mit dem sicheren Schlüsselaustausch<br />
der asymmetrischen Verfahren kombiniert werden.<br />
Im Folgenden Kapitel 2.3 wird <strong>auf</strong>bauend <strong>auf</strong> asymmetrische Verfahren die Struktur<br />
und Funktionweise einer PKI erklärt.<br />
2.3. Public Key Infrastruktur<br />
Eine Public Key Infrastructure (PKI) ist ein System welches digitale Zertikate<br />
ausstellt, verteilt und verwaltet. Mittels digitaler Zertikate kann die Kommunikation<br />
über Netzwerk sowie Daten abgesichert werden. Eine PKI mit ihren digitalen<br />
Zertikaten erfüllt alle Zielw der Kryptograe Vertraulichkeit, Integrität, Authentizität<br />
und Nichtabstreitbarkeit. Sie besteht aus mehreren Komponenten z.B. digitale<br />
Zertikate, Certication Authority (CA), Registration Authority (RA) und<br />
Certication Revocation List (CRL). Abbildung 2.1 zeigt den Aufbau einer PKI<br />
mit den Beziehungen zwischen den Komponenten. Die Komponente digitales<br />
Zertikat wird in dem folgenden Kapitel genauer erklärt.<br />
2.3.1. digitale Zertikate<br />
Ein digitales Zertikat sind strukturierte Daten. Es enthält eine Reihe <strong>von</strong> Informationen:<br />
1 http://de.wikipedia.org/wiki/Datei:Public-Key-Infrastructure.svg
2 Grundlagen 9<br />
Abbildung 2.1: Aufbau einer PKI Quelle: Wikipedia 1<br />
ˆ Den Namen oder die Bezeichnung des Ausstellers<br />
ˆ Den Namen oder die Bezeichnung des Eigentümers<br />
ˆ Informationen zum Gültigkeitszeitraum, Beginn und Ende der Gültigkeit<br />
ˆ Den öentlichen Schlüssel des Eigentümers<br />
ˆ Den Verwendungzweck des Zertikats<br />
ˆ Die digitale Signatur des Ausstellers<br />
ˆ Die Seriennummer des Zertikates<br />
ˆ Version des Zertikates, normalerweise Version drei<br />
ˆ Der verwendete Alghorithmus für die Austeller Signatur (meist SHA-1 mit<br />
RSA)<br />
Neben diesen Informationen können noch eine Reihe weiterer Informationen in<br />
die digitalen Zertikate <strong>auf</strong>genommen werden, so z.B. E-Mail Adresse des Eigentümers,<br />
URL der Sperrliste, URL zu der Validation Authority und ein Verweis<br />
<strong>auf</strong> die Zertizierungsrichtlinien des Zertizierungsdiensteanbieters.<br />
Die Struktur in der Zertikate erstellt sind, ist durch die International Telecommunication<br />
Union (<strong>IT</strong>U) unter der Bezeichnung X.509 festgelegt worden . Die
10 2 Grundlagen<br />
aktuelle Version dieses <strong>Standards</strong> ist Version drei, X.509v3. Im Allgemeinen wird,<br />
wenn <strong>von</strong> X.509 oder digitalen Zertikaten gesprochen wird, immer die aktuelle<br />
Version X.509v3 gemeint. Da mit dem Standard nicht alle benötigten Attribute<br />
eingeführt wurden, gibt es mittlerweile ein Reihe <strong>von</strong> Erweiterungen, die ihre<br />
Information in den Erweiterungsabschnitt des Zertikats schreiben.<br />
Mittels der digitalen Zertikate können alle Ziele der Kryptograe erfüllt werden.<br />
Aus diesem Grund werden sie in vielen Bereichen eingesetzt z.B. der Authentizierung<br />
<strong>von</strong> Personen, dem Signieren einer Nachricht aber auch für den Aufbau<br />
<strong>von</strong> verschlüsselter Kommunikation.<br />
Im nächsten Kapitel werden die Aufgaben einer Certication Authority<br />
beschrieben.<br />
2.3.2. Certication Authority<br />
Die Certication Authority (CA) entspricht im Allgemeinen einer Organisation,<br />
welche für das Ausstellen <strong>von</strong> Zertikaten zuständig ist. Bei der Verwendung <strong>von</strong><br />
digitalen Zertikaten ist sie für das Ausstellen der digitalen Zertikate und der<br />
Erstellung <strong>von</strong> Sperrlisten zuständig. Aus Softwaresicht wird oft auch die Softwarekomponente<br />
welche für das Ausstellen der digitalen Zertikate und Sperrlisten<br />
zuständig ist, als CA bezeichnet. Zertikatsanträge werden nie direkt an<br />
eine CA gesendet, sonder immer an einer RA. Ebenso verschickt eine CA niemals<br />
ausgestellte digitale Zertikate an einen Antragsteller sondern immer an die RA.<br />
Dies hat den Grund das die Überprüfung der Identität des Antragsstellers nicht<br />
Aufgabe der CA ist sondern der RA. Allerdings darf eine CA erst die digitalen<br />
Zertikate signieren nachdem die Identität eindeutig geklärt ist. Damit Zerti-<br />
kate welche z.B. kompromitiert sind gesperrt werden können generiert die CA<br />
Sperrlisten, auch Rückruisten genannt. Details zu Sperrlisten folgen in Kapitel<br />
2.3.4.<br />
Um eine akkredierte CA betreiben zu können bedarf es einer Reihe <strong>von</strong> Vorraussetzungen<br />
welche technischer, baulicher und organistorischer Natur sind. Die<br />
Vorraussetzung sind in Deutschland in dem deutschen Signaturgesetz geregelt<br />
[12].<br />
Im folgende Kapitel wird die Aufgabe der Registration Authority beschrieben.<br />
2.3.3. Registration Authority<br />
Eine Registration Authority (RA) stellt die Schnittstelle zwischen den Kunden<br />
und der CA dar. Sie sorgt für die Prüfung der Identität des Antragsstellers bei<br />
personenbezogenen Zertikaten. Bei Zertikaten für <strong>IT</strong>-Systeme wie z.B. ein Webserver,<br />
muss die RA überprüfen ob der Antragssteller berechtigt ist für diese Do-
2 Grundlagen 11<br />
main Zertikate zu beantragen. Bei diesen systembezogenen Zertikaten sind die<br />
Prüfungen oft nicht so streng wie bei personenbezogenen Zertikaten. Ausnahmen<br />
hier sind sogenante Extended-Validation (EV)-Zertikate. Die RA sendet<br />
nach der Prüfung der Berechtigung bzw. Identität die Zertikatsanträge an die<br />
CA zum Ausstellen der digitale Zertikate. Nach dem Austellen bekommt die RA<br />
die digitalen Zertikate und überprüft nochmal ob der Inhalt des Zertikats mit<br />
den Daten des Antragsstellers übereinstimmen. Erst nach dieser Prüfung werden<br />
sie dem Antragssteller übergeben. Im nächsten Kapitel werden die Sperrlisten<br />
und die Validation Authority erklärt.<br />
2.3.4. Sperrlisten & Validation Authority<br />
Eine Sperrliste, im englischen Certication Revocation List (CRL) ist eine Liste<br />
in der gesperrte Zertikate geführt werden. Die Liste beinhaltet die Gründe der<br />
Sperrungen sowie die Seriennummer der Zertikate. Die CRLs unterscheiden zwei<br />
Formen des Sperrens: Das Sperren selbst und das Widerrufen. Zertikate werden<br />
gesperrt wenn der dazugehörige private Schlüssel verloren bzw. eventuell kompromitiert<br />
wurde. Allerdings ist eine Sperrung temporär. Wenn der Inhalt des<br />
Zertikats nicht mit dem Antragssteller übereinstimmt oder der private Schlüssel<br />
sicher kompromitiert wurde sowie die Gültigkeit eines Zertikats abgel<strong>auf</strong>en ist<br />
werden sie widerrrufen. Ein Widderuf ist endgültig. CRLs werden wie digitale<br />
Zertikate durch die CA signiert. Die CRL muss veröentlicht werden damit jeder<br />
die Gültigkeit eines Zertikats überprüfen kann. Dies passiert meistens indem<br />
die CRL Datei über eine Validation Authority (VA) abrufbar ist. Ein Problem<br />
mit dieser Art der Veröentlichung ist dass die Clients nur alle paar Tage bzw.<br />
Wochen die CRL <strong>von</strong> der VA anfordern. Deshalb kann es sehr lange dauern, bis<br />
die Sperrung an alle Clients verteilt ist. Eine schnellere Lösung ist die Nutzung<br />
des Online Certicate Status Protocol (OCSP). Bei diesem Protokoll fordert der<br />
Client keine CRL an, sondern fragt jeweils vor der Nutzung eines digitale Zerti-<br />
kats den OCSP Service an. Dieser bestätigt die Gültigkeit <strong>von</strong> dem angefragten<br />
digitalen Zertikat bzw. verweigert sie.<br />
Es zeigt sich dass der Einsatz einer PKI unerlässilich für den sicheren Umgang mit<br />
digitalen Zertikaten ist. Nur durch dieses zentrale Instrument kann die Gültigkeit<br />
<strong>von</strong> Zertikaten sichergestellt werden.<br />
Im folgenden Kapitel wird das Thema Logging näher erkärt.<br />
2.4. Logging<br />
Bei dem Logging bzw. Protokollieren werden Ereignisse in Logdateien<br />
geschrieben. Die Ereignisse können durch Betriebssysteme, Netzwerkkomponen-
12 2 Grundlagen<br />
ten, Anwendungssoftware usw. erzeugt werden. Das Logging geschieht meist ohne<br />
dass ein Nutzer da<strong>von</strong> Kenntniss erhält bzw. das es seine Arbeit beinträchtig. Bei<br />
dem Logging z.B. unter Linux wird meistens ein Log-Daemon verwendet. Dieser<br />
kann die Ereignisse anhand der Quellen und <strong>von</strong> Filtern in unterschiedliche Logdateien<br />
schreiben, siehe dazu Abbildung 2.2<br />
Abbildung 2.2: Der Weg einer Log Nachricht Quelle: BalaBit <strong>IT</strong> Security 1<br />
Ebenso zeigt die Abbildung, das Logereignisse auch <strong>auf</strong> andere Server<br />
geschrieben werden können. Ein lokales Schreiben <strong>von</strong> Logdateien ist allerdings<br />
der am meisten anzutreende Fall. Damit der Log-Daemon die unterschiedlichen<br />
Logereignisse <strong>von</strong> allen Quellen überhaupt verarbeiten kann, wird<br />
jedes Logereigniss mit einer Facility sowie einem Prioritätslevel versehen.<br />
Neben diesen beiden Werten, welche nicht in Logdateien geschrieben werden,<br />
enthält jedes Logereignisse einen Zeitstempel und das Ereigniss selbst.<br />
Im nächsten Kapitel wird das Truststufenmodell des <strong>Cloud</strong> Research Labs<br />
vorgestellt.<br />
2.5. Truststufenmodell<br />
Das Truststufenmodell ist im Paper [8] vorgestellt. Es handelt sich dabei um<br />
ein dreistuges Modell. Jede Stufe umfasst eine Sammlung <strong>von</strong> Sicherheitmaÿnahmen.<br />
Der Kunde kann sich die für sein Angebot passende Sicherheitsstufe<br />
auswählen. Die Auswahl soll <strong>auf</strong> dem Ergebnis einer Risiko-Analyse beruhen.<br />
1 http://www.balabit.com/sites/default/files/documents/syslog-ng-v3.<br />
0-guide-admin-en.html/logging01.png
2 Grundlagen 13<br />
Durch die stärkeren Sicherheitmaÿnahmen in den höheren Stufen ergibt sich subjektiv<br />
auch ein höheres Vertauen in den Betrieb. Tabelle 2.1 zeigt eine Auistung<br />
der drei Stufen mit den jeweiligen Maÿnahmen.<br />
Basic Advanced Premium<br />
VM location Open Pool Domain specic Private host<br />
Identication E-Mail, Credit Card Letter Third party identication<br />
VM Firewall ̌ ̌ ̌<br />
Administration Firewall GUI Firewall GUI Firewall GUI<br />
Protocol Monitor ̌ ̌<br />
Application Level Firewall ̌ ̌<br />
Quarantine for compromised systems ̌ ̌<br />
Restart of service secure VM gets started (up to 3x) free selection<br />
Quarantine access ssh ssh, terminal<br />
Tabelle 2.1: Unterscheidungen zwischen den Truststufen Quelle: [8]<br />
In dem Paper [8] wird für die einzelnen Stufen ein Verwendungsbeispiel<br />
beschrieben:<br />
ˆ Basic level for the development of the company's website. No<br />
sensitive data are stored on the development web server. If the<br />
system gets compromised, it will only have some minor consequences.<br />
ˆ Advanced level for hosting the company's website. There are<br />
no restrictions of co-located VMs hosted on the same physical<br />
VM host, but only domain specic VMs should be allowed. This<br />
is because the risk analysis showed that the availability of the<br />
company's website has a direct impact in generating its revenue.<br />
In the event of a security incident, the compromised VM is moved<br />
into a quarantine environment, and a clean web server image gets<br />
deployed to provide a high availability. Bob gets informed about<br />
the security incident and he can access the compromised VM<br />
stored in the quarantine environment by ssh.<br />
ˆ Premium level for hosting an online store that contains customer<br />
data. The online shop backend contains sensible user data.<br />
The risk analysis showed that in an event of data leakage, it will<br />
damage the company's reputation. Permanent monitoring and<br />
domain specic communication proles detect a possible security<br />
incident. To prevent data leakage, the system is moved to a<br />
quarantine environment. Since it is likely that the problem leading<br />
to the security incident exists on the clean backup image<br />
as well, no backup VM is started to prevent the replay of the<br />
attack. The integrity of the service has a higher priority than its<br />
availability.
14 2 Grundlagen<br />
2.6. <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
Das <strong>BSI</strong> ist eine Bundesbehörde welche dem Bundesministerium des Inneren unterstellt<br />
ist. Das <strong>BSI</strong> wurde 1991 gegründet. Die Aufgaben der Behörde sind<br />
Informieren, Beraten, Entwickeln und Zertizieren. Die Angebote richten sich<br />
dabei nicht nur an Behörden, Länder und Kommunen sondern auch an die<br />
Wirtschaft und Privatanwender. Aufgrund dieser Aufgaben deniert das <strong>BSI</strong><br />
deutsche <strong>IT</strong>-Sicherheitsstandards und betreibt das Computer Emergency Response<br />
Team (CERT) des Bundes. Des Weiteren ist es für die Sicherheit der<br />
Infrastrukturen des Bundes zuständig. Seit 2009 ist das <strong>BSI</strong> zusätzlich für die<br />
Speicherung und Analyse <strong>von</strong> allen Kommunikationsprotokollen zwischen Verwaltungen<br />
und Bürgern sowie für die Reaktion <strong>auf</strong> Angrie zuständig.<br />
Die Behörde besteht aus vier Abteilungen, welche jeweils Fachbereiche und<br />
Referate enthält. Das Referat 114 ist für <strong>IT</strong>-Sicherheitsmanagment und den <strong>IT</strong>-<br />
<strong>Grundschutz</strong> zuständig. Dieses Referat ist damit zuständig für das Denieren des<br />
<strong>IT</strong>-<strong>Grundschutz</strong>katalogs sowie die <strong>BSI</strong>-<strong>Standards</strong> 100-1[13], 100-2[14], 100-3[15],<br />
100-4[16]. Nach [17] sind die <strong>Standards</strong> folgendermaÿen deniert:<br />
<strong>BSI</strong>-Standard 100-1: Managementsysteme für Informationssicherheit<br />
Der vorliegende <strong>BSI</strong>-Standard deniert allgemeine Anforderungen<br />
an ein ISMS. Er ist vollständig kompatibel<br />
zum ISO-Standard 27001 und berücksichtigt weiterhin die<br />
Empfehlungen der anderen ISO-<strong>Standards</strong> der ISO 2700x-<br />
Familie wie beispielsweise ISO 27002 (früher ISO 17799).<br />
Er bietet Lesern eine leicht verständliche und systematische<br />
Einführung und Anleitung, unabhängig da<strong>von</strong>, mit welcher<br />
Methode sie die Anforderungen umsetzen möchten. Das <strong>BSI</strong><br />
stellt den Inhalt dieser ISO-<strong>Standards</strong> in einem eigenen <strong>BSI</strong>-<br />
Standard dar, um einige Themen ausführlicher beschreiben zu<br />
können und so eine didaktischere Darstellung der Inhalte zu<br />
ermöglichen. Zudem wurde die Gliederung so gestaltet, dass<br />
sie zur <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise kompatibel ist. Durch<br />
die einheitlichen Überschriften in beiden Dokumenten ist eine<br />
Orientierung für die Leser sehr einfach möglich. <br />
<strong>BSI</strong>-Standard 100-2: <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise<br />
Die <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise beschreibt Schritt für<br />
Schritt, wie ein Managementsystem für Informationssicherheit<br />
in der Praxis <strong>auf</strong>gebaut und betrieben werden kann. Die Aufgaben<br />
des Sicherheitsmanagements und der Aufbau <strong>von</strong> Organisationsstrukturen<br />
für Informationssicherheit sind dabei wichtige
2 Grundlagen 15<br />
Themen. Die <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise geht sehr ausführlich<br />
dar<strong>auf</strong> ein, wie ein Sicherheitskonzept in der Praxis<br />
erstellt werden kann, wie angemessene Sicherheitsmaÿnahmen<br />
ausgewählt werden können und was bei der Umsetzung des<br />
Sicherheitskonzeptes zu beachten ist. Auch die Frage, wie die<br />
Informationssicherheit im l<strong>auf</strong>enden Betrieb <strong>auf</strong>recht erhalten<br />
und verbessert werden kann, wird beantwortet. <strong>IT</strong>-<strong>Grundschutz</strong><br />
interpretiert damit die sehr allgemein gehaltenen Anforderungen<br />
der ISO-<strong>Standards</strong> der 2700x-Reihe und hilft den Anwendern<br />
in der Praxis bei der Umsetzung mit vielen Hinweisen,<br />
Hintergrundinformationen und Beispielen. Im Zusammenspiel<br />
mit den <strong>IT</strong>-<strong>Grundschutz</strong>-Katalogen wird in der <strong>IT</strong>-<strong>Grundschutz</strong>-<br />
Vorgehensweise nicht nur erklärt, was gemacht werden sollte,<br />
sondern es werden auch konkrete Hinweise gegeben, wie eine<br />
Umsetzung (auch <strong>auf</strong> technischer Ebene) aussehen kann. Ein<br />
Vorgehen nach <strong>IT</strong>-<strong>Grundschutz</strong> ist somit eine erprobte und ef-<br />
ziente Möglichkeit, allen Anforderungen der oben genannten<br />
ISO-<strong>Standards</strong> nachzukommen.<br />
<strong>BSI</strong>-Standard 100-3: Risikoanalyse <strong>auf</strong> der Basis <strong>von</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
Die <strong>IT</strong>-<strong>Grundschutz</strong>-Kataloge des <strong>BSI</strong> enthalten Standard-<br />
Sicherheitsmaÿnahmen aus den Bereichen Organisation,<br />
Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen<br />
in der Regel angemessen und ausreichend<br />
zur Absicherung <strong>von</strong> typischen Geschäftsprozessen und Informationsverbünden<br />
sind. Viele Anwender, die bereits erfolgreich mit<br />
dem <strong>IT</strong>-<strong>Grundschutz</strong>-Ansatz arbeiten, stehen vor der Frage, wie<br />
sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen<br />
deutlich über das normale Maÿ hinausgehen. Wichtig ist<br />
dabei, dass die zugrundeliegende Methodik möglichst wenig<br />
zusätzlichen Aufwand mit sich bringt und möglichst viele<br />
Ergebnisse aus der <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise wiederverwendet.<br />
Vor diesem Hintergrund hat das <strong>BSI</strong> einen Standard<br />
zur Risikoanalyse <strong>auf</strong> der Basis <strong>von</strong> <strong>IT</strong>-<strong>Grundschutz</strong> erarbeitet.<br />
Diese Vorgehensweise bietet sich an, wenn Unternehmen<br />
oder Behörden bereits erfolgreich mit den <strong>IT</strong>-<strong>Grundschutz</strong>-<br />
Maÿnahmen arbeiten und möglichst nahtlos eine Risikoanalyse<br />
an die <strong>IT</strong>-<strong>Grundschutz</strong>-Analyse anschlieÿen möchten. Hierfür<br />
kann es verschiedene Gründe geben:<br />
ˆ Die Sicherheitsanforderungen des Unternehmens bzw. der
16 2 Grundlagen<br />
Behörde gehen teilweise deutlich über das normale Maÿ hinaus<br />
(hoher oder sehr hoher Schutzbedarf).<br />
ˆ Die Institution betreibt wichtige Anwendungen oder Komponenten,<br />
die (noch) nicht in den <strong>IT</strong>-<strong>Grundschutz</strong>-Katalogen<br />
des <strong>BSI</strong> behandelt werden.<br />
ˆ Die Zielobjekte werden in Einsatzszenarien (Umgebung, Anwendung)<br />
betrieben, die im Rahmen des <strong>IT</strong>-<strong>Grundschutz</strong>es<br />
nicht vorgesehen sind.<br />
Die Vorgehensweise richtet sich sowohl an Anwender der Informationstechnik<br />
(Sicherheitsverantwortliche und -be<strong>auf</strong>tragte)<br />
als auch an Berater und Experten. Häug ist es allerdings<br />
empfehlenswert, bei der Durchführung <strong>von</strong> Risikoanalysen <strong>auf</strong><br />
Expertensachverstand zurückzugreifen.<br />
<strong>BSI</strong>-Standard 100-4 Notfallmanagement<br />
Mit dem <strong>BSI</strong>-Standard 100-4 wird ein systematischer Weg<br />
<strong>auf</strong>gezeigt, ein Notfallmanagement in einer Behörde oder einem<br />
Unternehmen <strong>auf</strong>zubauen, um die Kontinuität des Geschäftsbetriebs<br />
sicherzustellen. Aufgaben eines Notfallmanagements sind<br />
daher, die Ausfallsicherheit zu erhöhen und die Institution <strong>auf</strong><br />
Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten<br />
Geschäftsprozesse bei Ausfall schnell wieder <strong>auf</strong>genommen<br />
werden können. Es gilt, Schäden durch Notfälle oder Krisen zu<br />
minimieren und die Existenz der Behörde oder des Unternehmens<br />
auch bei einem gröÿeren Schadensereignis zu sichern.<br />
Wie bereits in den Standarddenitionen zu lesen ist, hat das <strong>BSI</strong> eine eigene<br />
<strong>IT</strong>-<strong>Grundschutz</strong>zertizierung etabliert, welche mit der ISO2700x-Standardfamilie<br />
kompabtibel ist. Zur Vorbereitung der Zertizierung veröentlicht das <strong>BSI</strong> den<br />
<strong>IT</strong>-Grundschutkatalog.<br />
Im <strong>IT</strong>-<strong>Grundschutz</strong>katalog werden Gefahren, welche durch informationstechnische<br />
Systeme und die Organisation bestehen, beschrieben. Ebenfalls werden Maÿnahmen<br />
deniert, mit dem die Gefahren verringert oder gänzlich beseitig werden<br />
können. Um eine gewisse Übersichtlichkeit in der groÿen Anzahl <strong>von</strong> Gefahren und<br />
insbesondere Maÿnahmen zu gewährleisten, sieht der <strong>IT</strong>-<strong>Grundschutz</strong>katalog so<br />
genannte Bausteine vor. Diese bestehen aus Gefahren und Maÿnahmen die thematisch<br />
zusammen gefasst sind, wie z.B. B1.11 Outsourcing.
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 17<br />
3. Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
Da der <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> bisher die Gefahren und Maÿnahmen aus dem <strong>IT</strong>-<br />
<strong>Grundschutz</strong>katalog noch nicht <strong>auf</strong> die <strong>Anwendbarkeit</strong> bei <strong>Cloud</strong> Computing untersucht<br />
sind, soll dies in diesem Kapitel passieren. In Kapitel 3.1 werden daher<br />
die bestehenden Gefahren, welche durch <strong>Cloud</strong>-Computing entstehen, analysiert<br />
und es werden neue Gefahren <strong>auf</strong>gezeigt.<br />
Diese Analyse nde im Folgenden Kapitel statt.<br />
3.1. Gefahren für die <strong>Cloud</strong> nach <strong>IT</strong>-<strong>Grundschutz</strong>katalog<br />
Dieser Abschnitt behandelt die Gefährdungen für <strong>Cloud</strong> Computing gemäÿ dem<br />
<strong>BSI</strong>-<strong>Grundschutz</strong>katalog und stellt diese den Vorgehensweisen des Housing bzw.<br />
Outsourcing gegenüber. Bei <strong>Cloud</strong> Computing werden die allgemeinen Konzept<br />
und die Ideen für SMMaaS betrachtet. Eine Anbieter übergreifende public <strong>Cloud</strong><br />
wird dabei nicht betrachtet, da zum jetzigen Zeitpunkt ein Vendorlocking vorliegt.<br />
Es existieren keine <strong>Standards</strong> [18], weshalb ein Zusammenschluss nicht möglich<br />
ist. Es werden nur Housing-Provider und Outsourcing Dienstleister betrachten,<br />
da diese eine ähnlichen Dienstleistungsumfang haben wie <strong>Cloud</strong> Computing<br />
Provider. Application Service Provider (ASP) zählen hierbei mit zu dnn Outsourcing<br />
Dienstleistern.<br />
Im folgenden Kapitel werden zunächst die Gefahren analysiert, die bereits Bestandteile<br />
des <strong>IT</strong>-<strong>Grundschutz</strong>katalogs sind.<br />
3.1.1. Vorhandene Gefahren<br />
G1.10 Ausfall eines Weitverkehrsnetzes<br />
ˆ Housing Provider haben meist eine redundanten Anbindung (Peering)<br />
an Carrier, oft sogar mehrere Anbindungen. Der Trac <strong>von</strong> allen<br />
Kunden geht über diese Peerings. Ein Ausfall eines Peerings sollte normalerweise<br />
durch das Routing zu kompensieren sein. Es kann aber zu<br />
einer Senkung der Qualität kommen. Damit ein Kunde betroen ist<br />
müssen meist alle Anbindungen defekt sein. Die Server eines Kunden<br />
benden sich bei einem Housing Provider meist im selben Rechenzentrum,<br />
teilweise sogar im selben Brandabschnitt. Outsourcing Dienstleister<br />
haben oft neben eine generellen redundanten Anbindung an<br />
Carrier auch noch direkt Point-to-Point Anbindungen für die einzelnen<br />
Kunden. Über diesen Anbindungen geht meist der komplette Datenverkehr<br />
zwischen den Netzen des Diensleisters und des Kunden. Ein
18 3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
Ausfall einer Kundenanbindung hat dadurch auch nur Auswirkungen<br />
<strong>auf</strong> einen Kunden. Der Kunde kann dann eventuell noch über einen<br />
VPN-Tunnel über das Internet Verbindung <strong>auf</strong>bauen.<br />
ˆ Bei <strong>Cloud</strong> Computing ist die Situation ähnlich wie bei einem Housing<br />
Provider. Allerdings ist es <strong>von</strong> der Idee des <strong>Cloud</strong> Computing her<br />
möglich das einzelne Instanzen in ganz Unterschiedlichen Rechenzentren<br />
gehosted sind. Dadurch ist es möglich, das der Service vom Kunden<br />
weiterhin verfügbar ist, selbst wenn bei einem Rechenzentrum alle<br />
Anbindungen ausfallen.<br />
G1.15 Beeinträchtigung durch wechselnde Einsatzumgebungen<br />
Relevanz: In der Beschreibung zu dieser Gefährdung wird ausschlichlich<br />
<strong>von</strong> mobilen Geräten gesprochen, im Kontext <strong>von</strong> <strong>Cloud</strong> Computing passt<br />
die Gefährdung allerdings auch, da eine Idde bei <strong>Cloud</strong> Computing die<br />
Lokationstransparenz ist.<br />
ˆ Sowohl bei Housing-Providern als auch bei Outsourcing-Dienstleister<br />
sind die <strong>IT</strong>-Systeme welche der Kunde nutzt und ortsfest in einem<br />
Rechenzentrum installiert. Ein Wechsel der Systeme in ein anderes<br />
Rechenzentrum wird dem Kunden vorher mitgeteilt bzw. mit ihm Besprochen.<br />
Daher besteht hierbei dieses Gefährdung nicht. Dem Kunden<br />
ist der Ort der <strong>IT</strong>-Systeme meist bekannt.<br />
ˆ Da <strong>Cloud</strong> Computing die Idee der lokaltionstransparenz theoretisch<br />
verwirklicht, ist es dem Kunden nicht mehr bzw. nur eingeschränkt<br />
möglich den Ort eines Systems festzulegen bzw. festzustellen. Bereits<br />
nach einem neustart eines System kann sich der Standort verändert<br />
haben. Durch dies Lokationstransparenz ergibt sich dann auch<br />
die Gefahr. So gibt es in einzelnen Ländern bzw. Bundesländern unterschiedlichen<br />
Rechtsprechung, welche sich nachteilig <strong>auf</strong> z.B. die Integrität<br />
der Daten auswirken kann.<br />
G1.18 Ausfall eines Gebäudes<br />
ˆ Hierbei ist die Situation ähnlich wie bei G1.15, allerdings umgekehrt.<br />
Da Housing bzw. Outsourcing Provider teilweise überhaupt nur<br />
ein Rechenzentrumsgebäude haben. Insbesonderen da bei Housing-<br />
Provider meist alle Kundensysteme in einem Gebäude stehen. Der<br />
Kunden kann dem allerdings teilweise entgegen wirkt, was oft mit massiven<br />
Mehrkosten verbunden sein kann.
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 19<br />
ˆ Durch die Lokationstransparenz bei <strong>Cloud</strong> Computing ist es möglich<br />
das sich der Ausfall eines Gebäudes nur <strong>auf</strong> einen Teil der Kundensysteme<br />
auswirken. Da hier der Kunde keinen Einuss <strong>auf</strong> den Standort<br />
seiner <strong>IT</strong>-Systeme hat ist eine Verteilung über meherer Rechenzentren<br />
möglich.<br />
G2.1 Fehlende oder unzureichende Regelungen<br />
ˆ Housing Provider und Outsourcing Dienstleister sind in der <strong>IT</strong>-Welt<br />
schon lange bekannt. Daher gibt es bereits viele Regeln welche die<br />
speziellen Situationen der Dienstleister abdecken. Die zeigt sich nicht<br />
auch zuletzt z.b. im <strong>BSI</strong>-<strong>Grundschutz</strong>katalog Beusteine B1.11 Outsourcing.<br />
ˆ Für <strong>Cloud</strong> Computing gibt es noch keine angepasste bzw. speziellen<br />
Regeln. Viele Regeln, Gesetze und <strong>Standards</strong> treen zwar auch <strong>auf</strong><br />
<strong>Cloud</strong> Computing zu, allerdings gibt es aber auch bei diesen oft Fälle<br />
wo die Lage bei <strong>Cloud</strong> Computing nicht eindeutig ist.<br />
G2.19 Unzureichendes Schlüsselmanagment bei Verschlüsselung<br />
ˆ Bei Housingprovider sind die Kundensysteme auch Eigentum des Kunden,<br />
so das sich die Daten ausschlieÿ lich <strong>auf</strong> den Systemen des Kunden<br />
benden. Hier ist der Kunde für das Schlüsselmanagment und<br />
der konkrete Umgang mit Kryptoschlüssel zuständig. Der Housingprovider<br />
hat zwar einen physischen Zugang aber keinen Benutzerpasswörter<br />
zu den Systemen. Dies schwächt allerdings trotzdem den<br />
Schutz der Kryptoschlüssel. Bei Outsourcing-Provider sollten die Systeme<br />
eines Kunden isoliert bestrieben werden, sprich es werden keine<br />
Ressourcen zwischen den Kunden geteilt. Allerdings ist bei dem Outsourcing<br />
der Diensleister für das Schlüsselmanagment und die Kryptoschlüssel<br />
zuständig. Der Umgang <strong>von</strong> Kryptoschlüsseln und den<br />
Schlüsselmanagment kann daher <strong>von</strong> dem Kunden nur schwer überprüft<br />
werden.<br />
ˆ Bei <strong>Cloud</strong> Computing werden Ressourcen geteilt, sowohl die CPU,<br />
NIC als auch der RAM und die Festplatte. Des Weiteren sind IaaS-<br />
Instanzen in der Regel nicht persistent, sprich mit dem herrunterfahren<br />
einer Instanz wird diese gelöscht. Persistente Daten werden normal<br />
in einem groÿen gemeinsamen Speicher gesichtert, eine physikalische<br />
Separierung (eine reale HDD pro Instanz) ist nicht vorgesehen. Hi-
20 3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
er gibt es nun eine verteiltes Schlüsselmanagment. Der Kunde kann<br />
die Daten <strong>auf</strong> der lokalen Instanz verschlüsseln und verschlüsselt dem<br />
Providerspeicher übergeben. Hierbei muss der Kunde sorge tragen das<br />
die Schlüssel nicht ausschlieÿlich in der Instanz liegen, es wird ein<br />
gesonderter persistenter Speicher benötigt. Neben dem Kunden kann<br />
auch der <strong>Cloud</strong> Service Provider die Daten <strong>auf</strong> dem Weg zwischen der<br />
Instanz und dem Speichersystem (Data-in-Transit) verschlüsseln. Es<br />
ist bekannt das einige groÿe <strong>Cloud</strong> Provider hierzu lediglich einen einzigen<br />
Kryptokey nutzen, dies kann zu Vertrauensverlust führen. Ebenfalls<br />
ist es eventuell möglich ein Kryptokey eines anderen Kunden aus<br />
dem Arbeitsspeicher bzw. Festplatte des Virtualisierungshost auszulesen,<br />
wenn dies nach dem Runterfahren einer Instanz nicht ordentlich<br />
entfernt werden oder es eine Schwachstelle in der Virtualisierungslösung<br />
gibt.<br />
G2.28 Verstöÿe gegen das Uhrheberrecht<br />
ˆ Bei Housing Provider bieten den Kunden lediglich denn Rackspace an.<br />
Der Provider ist nicht für die Lizenzierung der Kundensysteme verantwortlich.<br />
Bei Outsourcing Providern werden Lizenzen für die jeweiligen<br />
Kunden durch den Provider besorgt, der Kunde muss daher<br />
für jede Lizenz bezahlen. Der Provider ist für die Installation der Systeme<br />
verantwortlich. Für die richtige Lizenzierung ist hierbei sowohl<br />
der Provider als auch der Kunde verantwortlich, da der Kunden über<br />
die Anzahl der Lizenzen und Systeme informiert ist.<br />
ˆ Bei <strong>Cloud</strong> Computing können zusätzlichen Instanzen mit zu lizenzierender<br />
Software ohne eingreifen des Providers erzeugt werden.<br />
Durch eine starke Zahl <strong>von</strong> neu deployed und lizenzrechtlich relevanten<br />
Systemen kann es zu einer Unterlizenzierung kommen. Desweiteren<br />
ist bei <strong>Cloud</strong> Computing in der Regel der Provider nur für die Lizenzierung<br />
des Betriebsystems(IaaS) bzw. der Plattformen (PaaS,SaaS)<br />
zuständig. Für die weitere Lizenzierung <strong>von</strong> Software <strong>auf</strong> den Systemen<br />
ist der Kunde zuständig. Es gibt darüber hinaus Software<br />
die spezielle Lizenzierungmodelle benutzen, welche z.b. mit Virtualisierung<br />
unverträglich ist. Durch diese getrenten Zuständigkeiten sowie<br />
einer potenziellen Unterlizenzierung ist es möglich das der Kunden<br />
nicht lizensierte Software nutzt.<br />
G2.54 Vertraulichkeitsverlust durch Restinformationen
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 21<br />
ˆ Bei Housing Provider ist die Gefährdung nur sehr gerring. Da der<br />
Kunde selbst für die Wartung, Reparatur und Aussonderung zu sorgen<br />
hat. Hier können daher die normalen Prozesse zur Datenträgervernichtung<br />
des Kunden greifen. Eine Ausnahme ist es wenn die Housing<br />
Provider sogenannte Remote Hands Dienstleistungen anbiete, wie<br />
z.B. auswechseln <strong>von</strong> defekten Festplatten. Hier ist je nach Vereinbarung<br />
der Provider für die Entsorgung zuständing, oder der Provider<br />
versendet den defekten Datenträger an den Kunden. Dabei kann G2.47<br />
greifen. Bei Outsourcing Dienstleistern ist der Dienstleister für die<br />
Entsorgung <strong>von</strong> z.b. Datenträger zuständig und führt dies im normalfall<br />
im einvernehmen mit dem Kunden durch. Eine Fehlerhafte<br />
Entsorgung ist dabei natürlich möglich. Eine fachgerechte Entsorgung<br />
der Datenträger bei Beendigung des Vertrags ist sicherzustellen. Bei<br />
einer Wiederverwendung, sowie einer nicht vollständigen Vernichtung<br />
der Daten <strong>auf</strong> den Datenträger ist eine Wiederherstellung der Daten<br />
durch den Dienstleister möglich.<br />
ˆ Bei <strong>Cloud</strong> Computing hat der Kunden keinerlei einuss <strong>auf</strong> die<br />
fachgerechte Entsorgung <strong>von</strong> Datenträgern bzw. das vollständige<br />
Löschen <strong>von</strong> Daten. Der Kunden muss dar<strong>auf</strong> vertrauen das der<br />
Provider dies richtig durchführt. Es ist hierbei auch denkbar das sowohl<br />
Speicherbereiche <strong>auf</strong> den Festplatten als auch im Ram kurzfristig<br />
wiederverwendet werden. Dann ist der Kunde unter Umständen in<br />
der Lage die vorher nicht richtig gelöschten Daten wiederherzustellen<br />
und zu verwenden. Ein sicherer Datenschutz kann daher ohne kryptographische<br />
Verfahren nur schwer gewährleisted werden. Ebenso wäre<br />
hier eine vertragliche Verpichtung des Provider, sowie entsprechen<br />
angepasste Prozesse wünschenswert.<br />
G2.60 Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement<br />
& G2.61 Unberechtigte Sammlung personenbezogener Daten<br />
ˆ Bei Housing Provider ist für das Systemmanagment der Kunde<br />
zuständig. Da der Provider ein Zugri <strong>auf</strong> die Netzwerkkomponenten<br />
nicht zulassen kann, da hierdurch die Verfügbarkeit sinkt und die<br />
Angreifbar steigt, kann das Netzmanagment nicht durch den Kunden<br />
ausgeführt werden. Der Provider kann dem Kunden allerdings konsolidierte<br />
Daten für den Netzbereich des Kunden zu Verfügung stellen.<br />
Dies geschieht in der Regel über Web-Guis. Da die Daten in keinem<br />
Standardformat vorliegen und Managmentsysteme nicht <strong>auf</strong> die Daten<br />
des Web-Guis zugreifen können, ist eine integration in dass Netz-
22 3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
und Systemmangment des Kunden nicht möglich. Bei Oursourcing Dienstleistern<br />
übernimmer das Netz- und Systemmanagment normalerweise<br />
der Dienstleister, damit er zeitnahe <strong>auf</strong> Probleme reagieren kann<br />
und damit die in den SLA's vereinbarten Servicezeiten erreichen kann.<br />
Der Outsourcing Provider kann dem Kunden dabei ebenfalls Zugri<br />
<strong>auf</strong> das Netz-Systemmanagment geben.<br />
ˆ Bei <strong>Cloud</strong> Computing hat man ein stark dynamisch Umgebung. Daher<br />
ist das Netz- und Systemmanagment für den Kunden schwierig. Der<br />
Provider stellt meist auch nur sehr eingeschränkte Managmentinformationen<br />
zu Verfügung welche haupsächlich die Abrechung bzw. Nutzung<br />
verdeutlichen sollen. Bei <strong>Cloud</strong> Computing ist ein zusätzliches Problem<br />
das bei IaaS der Kunde nur eine virtuelle Instanz überwachen kann,<br />
nicht aber die eigentliche Host-Maschine. Mit dem Truststufenmodell<br />
und der SMMaaS-Architektur ist es angedacht, das der Kunde Informationen<br />
für seine Instanzen und Netzwerksegmente abfragen kann.<br />
Sie werden über standardisierte Schnittstellen und Formate zugestellt.<br />
Die Daten müssen allerdings unter Umständen <strong>von</strong> dem Provider vor<br />
dem Ausliefern an den Kunden anonymisiert werden, um eventuelle<br />
Verweise <strong>auf</strong> andere Kunden bzw. die interne Struktur zu verbergen.<br />
Ebenfalls bestehen z.b. bei Logles ein Datenschutzproblem, da<br />
aus Logles unter Umständen Beziehungen und Prole zu Personen<br />
oder Organisationen hergestellt werden können. Das Problem besteht<br />
insbesondere da bei viele aktuellen <strong>Cloud</strong> Service Providern eine<br />
E-Mail Addresse sowie die Daten einer Kreditkarte ausreichen. Durch<br />
diese Daten ist eine sichere Indetizierung der Person allerdings nicht<br />
möglich.<br />
G2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen<br />
ˆ Bei Housing Provider ist der Kunde für die Erkennung und Reaktion<br />
<strong>auf</strong> Sicherheitsvorfälle zuständig. Der Provider kann bei Netzsicherheitsvorfällen<br />
eventuell dem Kunden mit zusätzlichen Informationen<br />
und/oder Massnahmen behilich sein. Bei Outsourcing-Dienstleister<br />
ist das Erkennen und Reagieren <strong>auf</strong> Sicherheitsvorfälle Aufgabe der<br />
Dienstleisters. Dieser soll allerdings den Kunden über entsprechende<br />
Vorfälle Informieren.<br />
ˆ Bei <strong>Cloud</strong> Computing ist ebenfalls der Kunden für Vorfälle die eine<br />
Instanz betrit zuständig. Der Provider wird <strong>auf</strong> alle Sicherheitvorfälle<br />
<strong>auf</strong> seine Infrastruktur reagieren inkl. Sicherheitsvorfälle <strong>auf</strong> Vir-
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 23<br />
tualisierungshosts. Aktuell gibt es bei den meisten <strong>Cloud</strong>-Providern<br />
allerdings keine Hilfsstellung bei Sicherheitsvorfällen <strong>auf</strong> Kundeninstanzen.<br />
Mit dem Truststufenmodell ist geplannt das bei denn höheren<br />
Truststufen der Provider ebenfalls bei Sicherheitsvorfällen <strong>auf</strong> Kundeninstanzen<br />
aktiv wird. Sei es durch informieren des Kunden und zu<br />
Verfügung stellen entsprechender Informationen, als auch event. ein<br />
automatisches Verschieben der Instanz in einen Quarantänebereich.<br />
Ein automatischen Neuerzeugen der Kundeninstanz, anhand <strong>von</strong> kundenspezischen<br />
Images (z.B. mit neuen SSH-Schlüsseln) ist ebenfalls<br />
angedacht um die Verfügbarkeit des Kundendienstes zu gewährleisten.<br />
G2.84 Unzulängliche vertragliche Regelungen mit einem externen Dienstleister<br />
Bei <strong>Cloud</strong> Computing gibt es nocht keine eindeutig Regelungen und Rechtsprechungen<br />
daher ist eine Vertragsgestaltung schwierig. Vor Allem da<br />
bei <strong>Cloud</strong>-Providen Verträge zwischen <strong>auf</strong> Basis der Kreditkartedaten<br />
stattnden. Eine extra Vertragvereinbarung welche die Regelungen <strong>von</strong><br />
<strong>BSI</strong>, ISO, <strong>IT</strong>IL etc. abdeckt ist meist nicht vorgesehen. Es werden meist<br />
Standardverträge abgeschlossen. Hierdurch kann es zu Problemen mit<br />
Businesskunden kommen. Insbesonderen <strong>Cloud</strong> Dienste bei denen geschäftskritische<br />
Anwendungen welche Finanz und/oder personenbezogene Daten<br />
verarbeiten werden benötigen dringend spezielle Verträge mit dem Kunden.<br />
G2.85 Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens<br />
Hierbei ist ebenso wie bei G2.84 die Vertraglich Lage zum einen ein Problem,<br />
zum anderen ist es dem Kunden nicht möglich zu überprüfen was mit<br />
seinen Instanzen und Daten passiert wenn der Vertrag endet. Die meisten<br />
<strong>Cloud</strong> Provider arbeitet dabei wie eine Black Box, es werden Daten und<br />
Informationen in die Black Box gelagert, was dann damit passiert ist nicht<br />
ersichtlicht. Hiergegen soll die SMMaaS-Architektur etwas unternehmen.<br />
Bereits <strong>von</strong> Anfang an stellt sie sicher, dass der Provider keine bzw. nut<br />
mit eindeutiger Authentifzierung an die eigendlichen persistenten Daten<br />
gelangt. Die passiert z.B. durch Ende-zu-Ende Verschlüsselung, zusammen<br />
mit einem passenden Schlüsselmanagment. Zusätzlich werden dem Kunden<br />
die Massnahmen bei einer Vertragsbeendigung im Vorhinein bekannt<br />
gegeben.<br />
G2.86 Abhängigkeit <strong>von</strong> einem Outsourcing-Dienstleister<br />
ˆ Bei Housing-Provider ist dies meist kein Problem, da der Kunde die<br />
Systemen selbst installiert. Hier bei gibt es normalerweise kein Vendor-
24 3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
Lockin. Das Vendor-Lockin beschränkt sich meist nur <strong>auf</strong> die Managment<br />
und Loginformationen des Provider. Jeder Provider stellt diese<br />
<strong>auf</strong> eine anderen Art bereit. Bei Outsourcing Dienstleister ist ein<br />
Vendor-Lockin sehr schnell gegeben. Bei einem Vendorwechsel wird<br />
es sicherlich Probleme bei der Umstellung geben. Des Weitern sind die<br />
<strong>IT</strong>-Systeme meist Eigentum des Outsourcing Dienstleister, wodurch<br />
ein einfaches Umziehen zu einem anderen Diensleister schwierig wird.<br />
ˆ <strong>Cloud</strong> Computing ist die Problematik wie bei Outsourcing Dienstleister.<br />
Bisher gibt es keine Kompatiblität zwischen einzelnen <strong>Cloud</strong><br />
Provider, was auch <strong>auf</strong> fehlende <strong>Standards</strong> sowie desinteresse der<br />
Provider zurück zu führen ist. Ein Umzug <strong>von</strong> IaaS-Instanz könnte<br />
noch am einfachsten passieren, da es nur wenige groÿe Virtualisierungslösungen<br />
gibt. Zwischen den Containerformaten der Virtualisierunglösungen<br />
gibt es zusätzlich Converter der in das Format einer<br />
anderen Virtualisierunglösung konvertiert. Ebenfalls gibt es hierfür<br />
einen onen Standard OVF/OVA. Insbesondere die PaaS-Dienste<br />
sind proprietär. Jeder Dienstleister hat hier seine eigene API und<br />
nutzt eigene properitär DB-Formate und Schnittstellen. Bei SaaS-<br />
Anwendungen ist unter Umständen einen Umzug möglich. Bei <strong>Cloud</strong><br />
Computing wird einem der Provider in den meisten Fälle nicht unterstützen<br />
bei einem Wechsel so das normalerweise immer eine Vendor-<br />
Lockin vorliegt. Es sind aber bereits Forschungsprojekte am l<strong>auf</strong>en,<br />
welche einen oenen <strong>Cloud</strong>-Stack entwickeln und etablieren wollen,<br />
wie z.B. OpenCirrus oder Open<strong>Cloud</strong><br />
G2.109 Fehlende oder unzureichende Planung des Speichersystems<br />
ˆ Wenn ein Speichersystem zu einem Housing-Provider ausgelagert wird,<br />
z.b. als zentraler Datenbankstorage, gehört das System dem Kunden<br />
und auch nur dieser hat Zugri <strong>auf</strong> das System. Hier muss der<br />
Kunden die Planung des Systems übernehmen. Bei Outsourcing wird<br />
in vielen Fällen ebenfalls für einen Kunden ein dediziertes Speichersystem<br />
genutzt. Hierbei wird der Dienstleister im Einvernehmen mit<br />
dem Kunden das Speichersystem planen. Bei Outsourcing Diensleistern<br />
mit einem zentralen Storage, wird einen gewisser Bereich (LUN)<br />
für einen Kunden konguriert und nur die Systeme des Kunden haben<br />
Zugri dar<strong>auf</strong>. In dem Fall ist der Dienstleister exklusiv für die Planung<br />
zuständig.<br />
ˆ Bei <strong>Cloud</strong>Computing gibt wird es wahrscheinlich mehrere Speichersys-
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 25<br />
teme geben. Zum einem der temporär Speicher in Form <strong>von</strong> lokalen<br />
Festplatten in den Virtualisierungshosts. Hier ist die Planung sehr einfach.<br />
Darüber hinaus ein zentrales Storagessystem in dem die persistenten<br />
Daten gespeichert werden. Wegen der groÿen Anzahl <strong>von</strong> Kunden<br />
und Instanzen ist hierbei eine exklusive Zuweisung eines Bereiches<br />
(LUN) nicht möglich. Deshalb werden die Daten <strong>von</strong> mehreren Kunden<br />
<strong>auf</strong> ein LUN gespeichert. Eine Überbuchung des Speichersystems durch<br />
den <strong>Cloud</strong> Computing ist wahrscheinlich. Durch diese Überbuchung<br />
und eventuell sehr schnell ansteigendem Speicherbedarf sowie Bandbreiten<br />
und Verfügbarkeiten kann es hier schnell zu einer Fehlplanung<br />
kommen, insbesondere bei der Kapazitätplanung.<br />
G 2.131 Unzureichende Kontrolle <strong>von</strong> VPNs<br />
Bei <strong>Cloud</strong>Computing allgemein hat der Kunden keinen Einuss <strong>auf</strong> die<br />
darunterliegenden Netzwerkinfrastruktur. Daher ist es einem Kunden nur<br />
möglich das VPN zu kontrollieren wenn der <strong>Cloud</strong>-Provider entsprechede<br />
Informationen bereit stellt. Im Konzept welches für die Nutzung <strong>von</strong><br />
VPN durch die SMMaaS Architekur entwickelt wurde, wir der komplette<br />
VPN-Trac eines Kunden über einen Kunden VPN-EndPoint geführt.<br />
Hier ist ein Auslesen der notwendigen Loginformationen möglich.<br />
G 2.133 Mangelhaft festgelegte Verantwortlichkeiten beim Patch- und Änderungsmanagement<br />
ˆ Beim Housing die die Verantwortlichkeiten geklärt, der Kunde ist für<br />
seine <strong>IT</strong>-Systeme zuständig und der Provider für seine Systeme. Bei<br />
Outsourcing ist die Regelung prinzipell auch recht eindeutig geregelt,<br />
hier ist der Dienstleister verantwortlich.<br />
ˆ Bei <strong>Cloud</strong> Computing ist eine klare Trennung nicht komplett zu Erkennen.<br />
Natürlich ist der Provider für seine Systeme zuständig. Allgemein<br />
sind für die IaaS-Images sowohl der Kunde als auch der Provider<br />
für das einspielen <strong>von</strong> Patchen und Änderungen zuständig. Bei einer<br />
l<strong>auf</strong>enden Instanz ist der Kunde für das Patch- und Änderungsmanagement<br />
zuständig. Gleichzeitig ist aber der Provider für z.B. den Patchstand<br />
der Basis-Images zuständig. Dadurch kann es passieren das der<br />
Kunde einen anderen Patchstand bzw. eine geändertes Instanz erhält<br />
wenn er eine neue Instanz deployed.<br />
G 2.142 Zerstörung <strong>von</strong> Beweisspuren bei der Behandlung <strong>von</strong> Sicherheitsvorfällen
26 3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
ˆ Da bei Housing-Providern die Systemen dem Kunden gehören, ist<br />
dieser für die Sicherung der Beweisspuren zuständig. Wenn allerdings<br />
der Server nicht mehr erreichbar ist, kann durch den Kunden ein Reset<br />
des Systems veranlasst werden und dadurch Spuren vernichtet werden.<br />
Bei Outsourcing Providern ist der Dienstleister für die Beweissicherung<br />
zuständig. Dieser hat eventuell extra dafür geschultes Fachpersonal z.b.<br />
aus seinem CERT.<br />
ˆ Bei <strong>Cloud</strong> Computing kann der Kunden selbst nur Beweisspuren bei<br />
IaaS sammeln, allerdings auch nur eingeschränkt. Bei PaaS, SaaS,<br />
stehen die Systeme unter der Verwaltung des Provider. Dieser kann<br />
eventuell Loginformationen dem Kunden bereitstellen, eine extra Beweissicherung<br />
bei Kundensystemen wird wahrscheinlich nicht stattnden.<br />
G 3.32 Verstoÿ gegen rechtliche Rahmenbedingungen beim Einsatz <strong>von</strong><br />
kryptographischen Verfahren<br />
ˆ Bei Housing und Outsourcing ändert sich der Standort eines System<br />
in der Regel nicht bzw. ist eine Standortänderung in ein anderen Land<br />
in der Regel geplant. Dadurch ist es möglich die Server bereits im<br />
Vorhinein <strong>auf</strong> die andere Rechtslage anzupassen.<br />
ˆ Bei <strong>Cloud</strong>Computing ist es prinzipell möglich, dass eine Instanz innerhalb<br />
<strong>von</strong> Sekunden in ein anderes Land verschoben wird. Dadurch ist<br />
eine geplante Anpassung an die Rechtslage nicht möglich. Das zu verhindern<br />
ist nur möglich, wenn in der gesamten <strong>Cloud</strong>, die minimalen<br />
Anforderungen herschen, dadurch wird allerdings die Sicherheit in der<br />
gesamten <strong>Cloud</strong> geschwächt.<br />
G 3.79 Fehlerhafte Zuordnung <strong>von</strong> Ressourcen des SAN<br />
Bei <strong>Cloud</strong> Computing ist dieser Fall absehbar. Durch die groÿe Anzahl an<br />
Kunden ist eine eindeutige Zuordnung eines LUN zu einer Kundeninstanz<br />
nicht möglich. Des Weitern terminieren die SAN-Verbindung in der Regel<br />
<strong>auf</strong> dem Virtualisierungshost und nicht in der VM. Es ist zwar möglich<br />
ein LUN mittels NPVI in einer Instanz zu terminiern, aber der Umgang<br />
damit wird dem Kunden normalerweise abgenommen. Des Weiteren ist es<br />
möglich, dass die Speichersysteme nicht genügend LUN's haben, so das<br />
sich verschieden Kunden ein LUN teilen müssen.<br />
G 5.20 Missbrauch <strong>von</strong> Administratorrechten
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 27<br />
ˆ Bei Housing ist ein Missbrauch <strong>von</strong> Administratorrechten durch den<br />
Provider faktisch ausgeschlossen, da der Provider keinen Shell-Zugang<br />
zu den Kundensystemen hat. Ein Angri <strong>auf</strong> ein System und Erlangung<br />
<strong>von</strong> Administratorrechten ist natürlich weiterhin möglich. Bei<br />
Outsourcing haben meist viele User Zugang <strong>auf</strong> die Systeme, daher ist<br />
das Erlangung <strong>von</strong> Administratorrechten eher möglich.<br />
ˆ Bei <strong>Cloud</strong> Computing werden IaaS-Instanzen oft als eine Art managed<br />
Root-Server betrieben. Der Kunden kann durch ein Frontend z.B. sshkeys<br />
<strong>auf</strong> Systeme einspielen. Daher ist es teilweise sodas der Provider<br />
ein Zugang zu einer IaaS-Instanz hat, um die Änderungen durch das<br />
Frontend einzuspielen. Ein Ausnutzen dieses Zugangs und dadurch ein<br />
Missbrauch <strong>von</strong> Administratorrechten ist hier möglich.<br />
Gefahren welche noch <strong>auf</strong> Bausteinentwürfen stammen und noch nicht oziell im<br />
<strong>IT</strong>-<strong>Grundschutz</strong>katalog sind, werden im nächsten Kapitel analysiert.<br />
3.1.2. Gefahren aus Bausteinentwürfen<br />
Die folgenden Gefahren entstammen den Entwürfe der Bausteine Virtualisierung<br />
[19] und Terminalserver [20].<br />
G2v8 Fehlerhafte Integration <strong>von</strong> Gastwerkzeugen in virtuellen <strong>IT</strong>-<br />
Systemen<br />
ˆ Bei Housing ist der Kunde selbst für die korrekte Integration <strong>von</strong> Gastwerkzeugen<br />
zuständig. Bei dem <strong>IT</strong>-Outsourcing hat die fehlerfreie Integration<br />
der Dienstleister sicherzustellen.<br />
ˆ Bei <strong>Cloud</strong> Computing wird meist keine Gastwerkzeuge, einer Virtualisierunglösung,<br />
installiert. Dies ist insbesondere der Fall bei IaaS<br />
Linux-Instanzen welche XEN als Hypervisor nutzen. In dieser Kombination<br />
wird die sogenannte Paravirtualisierung genutzt. Dadurch ist<br />
der Linux Kernel selbst das Gastwerkzeug.<br />
G4v1 Störung der Netzinfrastruktur <strong>von</strong> Virtualisierungsumgebungen<br />
ˆ Bei dem Housing kann der Kunden entscheiden ob er mehrere Virtualisierungshosts<br />
zu einer virtuellen Infrastruktur zusammen schaltet.<br />
Er hat auch dafür zu sorgen das es nicht zu einer Störung der Netzwerkverbindung<br />
z.B. durch Fehlkonguration kommt. Bei dem Outsourcing<br />
fallen die Entscheidungen und die Verantwortung dem Diensleister<br />
zu.
28 3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
ˆ Bei <strong>Cloud</strong> Computing ist es nicht unwahrscheinlich das der CSP eine<br />
Mangementsoftware nutzt um die Virtualisierungshosts zentral administrieren<br />
zu können. Ein Zusammenschalten zu einer groÿen virtuellen<br />
Infrastruktur ist allerdings unwahrscheinlich. Da durch den Einsatz<br />
der virtuellen Infrastruktur Managmentsoftware einige Funktion wie<br />
die Verteilung <strong>auf</strong> die einzelnen Systeme nicht mehr über das <strong>Cloud</strong>-<br />
Management organisiert werden kann.<br />
G4v6 Ressourcenengpass durch fehlerhafte Funktion der Gastwerkzeuge<br />
in virtuellen Umgebungen & G 5.v7 Missbräuchliche Nutzung <strong>von</strong> Gastwerkzeugen<br />
in virtuellen <strong>IT</strong>-Systemen<br />
ˆ Die Gefahr besteht sowohl bei dem Housing als auch bei dem Outsourcing.<br />
Bei dem Housing ist der Kunde selbst für die Administration<br />
der Virtualisierungshosts und deren Instanzen zuständig. Bei dem Outsourcing<br />
ist es Aufgabe des Diensleisters ein solche Fehlkonguration<br />
zu verhindern und zu beseitigen.<br />
ˆ Diese Problem kann bei <strong>Cloud</strong> Computing nicht <strong>auf</strong>tretten, da wie<br />
bereit in G2v8 erklärt bei <strong>Cloud</strong> Computing keine Gastwerkzeuge<br />
genutzt werden.<br />
Als letzen werden im Folgenden Kapitel noch neue Gefahren analysiert.<br />
3.1.3. Neue Gefahren<br />
Gc1 Lokation <strong>von</strong> Daten<br />
ˆ Bei Housing ist der Ort an dem die Daten gespeichert klar geregelt, sie<br />
liegen <strong>auf</strong> Systemen des Kunden. Der Kunde weiÿ bescheidt in welchen<br />
Land und an welchem Ort genau die Systeme sind. Wenn der Housing<br />
Provider sein Rechenzentrum verlagert wird der Kunde informiert<br />
und der Kunde kann bei z.B. einer Verlagerung ins Ausland entgegen<br />
wirken. Bei Outsourcing-Provider wird der Standort der System<br />
und Daten zwischen dem Dienstleister und dem Kunden vertraglich<br />
festgelegt. Eine Verlagerung an einen anderen Standort muss mit dem<br />
Kunden abgestimmt werden.<br />
ˆ Bei <strong>Cloud</strong> Computing hat normal der Kunde kein Einuss <strong>auf</strong> den<br />
Standort der Systeme und Daten. Der CSP kann Rechenzentren in<br />
mehrern Ländern haben, wodurch es zu unterschiedliche rechtlichen<br />
Geltungsbereichen kommen kann. Verschiedene CSP wollen dem en-
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 29<br />
gegenwirken in dem Sie verschieden <strong>Cloud</strong>zonen etablieren in dennen<br />
jeweils ähnliche rechtliche Regelungen gelten.<br />
Gc2 Fehlerhafte isolierung <strong>von</strong> Kunden-systemen und -daten<br />
ˆ Bei Housing gehören den Systemen dem Kunden, daher sind die Systeme<br />
bis <strong>auf</strong> das Netzwerk des Hounsing-Diensleisters <strong>von</strong>einander<br />
Isoliert. Bei Outsourcing sind die meisten Systeme exkulsiv einem Kunden<br />
zugeordnet. Systeme die durch meherer Outsourcingkunden verwendet<br />
werden, sind komplett unter der Verwaltung des Outsourcing-<br />
Diensleisters, wodurch eine Isolierung gut sichergestellt werden.<br />
ˆ Bei <strong>Cloud</strong>-Computing ist durch den Einsatz <strong>von</strong> Virtualisierung ein<br />
strikte Trennung schwierig. Dies wird durch die groÿe Anzahl <strong>von</strong><br />
Kunden zusätzlich erschwert. Persistente Speicher werden bei <strong>Cloud</strong>-<br />
Computing ebenfalls <strong>von</strong> mehere Kunden verwendet. Ebenfalls ist<br />
durch den Root-Zugang bei IAAS-Instanzen eine gröÿere Angrisäche<br />
vorhanden um die Isolierung zu durchbrechen. CSP müssen bereits bei<br />
der Planung der Infrastruktur und der Softwaresysteme <strong>auf</strong> Mandantefähigkeit<br />
achten.<br />
Gc3 Fehlerhafte Konguration <strong>von</strong> Sicherheitsgateway durch unterschiedlichen<br />
Zuständigkeiten<br />
ˆ Bei Housing-Dienstleistern ist der Kunde normalerweise selbst für die<br />
Konguration <strong>von</strong> Sicherheitsgateway, Firewalls, IDS etc. zuständig.<br />
Der Dienstleister wird nur dann Eingreifen und eventuell einen Kundenserver<br />
sperren, wenn sich ein Angri <strong>auf</strong> ein Kundensystem <strong>auf</strong> die<br />
gesamte Infrastruktur auswirkt. Bei Outsourcing-Dienstleistern ist der<br />
Dienstleister alleine für die Sicherheitsgateways zuständig. Der Kunde<br />
muss Änderungen an der Konguration bei dem Dienstleister beantragen.<br />
ˆ Bei <strong>Cloud</strong>-Computing muss sicher je nach Art des Services der Kunde<br />
mit der Konguration der Gateway abnden. Bei IAAS gibt der CSP<br />
ein Konguration des Gateways vor. Der Kunde hat nur bedingt ein-<br />
uss <strong>auf</strong> die Konguration. Dies geschieht weil der CSP seine Infrastruktur<br />
und inbesondere die Virtualisierungshost absichern muss. Bei<br />
PAAS und SAAS hat der Kunde kein Einuss <strong>auf</strong> die Konguration<br />
des Gateways.<br />
Gc4 Fehlende Regelungen für Nutzung <strong>von</strong> 3. Anbieter durch den Provider
30 3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong><br />
ˆ Bei Housing-Dienstleistern sind die Kundendaten normalerweise auch<br />
nur <strong>auf</strong> Kundensystemen gespeichert. Für eine Nutzung durch 3. Anbieter<br />
muss der Kunde die Daten herausgeben. Der Kunde hat hierbei<br />
auch die Möglichkeiten den 3. Anbieter <strong>auf</strong> den Danteschutz hin<br />
zu verpichten. Bei Outsourcing-Dienstleister liegen die Kundendaten<br />
meist im Rechenzentrum des Dienstleisters. Dieser kann wiederrum<br />
Teile seiner Infrastruktur bzw. seiner Verwaltung an 3. Anbieter auslagern.<br />
Die bedarf normal einer vorherigen Vertraglichen Regelung mit<br />
den Kunden. Der Kunde muss sich <strong>auf</strong> Vertraglichen Regeln verlassen.<br />
ˆ Bei <strong>Cloud</strong> Computing besteht in den meisten Fällen keine Vertraglichen<br />
Regelungen. Der CSP kann wie der Outsourcing-Diensleister<br />
Teile seiner Infrastruktur bzw. Datenverarbeitung an 3. Anbieter auslagern.<br />
Der Kunde wird normal nicht über den Einsatz <strong>von</strong> 3. Anbieter<br />
unterrichtet, und er ist meistens auch nicht in der Lage dies<br />
Festzustellen.<br />
Gc5 Fehlerhafte Zugrisregelungen <strong>auf</strong> Daten und Systeme<br />
ˆ Der Zugrie <strong>auf</strong> Kundensystem und Kundendaten regelt bei Housing-<br />
Dienstleister ausschlieÿlich der Kunde. Administratoren des Dienstleisters<br />
haben normal keinen Zugri <strong>auf</strong> die Kundensysteme, sofern<br />
der Kunde den Zugang nicht explizit genehmigt. Bei Outsourcing-<br />
Dienstleistern ist dies anders. Hier regeln die Administratoren des Dienstleisters<br />
den Zugri <strong>auf</strong> die Systeme und Daten des Kunden. Der<br />
Kunde beantragt Zugrirechte für Mitarbeiter und Partner <strong>auf</strong> die<br />
Systeme und Daten.<br />
ˆ Die Zugrie bei <strong>Cloud</strong> Computing sind sehr viel komplexer, insbesondere<br />
bei IAAS. Innerhalb der IAAS-Instanz regelt der Kunden den<br />
Zugri, nicht nur der Zugangs zu dem System sondern auch der Zugri<br />
<strong>auf</strong> Dienste welche in dieser Instanz l<strong>auf</strong>en. Der initial Zugri <strong>auf</strong><br />
eine IAAS-Instanz richtet allerdings der Provider ein. Es besteht auch<br />
oft die Möglichkeit das der Consolenzugang zu den IAAS-Instanzen<br />
über das Managmentsystem der Providers zusätzlich geregelt wird.<br />
Bei PAAS und SAAS wird die Zugri <strong>auf</strong> den Dienst normal durch<br />
den Kunden geregelt, wobei die Konguration teilweise über das Managmentinterface<br />
des Providers stattndet. Neben der Zugriregelung<br />
durch den Kunden muss der Provider zusätzlich eine eigene Zugriregelung<br />
etablieren. Da anderenfalls z.B. ein Administrator welcher<br />
für den persistenten Speicher zuständig ist, Zugri <strong>auf</strong> Kundendaten
3 Analyse <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> 31<br />
bekommen kann.<br />
Es zeigt sich das <strong>Cloud</strong>-Computing ein Reihe neuer Gefahren mit<br />
sich bringt. Diese Gefahren müssen in dem zukünftigen <strong>IT</strong>-Grundschut<br />
Baustein <strong>Cloud</strong>-Computing berücksichtigt werden. Ebenfalls sollten ein <strong>IT</strong>-<br />
Sicherheitsmanagmentsystem möglichst viele dieser Gefahren entgegen wirken.<br />
Im folgenden Kapitel wird das <strong>Cloud</strong>-Computing Sicherheitsmanagmentsystem<br />
SMMaaS welches <strong>von</strong> dem <strong>Cloud</strong> Research Lab entwickelt wurde und im Paper<br />
Designing <strong>Cloud</strong> Services Adhering to Government Privacy Laws [8] veröffentlicht.<br />
3.2. Zusammenarbeit mit dem <strong>BSI</strong><br />
Um den <strong>BSI</strong> <strong>Grundschutz</strong>katalog um <strong>Cloud</strong>-spezische Gefahren oder ggf.<br />
einen <strong>Cloud</strong> Comuting Baustein zu erweitern ist eine Zusammenarbeit mit<br />
<strong>BSI</strong> notwendig. Das <strong>Cloud</strong> Research Lab der Fakultät Informatik, Hochschule<br />
Furtwangen hat sich als eines seiner Ziele gesetzt diese Lücke zu füllen. Diese<br />
Ergebnisse kann das <strong>Cloud</strong> Research Lab als neuen Bausteinentwurf in den <strong>IT</strong>-<br />
<strong>Grundschutz</strong>katalog einiessen lassen. Deshalb wurde eine Anfrage (siehe A.1.1)<br />
zur Zusamenarbeit an das <strong>BSI</strong>, Referat 114 gesendet. Das <strong>BSI</strong> stand dieser Zusammenarbeit<br />
(siehe A.1.2) positiv gegenüber. Es soll im Zuge dieser Zusammenarbeit<br />
zu regelmäÿigen Informationsaustausch zwischen dem <strong>BSI</strong> und dem <strong>Cloud</strong><br />
Research Lab kommen.
4 SMMaaS Architektur 33<br />
4. SMMaaS Architektur<br />
Die Security Managment und Monitoring as a Service (SMMaaS)-Architektur<br />
ist eine Entwicklung des <strong>Cloud</strong> Research Lab. Sie ist Teil des <strong>Cloud</strong>DataSec-<br />
Projektes, welches zum Ziel hat die Sicherheit und das Vertrauen in <strong>Cloud</strong><br />
Computing zu steigern. Diese Ziele sollen dabei mit den europäischen und nationalen<br />
Datenschutzgesetzen vereinbar sein. Die Zielgruppe bei diesem Projekt<br />
sind KMU. SMMaaS wurde erstmalig in einem Paper <strong>von</strong> Dölitzscher et al. [8]<br />
noch unter der Abkürzung SMaaS vorgestellt. Im folgenden Kapitel wird kurz die<br />
Architektur des <strong>Cloud</strong>DataSec-Projektes vorgestellt, sowie ausführlich die dar<strong>auf</strong><br />
<strong>auf</strong>bauende SMMaaS-Architektur.<br />
4.1. SMMaaS Architektur<br />
Das <strong>Cloud</strong>DataSec-Projekt sieht eine sechs Schichtenarchitektur (Abbildung 4.1)<br />
vor.<br />
Abbildung 4.1: <strong>Cloud</strong>DataSec-Schichtenarchitektur Quelle: [8]<br />
Die Schichten sind <strong>von</strong> oben Benutzer nahe nach unten Technik nahe <strong>auf</strong>gebaut.<br />
Die untersten drei Schichen Data Encryption, Logging und Encrypted<br />
Communication repräsentieren die Daten- bzw. Kommunikationsicherheit. Die<br />
Datensicherheit wird durch Verschlüsselung der Daten, sowie dem Protokollieren<br />
der Datenzugrie sichergestellt. Bei der Kommunikationsicherheit sind Techniken<br />
der Kommunikationverschüsselungen im Einsatz, so z.B. IPSEC und SSL. Die<br />
oberste Schicht Risk Analysis kann nicht mehr technisch gelöst werden sondern<br />
benötigt das Management des Kunden bzw. des CSP. Die Schicht Security<br />
Guidelines ist für das Einhalten <strong>von</strong> gesetzlichen Bestimmungen zuständig.<br />
Diese Bestimmungen werden in Regelwerken deniert, den sogenanten Security<br />
Guidelines. Die letzte Schicht QoS Monitoring sorgt dafür dass vertragliche
34 4 SMMaaS Architektur<br />
Regelungen, welche in Service Level Agreement (SLA)'s deniert sind, eingehalten<br />
werden. Hierzu muss die Schicht Zugri <strong>auf</strong> viele Informationen, wie z.B.<br />
Loggingdaten, haben. Durch diese Informationen kann ermittelt werden ob die<br />
vertraglichen Regelungen erfüllt wurden. Eine zweite Komponente welche durch<br />
das <strong>Cloud</strong>DataSec-Projekt entwickelt wurde ist das so genanten Truststufenmodell,<br />
welches bereits in Kapitel 2.5 beschrieben ist.<br />
Die SMMaaS-Architektur (Abbildung 4.2) soll die Kernkomponenten des<br />
<strong>Cloud</strong>DataSec-Projektes darstellen. Es ist ein Architekturentwurf welcher als<br />
Vorlage zur Implementierung dient. Abbildung 4.5 zeigt das originale SMaaS-<br />
Architekturdiagramm aus dem SMaaS-Paper [8]. Das Architekturdiagramm hat<br />
sich seit dem Erscheinen der Papers geändert; dies wird in Kapitel 4.3 erklärt.<br />
Abbildung 4.2: ursprüngliche SMaaS-Architekturdiagramm Quelle: [8]<br />
SMMaaS besteht selbst aus einer Reihe <strong>von</strong> Modulen, welche nachfolgende<br />
entsprechend [8] sinngemäÿ beschrieben werden:<br />
Crypto Modul Ist für das Verschlüsseln der Daten zuständig, wenn<br />
es aktiviert wird.<br />
Customer PKI Das Modul sorgt für die Benutzerauthentizierung<br />
und die Datensegmentierung.<br />
Data Leakage Prevention Modul Das Modul überwacht Datenströme.<br />
SLA Monitoring Durch dieses Modul werden QoS Attribute<br />
garantiert.<br />
Policy Modul Ist für das Kongurieren des Monitoring, den Datenzugri<br />
und den Zustand der Systeme zuständig. Des Weiteren<br />
generiert es Berichte über den Status der durch den Kunden<br />
genutzen Umgebung.
4 SMMaaS Architektur 35<br />
Logging Das Modul stellt ein nahtloses Logging <strong>von</strong> Ereignissen und<br />
Datenzugrien sicher. Es beinhaltet einen Timestamp Service um<br />
die Logeinträge fälschungssicher und den Gesetzen entsprechend<br />
zu machen.<br />
Intrusion Detection Modul Ist für das Erfassen unberechtiger Zugrie<br />
zuständig und arbeitet eng mit dem Data Leakage Prevention<br />
Modul zusammen.<br />
Die vorgestellen Module kommunizieren untereinander über ein seperates internes<br />
<strong>Cloud</strong> Netzwerk. SMMaaS hat zusätzlich eine direkte Anbindung an den Data<br />
Storage des CSP. Zur Administration und Überwachung der SMMaaS-Umgebung<br />
bietet dieses einen gesonderten VPN-Zugang für die Kunden an. Durch die<br />
Verwendung <strong>von</strong> VPN dehnt sich die Kommunikationverschlüsselung, welche<br />
SMMaaS selbst fordert und anbietet, bis zu dem Kunden aus.<br />
Im folgenden Kapitel wird beschrieben wie <strong>IT</strong>-<strong>Grundschutz</strong> Maÿnahmen<br />
die SMMaaS-Architektur beeinussen.<br />
4.2. <strong>Anwendbarkeit</strong> <strong>von</strong> <strong>IT</strong>-<strong>Grundschutz</strong> Maÿnahmen <strong>auf</strong><br />
SMMaaS<br />
Die SMMaaS Architektur kann einer Reihe <strong>von</strong> Gefahren entgegenwirken.<br />
Gefahren die hauptsächlich organisatorischer bzw. gesetzlicher Natur sind lassen<br />
sich mit der SMMaaS-Architektur nur bedingt verringern. In der folgenden Auistung<br />
sind die Gefahren gelistet, welche durch die SMMaaS-Architektur verbessert<br />
werden können.<br />
G1.15 Beeinträchtigung durch wechselnde Einsatzumgebung<br />
Im Managment Modul <strong>von</strong> SMMaaS kann der Kunde denieren ob seine<br />
Systeme <strong>auf</strong> alle Rechenzentren frei verteilt werden oder ob sich die<br />
Instanzen <strong>auf</strong> ein Rechenzentrum konzentrieren sollen. Die Truststufen<br />
Advanced und Premium schränken dies ebenfalls ein: So müssen bei<br />
diesen Stufen die Systeme in einem Rechenzentrum l<strong>auf</strong>en. Durch das Einschränken<br />
lassen sich Probleme mit unterschiedlichen Umgebungen vermindern.<br />
G2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung<br />
Das Schlüsselmanagement wird bei SMMaaS durch das Crypto- und PKI-<br />
Modul geregelt. Insbesondere der Schutz der symmetrischen Schlüssel zur<br />
Datenverschlüsselung ist stark abgesichert. Die Schlüssel liegen zwar bei
36 4 SMMaaS Architektur<br />
dem CSP sind aber verschlüsselt. Der CSP hat also keine direkten Zugri<br />
<strong>auf</strong> die Schlüssel. Die SMMaaS-Architektur sieht zusätzlich strenge<br />
Zugrisregeln vor. Es ist anzudenken das ein Administator des CSP nur<br />
temporär Zugri <strong>auf</strong> die Schlüssel und Systeme bekommt nach vorheriger<br />
Autorisierung durch den Kunden.<br />
G2.54 Vertraulichkeitsverlust durch Restinformationen<br />
Die Prozesse und Module in SMMaaS sehen ein unwiederbringliches<br />
Löschen aller Daten vor. Der Kunde kann das Löschverfahren, z.B. nach<br />
DoD-Standard, dabei im Vorhinein festlegen.<br />
G2.60 Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement<br />
Bei dieser Gefahr kann wie bei weiterrn Gefahren SMMaaS nur unterstüzend<br />
helfen. Dies geschieht indem SMMaaS ein ganzheitliches System<br />
zur Netz- und Systemüberwachung anbietet.<br />
G2.61 Unberechtigte Sammlung personenbezogener Daten<br />
Es gibt mittlerweile eine Reihe rechtlicher Bestimmungen die das personalisierte<br />
Loggen verbieten. Hier ist z.B. das Telemediengesetz zu nennen. Nach<br />
diesem dürfen die personalisierten Logdaten nur zu Abbrechnungzwecken<br />
<strong>auf</strong>bewahrt werden. Um dieser Gefahr entgegenzuwirken wird im Modul<br />
Logging eine Funktion zum Anonymisieren <strong>von</strong> Logdaten vorgesehen.<br />
Nähere Informationen dazu folgen im Kapitel 4.4.2.<br />
G2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen<br />
Zur Erkennung <strong>von</strong> Sicherheitsvorfällen nutzt die SMMaaS-Architektur<br />
mehrere Module. Diese sind das Intrusion Detection System-, Data Leakage<br />
Prevention sowie das Logging Modul. Alle diese Module überwachen ständig<br />
automatisiert sowohl die Kundeninstanzen als auch die Systeme der CSP.<br />
Zusätzlich können noch Informationen durch die Security Monitoring VM's<br />
gewonnen werden. Durch die Analyse der gewonnen Daten, in Form <strong>von</strong><br />
Logles, können Sicherheitsvorfälle erkannt und es kann <strong>auf</strong> diese reagiert<br />
werden.<br />
G2.85 Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens<br />
Diese Gefahr kann durch SMMaaS nicht komplett gelöst werden, da<br />
sie zum groÿen Teil aus vertraglichen Problemen besteht. Allerdings<br />
können durch SMMaaS technische Probleme gemildert werden. So sind in<br />
SMMaaS Prozesse vorgesehen zum Löschen <strong>von</strong> Daten bzw. dem Sichern
4 SMMaaS Architektur 37<br />
der Daten <strong>auf</strong> externe Datenträger, welche dem Kunden zugesendet werden.<br />
SMMaaS kann bei dieser Gefahr also nur ünterstützen.<br />
G2.131 Unzureichende Kontrolle <strong>von</strong> VPNs<br />
Die Zugrie mittels VPN <strong>auf</strong> das Managment <strong>von</strong> SMMaaS werden durch<br />
das Managment Modul sowie das Rechte- und Rollenmangement organisiert.<br />
So können nur Personen welche einen Account im Managment besitzen<br />
und die entsprechenden Rechte haben das VPN nutzen.<br />
G2.142 Zerstörung <strong>von</strong> Beweisspuren bei der Behandlung <strong>von</strong> Sicherheitsvorfällen<br />
Zur Beweissicherung bei Sicherheitsvorfällen wird oft empfohlen die<br />
Systeme nicht runterzufahren und keine Dateien zu löschen. Eine Funktion<br />
die dies sicherstellt ist in SMMaaS vorgesehen. Diese Funktion ist bereits<br />
in Kapitel 2.5 in dem Truststufenmodell gezeigt. Anhand dieses Modells<br />
soll bei Kunden welche Truststufe Advanced bzw. Premium nutzen<br />
automatisiert bzw. <strong>auf</strong> Veranlassung in Quarantäne verschoben werden. In<br />
dieser Quarantänenumgebung wird ein Snapshot des kompletten Systems<br />
inkl. Arbeitsspeicher erstellt und die Instanz darf desweiteren mit einem<br />
Honeypot kommunizieren.<br />
G5.20 Missbrauch <strong>von</strong> Administratorrechten<br />
Es ist vorgesehen dass die Administatoren des CSP keinen direkten Zugri<br />
<strong>auf</strong> die Kundeninstanzen bekommen. Um <strong>auf</strong> diese zugreifen zu können<br />
bedarf es der Autorisierung des Kunden. Der Zugri <strong>auf</strong> die CSP-Systeme<br />
ist ebenfalls stark reglementiert. Des Weiteren werden alle Aktionen eines<br />
Administators <strong>auf</strong> den CSP-Systemen protokolliert, sodas ein Missbrauch<br />
im Nachhinein festgestellt werden kann.<br />
Gc3 Fehlerhafte Konguration <strong>von</strong> Sicherheitsgateways durch unterschiedliche<br />
Zuständigkeiten<br />
SMMaaS kann hier wie bei der Gefahr G2.85 hauptsächlich unterstüzen.<br />
So können Regeln für die Sicherheitsgateways über einfach zu<br />
bedienendes Frontends generiert werden. Desweiteren können diese generierten<br />
Regeln sowie individuelle Regeln <strong>auf</strong> korrekten Syntax sowie <strong>auf</strong> die<br />
richtige Reihenfolge der Regeln überprüft werden. Bei Fehlern kann der<br />
Kunde informiert werden.<br />
Gc5 Fehlerhafte Zugrisregelungen <strong>auf</strong> Daten und Systeme<br />
Die Zugriregelung <strong>auf</strong> Daten und Systeme ist eine sehr wichtige Komponente<br />
zur Steigerung der Sicherheit. Dementsprechend ist eine fehlerhafte
38 4 SMMaaS Architektur<br />
Regelung sehr schädlich. So kann es durch fehlerhafte Regelungen dazu<br />
kommen dass Anwender aus der Produktion <strong>auf</strong> Daten des Managments<br />
zugreifen können. SMMaaS unterstüzt bei dieser Gefahr indem ein Rollen<br />
und Rechte Managment etabliert wird. Die Administration der Rechte- und<br />
Rollenverwaltung ist einfach gehalten, was dies noch unterstützt.<br />
4.3. SMMaaS Architektur erweitern<br />
Das SMMaaS-Architekturbild (Abbildung 4.2) hat sich seit dem Erscheinen der<br />
SMaaS-Papers [8] mehrfach geändert. Die Änderungen sind jeweils <strong>auf</strong> Anregung<br />
<strong>von</strong> anderen Wissenschaftlern (Abbildung 4.3) entstanden. Die meisten Änderungen<br />
dienten lediglich einem besseren Verständnis bzw. einer besseren Übersichtlichkeit<br />
und waren keine inhaltlichen Änderungen.<br />
Abbildung 4.3: Übersichtlicheres SMMaaS-Architekturdiagramm<br />
Durch die weitere Forschung an dem <strong>Cloud</strong>DataSec Projekt und der SMMaaS-<br />
Architektur hat das <strong>Cloud</strong> Research Lab die Architektur (Abbildung 4.4) mittlerweile<br />
strukturell verbessert. Es wurde ein neues Modul Management hinzugefügt.<br />
Dieses Modul soll in SMMaaS die einzige direkte Schnittstelle zu dem<br />
Kunden sein. Dieser kann über dieses Modul die anderen Module kongurieren<br />
und Funktionen der andern Module nutzen. Des Weiteren bekommt er mittels<br />
des Management Moduls alle Reports sowie Ereignisse <strong>von</strong> der kompletten<br />
SMMaaS-Umgebung übersichtlich dargestellt. Das Management Modul kann<br />
dabei auch komplette Prozessabläufe koordinieren und überwachen, so z.B. die<br />
Initalisierung einer SMMaaS-Umgebung für einen Kunden. Neben diesem neu<br />
hinzu gekommenen Modul haben sich die Beziehungen zwischen Modulen verän-
4 SMMaaS Architektur 39<br />
dert, d.h. es gibt mehr Beziehungen. Des Weiteren wurden die Beziehungspfeile<br />
durch Beziehungslinien ersetzt. Dies wurde durch Professoren der Faktultät Informatik<br />
angeregt, während der Vorbereitung <strong>von</strong> Frank Dölitzscher <strong>auf</strong> die 3rd<br />
IEEE International Symposium on Trust, Security and Privacy for Emerging<br />
Applications Konferenz, <strong>auf</strong> welcher unter anderem die SMMaaS-Architektur<br />
vorgestellt wurde.<br />
Abbildung 4.4: Aktuelles SMMaaS-Architekturdiagramm<br />
Neben den Änderungen durch das <strong>Cloud</strong> Research Lab hat sich im Zuge der<br />
Erstellung dieser Arbeit gezeigt, dass ein weiteres Modul bei der SMMaaS-<br />
Architektur fehlt: Das Rollen- und Rechtemangement. Diese Meinung wird<br />
durch das Buch <strong>Cloud</strong> Security and Privacy [4, Kapitel Fünf] ebenfalls vertreten.<br />
In diesem wird ein rollen- und rechte-basiertes Identitätsmangement gefordert. So<br />
wird momentan zwar die Authentizierung des Kunden durch das Management-<br />
Modul gewährleistet, jedoch ist keine Möglichkeit vorgesehen, den Zugri zu<br />
beschränken. Dies ist insbesondere wichtig da es sehr wahrscheinlich ist dass<br />
nicht nur ein Mitarbeiter des Kunden für alle Systeme und Instanzen zuständig<br />
ist. Es ist ebenfalls wahrscheinlich dass nicht alle Benutzer Zugri <strong>auf</strong> alle Komponenten<br />
und Managmentfunktionen der <strong>Cloud</strong> Umgebungen haben sollen. Es<br />
ist in den meisten Fällen da<strong>von</strong> auszugehen, dass ein Nutzer bzw. Administrator<br />
auch nur für kleine Teile der gesamten <strong>IT</strong>-Infrastruktur zuständig ist bzw. dar<strong>auf</strong><br />
Zugri hat. Desweiteren gibt es meist z.B. Beschaungsprozesse welche durch<br />
den Eink<strong>auf</strong> erledigt und durch den <strong>IT</strong>-Leiter genehmigt werden. Dies lässt sich<br />
ebenfalls nicht ohne ein Rollen- und Rechte Managment abbilden. So könnte jeder<br />
Nutzer z.B. neue Instanzen starten, was direkt mit neuen Kosten verbunden<br />
ist. Das Starten einer Instanz kommt in diesem Moment dem Beschaen eines<br />
neuen Servers gleich. Demzufolge könnten ohne ein Rollen- und Rechtemange-
40 4 SMMaaS Architektur<br />
Abbildung 4.5: erweitertes SMMaaS-Architekturdiagramm<br />
ment die intern genutzen Prozesse gestört bzw. unterl<strong>auf</strong>en werden. Von einer<br />
Integration des Rollen- und Rechtemangement in das Managment Modul ist<br />
abzuraten, da das Managment Modul als Schnittstelle zwischen dem Kunden und<br />
den spezialisierten Modulen <strong>von</strong> SMMaaS fungiert. Bei einer Integration würde<br />
das Managment Modul allerdings selbst zu einem der spezialisierten Module. Um<br />
die Rechte innerhalb <strong>von</strong> SMMaaS umsetzen zu können benötigt jedes Modul<br />
eine Autorisierungsfunktion. Die empfohlenden Änderungen sind in Abbildung<br />
4.5 dargestellt.<br />
In den folgenden Kapiteln werden einige Module der SMMaaS-Architektur detailierter<br />
deniert, die Anforderungen an diese durch den <strong>IT</strong>-<strong>Grundschutz</strong>katalog<br />
beschrieben und die Modularchitekturen jeweils einem Review unterzogen.<br />
Zunächst wird das Modul Logging im nächsten Kapitel beschrieben.<br />
4.4. Modul: Logging<br />
Logging ist eines der wichtigsten Methoden um Angrie und Zugrie <strong>auf</strong> Systeme<br />
verfolgen und analysieren zu können. Deshalb sind Logles ein wichtiger Teil<br />
der Beweissicherung nach Angrien <strong>auf</strong> Systeme. Ebenfalls sind sie ein wichtiges<br />
Mittel um die Qualtität <strong>von</strong> Diensten messen zu können. Nur durch dieses Messen<br />
ist überhaupt ein Einhalten der Anforderungen aus einem SLA möglich.<br />
Die Probleme beim Logging sollen an einem Beispiel erläutert werden:<br />
Bei einem einfachen Standalone Server liegen normalerweise sowohl die Daten des<br />
Dienstes als auch die Logles <strong>auf</strong> ein und dem selben Server. Ein Angreifen kann<br />
nun den Server kompromitieren und gleichzeitig seine Spuren verschleiern, indem<br />
er die Logles modiziert, so dass sein Angri nicht mehr zu erkennen ist. Eine<br />
solche Struktur zeigt Abbildung 4.6.
4 SMMaaS Architektur 41<br />
Abbildung 4.6: Direkter Angri <strong>auf</strong> Server in der <strong>Cloud</strong><br />
Um dem Problem der Veränderung entgegen zu wirken gibt es die Möglichkeit<br />
die Logles zentral <strong>auf</strong> einen seperaten Server zu schreiben. So halten alle Dienstserver<br />
keine Logles mehr lokal vor. Eine Veränderung der Logles ist dadurch<br />
nur noch sehr schwer möglich. Um die Logles zu modizieren müsste zusätzlich<br />
der zentrale Logserver kompromitiert werden. Allerdings kann dieses durch seine<br />
spezielle Aufgabe sehr gut abgesichert und abgeschottet werden. In Abbildung<br />
4.7 wird diese Struktur dargestellt.<br />
Allerdings ist auch dies noch kein Allheilmittel gegen die Veränderung, so ist<br />
es möglich mittels kompromitieren Server die Kommunikation zu dem zentralen<br />
Logserver zu verändern. Dies wird erleichtert, indem die Logdaten normal unverschlüsselt<br />
übertragen werden. Desweiteren bringt ein dezentraler Server das<br />
Problem der Zeitsynchronisation mit sich. Alle Server müssen die selbe Zeit haben<br />
um einen Angri <strong>auf</strong> mehrere Server in einer chronologisch korrekten Reihenfolge<br />
verfolgen zu können. Desweiteren löst ein zentraler Logserver nicht das Problem<br />
der Datenintegrität. Es ist weiterhin möglich, dass Logles verändert werden, egal<br />
ob beabsichtig oder unbeabsichtigt, ohne dass die Änderungen festgestellt werden<br />
können. Ein Teil dieser Probleme können mit den nächsten Modulen gelöst bzw.<br />
verringert werden.<br />
Im Folgenden werden die Anforderungen an Logging, welche durch den <strong>BSI</strong> <strong>IT</strong>-<br />
<strong>Grundschutz</strong> vorgegeben werden, <strong>auf</strong>gezeigt. Ebenso wird die Modularchitektur<br />
detailliert beschrieben und einem Review unterzogen.
42 4 SMMaaS Architektur<br />
Abbildung 4.7: Angri <strong>auf</strong> Server in der <strong>Cloud</strong> mit zentralem Log-Server<br />
4.4.1. Anforderungen aus dem <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong>katalog<br />
Um das Modul detailliert designen zu können müssen zunächst die Anforderungen<br />
deniert werden. Diese leiten sich hauptsächlich <strong>von</strong> den Gefahren aus dem<br />
<strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong>katalog ab. Nachfolgend sind die Gefahren aus dem <strong>IT</strong>-<br />
<strong>Grundschutz</strong>katalog (siehe Kapitel 3.1) <strong>auf</strong>gelistet, die sich direkt <strong>auf</strong> das Modul<br />
Logging beziehen.<br />
ˆ G2.54 Vertraulichkeitsverlust durch Restinformationen<br />
ˆ G2.60 Fehlende oder unzureichende Strategie für das Netz- und Systemmanagement<br />
ˆ G2.61 Unberechtigte Sammlung personenbezogener Daten<br />
ˆ G2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen<br />
ˆ G2.85 Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens<br />
ˆ G2.142 Zerstörung <strong>von</strong> Beweisspuren bei der Behandlung <strong>von</strong> Sicherheitsvorfällen<br />
ˆ G5.20 Missbrauch <strong>von</strong> Administratorrechten<br />
Durch diese Gefahren lassen sich direkt, anhand der Kreuzreferenztabelle (siehe<br />
A.2), die Massnahmen, welche für dieses Modul zutreen, ablesen. Die folgenden<br />
Massnahmen gelten für das Logging Modul.
4 SMMaaS Architektur 43<br />
ˆ M2.8 Vergabe <strong>von</strong> Zugrisrechten<br />
ˆ M2.64 Kontrolle der Protokolldateien<br />
ˆ M2.145 Anforderungen an ein Netzmanagement-Tool<br />
ˆ M2.146 Sicherer Betrieb eines Netzmanagementsystems<br />
ˆ M2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung <strong>von</strong><br />
Daten<br />
ˆ M2.169 Entwickeln einer Systemmanagementstrategie<br />
ˆ M2.170 Anforderungen an ein Systemmanagementsystem<br />
ˆ M2.307 Geordnete Beendigung eines Outsourcing-<br />
Dienstleistungsverhältnisses<br />
ˆ M2.422 Umgang mit Änderungsanforderungen<br />
ˆ M2.431 Regelung der Vorgehensweise für die Löschung oder Vernichtung<br />
<strong>von</strong> Informationen<br />
ˆ M2.432 Richtlinie für die Löschung und Vernichtung <strong>von</strong> Informationen<br />
ˆ M2.433 Überblick über Methoden zur Löschung und Vernichtung <strong>von</strong> Daten<br />
ˆ M2.434 Beschaung geeigneter Geräte zur Löschung oder Vernichtung <strong>von</strong><br />
Daten<br />
ˆ M3.2 Verpichtung der Mitarbeiter <strong>auf</strong> Einhaltung einschlägiger Gesetze,<br />
Vorschriften und Regelungen<br />
ˆ M3.10 Auswahl eines vertrauenswürdigen Administrators und Vertreters<br />
ˆ M3.33 Sicherheitsüberprüfung <strong>von</strong> Mitarbeitern<br />
ˆ M4.32 Physikalisches Löschen der Datenträger vor und nach Verwendung<br />
ˆ M4.64 Verizieren der zu übertragenden Daten vor Weitergabe / Beseitigung<br />
<strong>von</strong> Restinformationen<br />
ˆ M4.234 Geregelte Auÿerbetriebnahme <strong>von</strong> <strong>IT</strong>-Systemen und Datenträgern<br />
ˆ M6.59 Festlegung <strong>von</strong> Verantwortlichkeiten bei Sicherheitsvorfällen<br />
ˆ M6.60 Festlegung <strong>von</strong> Meldewegen für Sicherheitsvorfälle<br />
ˆ M6.66 Nachbereitung <strong>von</strong> Sicherheitsvorfällen
44 4 SMMaaS Architektur<br />
ˆ M6.127 Etablierung <strong>von</strong> Beweissicherungsmaÿnahmen bei Sicherheitsvorfällen<br />
ˆ M6.128 Schulung an Beweismittelsicherungswerkzeugen<br />
Neben den Anforderungen, welche sich aus den Massnahmen des <strong>BSI</strong> <strong>IT</strong>-<br />
<strong>Grundschutz</strong>katalog ableiten, gibt es noch weitere Anforderungen. Diese ergeben<br />
sich durch rechtliche Regelungen wie in [21] , [22], [23] und [24] beschrieben.<br />
Ebenfalls entstehen durch die SMMaaS-Architektur Anforderungen, insbesondere<br />
an die Modularisierung. Aus dem Eckpunktepapier [2] des <strong>BSI</strong> zur Informationssicherheit<br />
in <strong>Cloud</strong> Computing ergeben sich zusätzlich einige Anforderungen,<br />
sodass zusammengefasst die folgenden Anforderungen an das Modul und die Architektur<br />
gestellt werden kann.<br />
Write-once-read-many Datenspeicher<br />
Nach [21] dürfen Logles nur <strong>auf</strong> sogenannten Write-once-read-many<br />
(WORM) Speicher gesichert werden. Diese haben die Eigenschaft, dass<br />
Dateien nicht nachträglich verändert werden können, sondern neue Informationen<br />
nur an Dateien angehängt bzw. in neue Dateien geschrieben werden.<br />
Es können also Daten, wie der Name schon aussagt, nur einmal geschrieben,<br />
aber mehrmals gelesen werden. Es gibt spezielle WORM-Speichermedien,<br />
welche sehr teuer sind. Unter Linux können EXT-Filesysteme in einen reinen<br />
Append-Modus geschaltet werden, dadurch fungieren sie wie WORM-<br />
Speicher.<br />
Verschlüsselter Datenspeicher<br />
Zusätzlich zu der vorherigen Anforderung gibt es noch die Anforderung<br />
das der Datenspeicher verschlüsselt sein muss. Diese Anforderung ergibt<br />
sich aus [23], desweiteren ist diese Möglichkeit in [8] beschrieben. Durch<br />
die Verschlüsselung ergibt sich auch gleichzeitig ein Zugrisschutz <strong>auf</strong> die<br />
Logles.<br />
Autorisierung<br />
Der Zugri <strong>auf</strong> die Logles muss geregelt sein, dies hat das <strong>BSI</strong> im <strong>IT</strong>-<br />
<strong>Grundschutz</strong>katalog[25] sowie in dem Eckpunktepapier [2] vorgeschrieben.<br />
Ebenso ist dies aus Datenschutzsicht unerlässich, weil Logles oft personenbezogene<br />
Informationen enthalten. Ein Zugri <strong>auf</strong> die Logles durch Administratoren<br />
des <strong>Cloud</strong>-Service-Providers muss daher ebenfalls eingeschränkt<br />
werden.<br />
Schnittstellen zu anderen Modulen<br />
Diese Anforderung ergibt sich aus der modularisierten Struktur <strong>von</strong> SM-<br />
MaaS, wie bereits in Kapitel 4.1 beschrieben.
4 SMMaaS Architektur 45<br />
Auswertung <strong>von</strong> Logereignissen<br />
Das Auswerten der Logereignisse ist unerlässlich um Angrie <strong>auf</strong> Systeme<br />
zu erkennen, sowie die Qualitätsmerkmale, welche im SLA festgelegt sind,<br />
ermitteln zu können. Diese Anforderung ist sowohl in dem Eckpunktepapier<br />
[2], als auch in den Massnahmen des <strong>IT</strong>-<strong>Grundschutz</strong>katalogs [25] deniert.<br />
Anonymisierung<br />
Anonymisierung ergibt sich aus dem Datenschutz. Da je nach Truststufe<br />
und Vertragsverhältnis nicht die Identität des Kunden eindeutig bestimmt<br />
ist, wäre es aus Sicht des Datenschutzes unvereinbar dem Kunden personenbezogene<br />
Daten zukommen zu lassen. Desweiteren gibt es verschiedene<br />
Kunden, die keine Logles erzeugen dürfen, hier insbesondere der öentliche<br />
Bereich. Zu Abbrechnungzwecken werden die Daten allerdings eventuell<br />
trotzdem benötigt. Eine Anonymisierung der Logles vor der Auswertung<br />
kann hierbei Abhilfe schaen.<br />
Grasches Aufarbeiten der Logereignisse<br />
Diese Anforderung ist in keiner Quelle direkt beschrieben, allerdings dient<br />
die Anforderung dazu die durch Logles ermittelten Qualitätskennziern<br />
leicht verständlich darzustellen. Ebenfalls können durch diese Anforderung<br />
die Logereignisse, für Leute welche keine <strong>IT</strong>-Experten sind übersichtlich und<br />
zusammengefasst dargestellt werden.<br />
Sichere Umgebung für den Betrieb<br />
Diese Anforderung ist ebenfalls nicht direkt in den Quellen beschrieben,<br />
allerdings sieht das Eckpunktepapier [2] gewissen Mindestanforderungen<br />
an den Betrieb <strong>von</strong> <strong>Cloud</strong> Computing Umgebungen vor. Die Anforderung<br />
deniert eine isolierte und abgesicherte Umgebunge, <strong>auf</strong> welcher die Log-<br />
les sowie die Auswertung stattndet. Diese Umgebung sollte nur aus dem<br />
internen Netz des <strong>Cloud</strong> Service Providers erreichbar sein.<br />
Verschlüsselte Kommunikation<br />
Die Kommunikation zwischen den einzelnen Modulen der SMMaaS-<br />
Architektur, sowie die Kommunikation zwischen den Kundeninstanzen und<br />
dem zentralen Logserver, muss verschlüsselt stattnden, da anderenfalls<br />
das Abhören der Kommunikation als auch ein einfaches Verändern der<br />
Kommunikation möglich ist. Durch die Verschlüsselung, insbesondere durch<br />
das Signieren der zu übertragenden Daten, kann also die Datenintegrität<br />
sichergestellt werden. Desweiteren kann durch die Verschlüsselung auch eine<br />
Authentizierung zwischen den einzelnen Komponenten stattnden. Diese<br />
Anforderung ist in dem Eckpunktepapier des <strong>BSI</strong>'s deniert [2].
46 4 SMMaaS Architektur<br />
Timestamp Signatur<br />
Eine weitere Anforderung ist das Signieren der Logereignisse mit einem<br />
qualiziertem Zeitstempel. Diese Anforderung wird in [21] sowie in<br />
[9] beschrieben. Durch diese Anforderung kann die Datenintegrität der<br />
Logereignisse sichergestellt werden, da durch die Signatur eine Veränderung<br />
leicht feststellbar ist. Desweiteren ist eine Identikation der Instanz <strong>von</strong><br />
der ein Logereigniss kommt eindeutig zu identizieren. Durch das Hinzufügen<br />
eines qualizierten Zeitstempels vor dem Signieren ist der Zeitpunkt<br />
des Logereigniss eindeutig. Durch diese Zeitstempel kann zuverlässig ein<br />
zeitlicher Abl<strong>auf</strong> <strong>von</strong> Logereignissen hergestellt werden.<br />
Mandantenfähigkeit<br />
Mandatenfähigkeit ist eines der wichtigsten Anforderungen, welche direkt<br />
durch <strong>Cloud</strong> Computing entstehen. Nur durch diese Eigenschaft ist eine<br />
klare Trennung der Logdaten zwischen den Kunden gewährleistet. Die Anforderung<br />
meint, das die Systeme so konzipiert sind, dass <strong>auf</strong> einem System<br />
mehere Kunden komplett <strong>von</strong>einander getrennt aggieren können. Eine<br />
Software, die dieses Konzept umsetzt, ist z.B. SAP Netweaver. Diese Anforderung<br />
ist in den meisten Papers sowie Veröentlichungen zu <strong>Cloud</strong><br />
Computing zu nden, so z.B. in dem <strong>BSI</strong> Eckpunktepapier [2] und dem<br />
SMMaaS-Paper [8].<br />
Im folgenden Abschnitt werden detailliert alle Bausteine erklärt, aus welcher das<br />
Modul Logging der SMMaaS-Architektur bestehen sollen.<br />
4.4.2. Architekturdesign<br />
Anhand der Anforderung ergeben sich ein Reihe <strong>von</strong> Bausteinen für das Modul<br />
Logging. Diese wird in einer Layerarchitektur (Abbildung 4.8) dargestellt.<br />
Wobei der oberste Layer Bausteine darstellt, welche mit anderen Modulen aggieren.<br />
Die Bausteine <strong>auf</strong> dem untersten Layer sind techniknahe Bausteine,<br />
sie entsprechen meist realen <strong>IT</strong>-Komponenten, wie z.B. ein Storagesystem oder<br />
einer speziellen VM. Die Bausteine, die gleichnamig ebenfalls als Modul in<br />
der SMMaaS-Architektur vorkommen, sind in der Regel Schnittstellen zu den<br />
entsprechenden Modulen. Manche dieser Bausteine verarbeiten die Daten teilweise<br />
und bereiten sie für die Kommunikation mit den entsprechenden Modulen<br />
vor.<br />
Die Bausteine werden im Folgenden nur <strong>auf</strong>gelistet und später in diesem Kapitel<br />
noch detailliert erklärt.<br />
ˆ Storage-Modul
4 SMMaaS Architektur 47<br />
ˆ Authorisierung<br />
ˆ PKI-Modul<br />
ˆ Logereignis-Analysator<br />
ˆ Generator <strong>von</strong> Störmeldungen<br />
ˆ Policy-Modul<br />
ˆ Ereignisempfänger<br />
ˆ Daten-Anonymisierer<br />
ˆ Grascher Logereignis-Analysator<br />
ˆ Logging Virtual Maschine<br />
ˆ Datenverschlüsselung<br />
Abbildung 4.8 zeigt, wie bereits erwähnt, das Architekturdiagramm des Modul<br />
Logging. Die Gröÿe der Bausteine in der Darstellung steht dabei in keinem<br />
Zusammenhang mit dem Funktionsumfang eines Bausteins. Die Bausteine Policy,<br />
PKI und Datenverschlüsselung nutzen die Schnittstellen zu den entsprechenden<br />
Modulen. Der Baustein zur Kommunikationsverschlüsslung ist keine Schnittstelle<br />
für das Krypto-Module sondern es ist ein eigenständiger Baustein.<br />
Abbildung 4.8: Architekturdiagramm für das Logging-Modul<br />
Im Folgenden werden die einzelnen Bausteine detailliert beschrieben:<br />
Storage-Baustein<br />
Der Storage-Baustein hat die Aufgabe die Logles persistent zu speichern.<br />
Der Speicherbereich für die Logles soll als WORM-Speicher realisiert werden.<br />
In welcher Form der Storage realisiert ist muss für den Baustein transparent<br />
sein. Es ist also egal, ob der Storage in Form eines Distributed File
48 4 SMMaaS Architektur<br />
System (DFS), wie z.B. Lustre, oder als Storage Area Network (SAN) oder<br />
auch in Form einer Datenbank, realisiert ist. Das Storage-Modul, welches<br />
hinter dem Baustein steht kann die Daten ebenfalls verschlüsselt abspeichern,<br />
sofern es für den Baustein transparent ist. Die Verschlüsselung der Daten<br />
in dem Storage-Modul ist keine zwingende Anforderung. Das Logging-<br />
Modul selbst verschlüsselt durch den Datenverschlüsselungs-Baustein die<br />
Logdaten, bevor diese an den Storage-Baustein weitergeleitet werden.<br />
Autorisierung<br />
Der Autorisierungs-Baustein dient dazu den Benutzern, welche bereits<br />
durch das Management-Modul identiziert und authentiziert wurden,<br />
entsprechende Zugrisrechte <strong>auf</strong> das Logging-Modul zu ermöglichen. Die<br />
Rechte der Benuters werden in der Rollen- und Rechteverwaltung der SM-<br />
MaaS-Architektur deniert. Ebenfalls genehmigt dieser Baustein die Zugrie,<br />
welche <strong>von</strong> anderen System bzw. Instanzen kommen. Hierdurch wird<br />
auch sichergestellt das nur die Instanzen des Kunden <strong>auf</strong> den Logserver des<br />
Kunden Logereignisse schreiben können.<br />
PKI-Baustein<br />
Der PKI-Baustein ist wie bereits beschrieben eine Schnittstelle zu dem<br />
PKI-Modul. Mit Hilfe dieses Bausteins werden die Logereignisse mit einem<br />
Timestamp sowie einer Signatur versehen. Es zeigt sich, dass dieser Baustein<br />
eine hohe Netzwerklast erzeugen wird. Da die Logereignisse zuerst an das<br />
PKI-Modul gesendet und anschlieÿend wieder <strong>von</strong> diesem empfangen werden<br />
müssen. Ebenfalls ermöglicht dieser Baustein den Zugri <strong>auf</strong> die Zertikate,<br />
welche das PKI-Modul vorhält. Diese werden z.B. für die Kommunikationsverschlüsselung<br />
benötigt. Der Baustein bietet andere Bausteine<br />
mehrere Schnittstellen an, so z.B. für das Signieren <strong>von</strong> Logereignissen oder<br />
dem Abrufen <strong>von</strong> Zertikaten.<br />
Logereignis-Analysator<br />
Der Logereignis-Analysator analysiert Logereignisse, die anhand <strong>von</strong><br />
Regeln, welche durch den Policy-Baustein vorgegeben werden, deniert sind.<br />
Desweiteren werden die Logereignisse zusammengefasst und korreliert. Es<br />
werden zusätzlich in diesem Baustein anhand der Logereignisse Messwerte<br />
ermittelt, welche für das SLA-Management sowie zu Abbrechnungzwecken<br />
verwendet werden können. Damit die Ergebnisse durch die anderen Module<br />
und Bausteine weiterverarbeitet werden können, werden sie in einer<br />
generischen strukturierten Datenstruktur, wie z.B. XML, gesichtert und<br />
weitergeleitet. Die Daten werden z.B. an den Störungsmeldungsgenerator<br />
sowie den graschen Logereignis-Analysator weitergeleitet. Der Analysator
4 SMMaaS Architektur 49<br />
bietet eine Schnittstelle für den Ereignisempfänger an. Die Daten werden<br />
im Logging-Modul direkt verabeitet um die Netzwerklast zu anderen Modulen<br />
geringer zu halten. Auÿerdem lässt sich so der Zugri <strong>auf</strong> die Logles<br />
besser regelmentieren und die Logles besser absichern.<br />
Generator <strong>von</strong> Störmeldungen<br />
Der Störungsmeldungsgenerator ermittelt anhand der Ergebnisse des<br />
Logereignis-Analysator, ob gegen Regeln aus dem Policy-Baustein verstoÿen<br />
wird. Wenn dies der Fall ist werden Nachrichten an das Management-<br />
Modul versendet, sowie je nach Konguration auch Alarmierungen per E-<br />
Mail versandt. Der Generator bietet daher selbst eine Schnittstelle für den<br />
Logereignis-Analysator an. Desweiteren nutzt der Baustein Schnittstellen<br />
des Management-Moduls sowie des Policy-Baustein.<br />
Policy-Baustein<br />
Der Policy-Baustein ist für die Analyseregeln der Analysatoren des Logging-<br />
Modules zuständig. Er bietet eine Schnittstelle für Management <strong>von</strong> SM-<br />
MaaS. Die Regeln, welche in dem Mangement-Modul deniert sind, werden<br />
<strong>von</strong> dem Baustein vereinheitlicht und normiert. Die Regeln werden dann<br />
Analysatoren sowie dem Störungsmeldungsgenerator zur Verfügung gestellt.<br />
In welcher Form die Regeln abgesichert werden ist nicht festgelegt, sie muss<br />
aber für das ganze Module einheitlich implementiert werden. Verwendung<br />
<strong>von</strong> Complex Event Processing (CEP)-Framework ist hier als sinnvoll zu<br />
erachten um auch verteilte Angrie erkennen zu können.<br />
Ereignisempfänger<br />
Dieser Baustein entspricht einem Log-Daemon. Er bietet die Schnittstelle<br />
zum Empfangen der Logereignisse an. Zusammen mit dem Autorisierungs-<br />
Baustein ltert dieser Baustein ebenfalls, dass nur Logereignisse<br />
<strong>von</strong> Instanzen angenommen werden, für welche die Instanz des<br />
Logging-Moduls zuständig ist. Ebenfalls arbeit der Baustein mit<br />
dem Kommunikationsverschlüsselungs-Baustein zusammen, damit die<br />
Logereignisse auch verschlüsselt empfangen werden können. Das Empfangen<br />
<strong>von</strong> unverschlüsselten Logereignissen sollte nicht zugelassen werden.<br />
Nach dem Empfangen normalisiert der Baustein die Logereignisse und reicht<br />
sie an den PKI-Baustein weiter, damit die Logereignisse mit einem<br />
Zeitstempel und einer Signatur versehen werden können. Eventuell müssen<br />
die Logereignisse vorher noch an den Daten-Anonmysierer weitergereicht<br />
um die Logereignisse zu anonymisieren.<br />
Daten-Anonymisierer
50 4 SMMaaS Architektur<br />
Dieser Baustein ist für das Anonymisieren <strong>von</strong> den Logereignissen<br />
zuständig. Der Baustein kann z.B. die IP-Adressen oder die Nutzernamen<br />
aus den Logereignissen entfernen. Dies ist wie bereits beschrieben nicht<br />
immer notwendig. Ob die Daten anonymisiert werden müssen entscheidet<br />
das Management-Modul. Damit die Logereignisse anonymisiert werden<br />
können, bietet der Daten-Anonymisierer Schnittstellen für den Bausteinen<br />
Ereignisempfänger an.<br />
Grascher Logereignis-Analysator<br />
Der grasche Logereignis-Analysator wertet die zusammengefassten Ergebnisse<br />
des Logereignis-Analysator aus. Die Daten werden weiter zusammengefasst,<br />
so dass sie grasch <strong>auf</strong>bereitet werden können. Der Kunde<br />
kann vorher mittels des Management-Moduls festlegen, welche Informationen<br />
ihm im Management Interface dargestellt werden soll. Damit die<br />
Daten dann nach Kundenwünschen grasch <strong>auf</strong>bereitet werden könne,<br />
müssen die entsprechenden Informationen <strong>von</strong> dem Policy-Baustein angefragt<br />
werden. Die Informationen können in Diagrammen dargestellt werden.<br />
Diese Graken und Diagramme werden dann an das Management-Modul<br />
versendet, damit der Kunde diese anschauen kann. Der Baustein selbst bietet<br />
eine Schnittstelle für den Logereignis-Analysator an und nutzt einige<br />
anderen Schnittstellen.<br />
Logging Virtual Maschine<br />
Das Logging-Modul soll als spezielle VM realisiert werden. Es bendet sich<br />
in einer Subcloud des CSP, welche nur für Mangementzwecke genutzt wird.<br />
Die VM muss besonders abgesichert sein, diea beinhaltet nicht nur ein<br />
gehärtetes System sondern auch eine Abschottung <strong>von</strong> der restlichen <strong>Cloud</strong>-<br />
Umgebung. Dies kann durch eine restriktive kongurierte Firewall sowie<br />
durch den Einsatz eines privaten Managementnetzwerkes passieren. Die<br />
Logging-VM enthält dabei die ersten drei Layer des Modules. Die Logles<br />
sowie die Kongurationsdateien werden persistent <strong>auf</strong> einem Storagesystem<br />
gesichert. Hierdurch kann die Logging-VM im Falle eines Defekts am Host-<br />
System innerhalb kurzer Zeit, durch Starten einer neuen Instanz, wieder<br />
mit allen Daten verfügbar sein. Ebenfalls ist es hierdurch leichter möglich<br />
die Logging-VM's zu patchen bzw. zu verändern.<br />
Datenverschlüsselung<br />
Der Baustein Datenverschlüsselung dient der Ver- und Entschlüsselung der<br />
Logles bevor sie an den Storage-Baustein weitergegeben werden. Es ist<br />
somit neben dem Storage-Baustein der zentrale Baustein für den Zugri<br />
<strong>auf</strong> die Logles. Es werden Schnittstellen für mehrere andere Bausteine des
4 SMMaaS Architektur 51<br />
Moduls angeboten. Die Schlüssel, welche der Baustein für die Verschlüsselung<br />
nutzen soll, werden <strong>von</strong> dem Kryptograe-Modul angefragt. Es werden<br />
dabei zur besseren Perfomance symmetrische Algorithmen verwendet.<br />
Im folgenden Abschnitt wird das Architekturdesign des Modules nochmal einem<br />
Review unterzogen und überprüft, ob alle Anforderungen erfüllt wurden.<br />
4.4.3. Architekturreview<br />
Die Architektur deckt alle Anforderungen an das Modul ab. So ist der Einsatz<br />
<strong>von</strong> WORM-Speichern vorgesehen, allerdings kann dieser nicht direkt im<br />
Logging-Modul realisiert werden, sondern muss im Storage-Modul verlagert<br />
werden. Die Anforderung an einen verschlüsselten Datenspeicher wird durch<br />
den Datenverschlüsselungs-Baustein abgedeckt, wobei die tatsächliche Umsetzung<br />
nicht im Logging-Modul, sondern im Krypto-Modul stattndet. Die Autorisierung<br />
wird direkt durch den Baustein Autorisierung übernommen, jedoch<br />
dieser Baustein nur die Autorisierung des Logging-Moduls realisiert. Es werden,<br />
wie bereits in Kapitel 4.4.2 erwähnt, mehrere Schnittstellen <strong>von</strong> anderen<br />
Bausteinen und Modulen verwendet. Ebenso bieten eine Reihe <strong>von</strong> Bausteinen<br />
Schnittstellen für andere Baustein und Module an. Die Modularisierung, welche<br />
im SMMaaS-Paper gefordert wird, ist dadurch ebenfalls sichergestellt. Eine<br />
Auswertung <strong>von</strong> Logereignissen und Logles, welches eine der Kernfunktionen<br />
des Logging-Moduls ist, ist durch mehrere Bausteine realisiert. Diese sind<br />
der Logereignissen-Analysator, der grasche Logereignissen-Analysator sowie der<br />
Generator <strong>von</strong> Störmeldungen. Alle drei werden dabei direkt durch den Policy<br />
Baustein unterstüzt. Das Anonymisieren <strong>von</strong> Logdaten ist ebenfalls durch<br />
den Daten-Anonymisierer-Baustein vorgesehen. Eine weitere Anforderung war<br />
die sichere Kommunikation zwischen Modulen, hierfür wurde extra der Baustein<br />
Kommunikationverschlüsselung etabliert. Dieser Baustein ist direkt für die<br />
Kommunikationsverschlüsselung zuständig und nutzt nicht das Krypto-Modul.<br />
Sie hat den Vorteil, dass die Netzwerklast sowie die Last des Kryptograe-Moduls<br />
erheblich reduziert wird. Das Signieren <strong>von</strong> Logereignissen sowie das Versehen<br />
der Ereignisse mit einem qualizierten Zeitstempel ist durch den PKI-Baustein<br />
sichergestellt. Die Mandatenfähigkeit sowie der Betrieb einer sicheren Umgebung<br />
für das Logging-Modul sind gemeinsam durch den Logging-VM-Baustein<br />
abgedeckt. So sind die Logging-VM's in einer stark abgesicherten und isolierten<br />
Umgebung innerhalb des Netzes des <strong>Cloud</strong> Service Providers angesiedelt. Desweitern<br />
ist es vorgesehen, dass jeder Kunde ab einer entsprechenden Truststufe eine<br />
eigene Logging-VM bekommt. Zusätzlich betreibt der <strong>Cloud</strong> Server Provider noch<br />
ein eigenes Loggingsystem. Wie sich zeigt, deckt das Logging-Modul die meis-
52 4 SMMaaS Architektur<br />
ten Anforderungen aus dem <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong>katalog allerdings nicht alle ab.<br />
Insbesondere die Anforderungen, welche sich aus dem Massnahmenkatalog M2<br />
Organisation herleiten, können nicht komplett technisch gelöst werden. Massnahmen<br />
wie z.B. M2.431 Regelung der Vorgehensweise für die Löschung oder<br />
Vernichtung <strong>von</strong> Informationen müssen durch eine Anpassung in der Orgnisationsstruktur<br />
und den Geschäftabläufen realisiert werden.<br />
Bevor das Modul implementiert werden kann müssen die Schnittstellen sowie die<br />
Datenformate festgelegt werden. Ebenfalls sollten die Prozesse und Abläufe vor<br />
der Implementierung festgelegt und festgehalten werden.<br />
Im folgenden Kapitel wird das Modul PKI sowie deren Architektur und Anforderungen<br />
näher betrachtet.<br />
4.5. Modul: Customer PKI<br />
PKI ist ein wichtiges Element zur Erstellung und Verwaltung <strong>von</strong> Zertikaten.<br />
Zertikate spielt in <strong>Cloud</strong> Computing eine wichtige Rolle, so dienen sie zur Authentizierung<br />
<strong>von</strong> Personen gegenüber dem Managementsystem. Desweiteren<br />
können diese Zertikate mit ihren asymmetrischen Schlüsselpaaren zur Verschlüsselung<br />
der Kommunikation zwischen den einzelnen Systemen dienen. Die Vorteile<br />
einer PKI soll im Folgenden an dem Beispiel <strong>von</strong> Kapitel 4.4 erklärt werden,<br />
hierzu wird das Beispiel nochmals <strong>auf</strong>gegrien und weitergeführt:<br />
Abbildung 4.9: Angri <strong>auf</strong> Server in der <strong>Cloud</strong> mit zentralem Log-Server und<br />
PKI, Kommunikationverschlüsselung
4 SMMaaS Architektur 53<br />
Nun kennt man die Vorteile <strong>von</strong> dem zentralen Log-Server, wodurch sich schon<br />
weniger Problem ergeben. Durch eine PKI lassen sich die Probleme, welche noch<br />
bei dem Logging bestehen, lösen. Man stellt nun die <strong>Cloud</strong>-Umgebung noch eine<br />
PKI zur Seite wie in Abbildung 4.9 zu sehen ist. Diese ist ebenfalls komplett<br />
nach auÿen abgeschottet und ist besonders abgesichert. So kann nun feststellen<br />
werden ob gespeicherte Logdaten verändert wurden, indem den Logdaten ein Signatur<br />
anhängen wird. Wenn es also ein Angreifer dennoch schat die Logdaten<br />
zu verändern, kann das System dies feststellen und den Nutzer informieren. Doch<br />
die PKI bringt noch mehr Vorteile. So muss eine PKI eine sichere Zeitquelle<br />
besitzen damit sie auch qualizierte Zeitstempel erstellen kann. Dadurch, das<br />
man nun alle Logdaten direkt bei dem Eintreen mit einem Zeitstempel versehen<br />
und die Daten signieren lässt, haben die Logdaten immer die richtige Zeit. Eine<br />
Zeitsychronisation der Server ist nicht mehr dringend notwendig, allerdings immer<br />
noch wünschenswert. Doch es gibt ein weiteres Problem, das die Kommunikation<br />
abgehört und verändert werden kann. Auch dabei hilft eine PKI, denn mittels der<br />
Schlüsselpaaren, die die PKI verteilt, kann man die Kommunikation zwischen den<br />
Instanzen und dem Logserver verschlüsseln. Ein Angreifer kann zwar die Kommunikation<br />
mithören, aber er kann keine Informationen daraus gewinnen. Ebenso<br />
wenig kann der Angreifer die Kommunikation verändern, denn die veränderten<br />
Daten müsste er zunächst mit dem Originalschlüssel neu verschlüsseln und er<br />
müsste wissen, an welcher Stelle in dem Datenstrom er die neuen Informationen<br />
einpegen muss. Spätestens die zweite Information, also die Position in dem<br />
Datenstrom, kann der Angreifen nicht feststellen. Doch weiterhin existiert eine<br />
Problem, denn ein Angreifer, welcher in den Logserver eindringt, kann die Logdaten<br />
lesen und eventuell Informationen wie Kundenname etc. daraus ableiten.<br />
Dies kann momentan noch nicht sinnvoll gelöst werden.<br />
Im folgenden Abschnitt werden die Anforderungen, insbesondere diese, welche<br />
sich aus dem <strong>IT</strong>-<strong>Grundschutz</strong>katalog ergeben, an eine PKI beschrieben.<br />
4.5.1. Anforderungen aus dem <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong>katalog<br />
Wie bereits in Kapitel 4.4.2 beschrieben werden die Anforderungen an das Modul<br />
in diesem Abschnitt beschrieben. Neben den Anforderungen, welche sich durch<br />
den <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong>katalog ergeben, gelten hier ebenfalls Anforderungen aus<br />
dem deutschen Signaturgesetz [12]. Natürlich ergeben sich auch Anforderungen<br />
aus der Architektur <strong>von</strong> SMMaaS. Im Folgenden werden die Gefahren aus dem<br />
<strong>IT</strong>-<strong>Grundschutz</strong>katalog (Beschreibung siehe Kapitel 3.1), welche sich direkt <strong>auf</strong><br />
das Modul PKI beziehen, <strong>auf</strong>gelistet.<br />
ˆ G1.15 Beeinträchtigung durch wechselnde Einsatzumgebung
54 4 SMMaaS Architektur<br />
ˆ G2.19 Unzureichendes Schlüsselmanagement bei Verschlüsselung<br />
ˆ G2.54 Vertraulichkeitsverlust durch Restinformationen<br />
ˆ G2.62 Ungeeigneter Umgang mit Sicherheitsvorfällen<br />
ˆ G2.85 Unzureichende Regelungen für das Ende des Outsourcing-Vorhabens<br />
ˆ G2.142 Zerstörung <strong>von</strong> Beweisspuren bei der Behandlung <strong>von</strong> Sicherheitsvorfällen<br />
Die folgenden Massnahmen vermindern bzw. lösen die oben <strong>auf</strong>gelisteten<br />
Gefahren. Sie ergeben sich anhand der erstellten Kreuzreferenztabellen (siehe<br />
A.2), wobei die Massnahmen, die sich nicht direkt <strong>auf</strong> das Modul beziehen, weggelassen<br />
sind.<br />
ˆ M2.1 Festlegung <strong>von</strong> Verantwortlichkeiten und Regelungen<br />
ˆ M2.12 Betreuung und Beratung <strong>von</strong> <strong>IT</strong>-Benutzern<br />
ˆ M2.46 Geeignetes Schlüsselmanagement<br />
ˆ M2.164 Auswahl eines geeigneten kryptographischen Verfahrens<br />
ˆ M2.165 Auswahl eines geeigneten kryptographischen Produktes<br />
ˆ M2.307 Geordnete Beendigung eines Outsourcing-<br />
Dienstleistungsverhältnisses<br />
ˆ M4.64 Verizieren der zu übertragenden Daten vor Weitergabe / Beseitigung<br />
<strong>von</strong> Restinformationen<br />
ˆ M4.234 Geregelte Auÿerbetriebnahme <strong>von</strong> <strong>IT</strong>-Systemen und Datenträgern<br />
ˆ M6.23 Verhaltensregeln bei Auftreten <strong>von</strong> Schadprogrammen<br />
ˆ M6.59 Festlegung <strong>von</strong> Verantwortlichkeiten bei Sicherheitsvorfällen<br />
ˆ M6.60 Festlegung <strong>von</strong> Meldewegen für Sicherheitsvorfälle<br />
ˆ M6.66 Nachbereitung <strong>von</strong> Sicherheitsvorfällen<br />
ˆ M6.127 Etablierung <strong>von</strong> Beweissicherungsmaÿnahmen bei Sicherheitsvorfällen<br />
Es gibt, wie bereits erwähnt, nicht nur Anforderungen, welche sich direkt durch<br />
den <strong>IT</strong>-<strong>Grundschutz</strong>katalog ergeben, sondern auch gesetzliche und architektonische<br />
Anforderungen. Insbesondere die Anforderungen bzw. Einschränkungen, die<br />
das deutsche Signaturgesetz [12] mit einbringen müssen, beachtet werden.
4 SMMaaS Architektur 55<br />
True Random Number Generator<br />
Zufallszahlen werden in vielen Bereichen der Kryptograe genutzt, so<br />
z.B. als Initialvektor oder bei dem Die-Hellmann-Alghorithmus. Deshalb<br />
haben alle Betriebssysteme Zufallszahlengeneratoren implementiert. Ein<br />
Computer kann allerdings keine echten Zufallszahlen erzeugen. Alle Zufallszahlen<br />
beruhen <strong>auf</strong> Algorithmen, deshalb ist es möglich Zufallszahlen<br />
vorherzusagen und damit teilweise auch die kryptograschen Algorithmen<br />
zu brechen, die diese verwenden. Daher werden die Zufallszahlengeneratoren<br />
in einem Computer immer als Pseudo Random Number Generator<br />
(PRNG) bezeicht. Da bei <strong>Cloud</strong> Computing an sehr vielen Stellen Kryptograe<br />
verwendet wird, ist ein echter Zufallszahlengenerator zu bevorzugen.<br />
Dieser ist in der Regel durch entsprechende zusätzliche Komponenten,<br />
welche meist mittels einem physikalischen Zufall Zufallszahlen erzeuge, realisiert.<br />
Diese sogenannten True Random Number Generator (TRNG) können<br />
mittlerweile mehrere MB/s an Zufallszahlen erzeugen, so dass wenige<br />
dieser Komponenten für ein Einsatz in einer <strong>Cloud</strong> Computing Umgebung<br />
genügen. Ein Einsatz dieser Komponenten wurde bereits im Paper<br />
[9] erklärt. Die Massnahmen M2.164, M2.165 des <strong>IT</strong>-<strong>Grundschutz</strong>katalog<br />
beschreibt nicht direkt den Einsatz <strong>von</strong> TRNG. Allerdings können die Massnahmen<br />
entsprechend verstanden werden.<br />
Sicherer Speicher für die Zertikate<br />
Die Zertikate, insbesondere das Wurzelzertikat, müssen abgesichert und<br />
persistent gespeichert werden. Durch den Verlust bzw. die Kompromittierung<br />
des Wurzelzertikat wird es notwendig die CA mit dem Wurzelzertikat<br />
und allen ausgestellten Zertikaten zurückzurufen und anschlieÿend<br />
komplett neu auszurollen. Sie beinhaltet einen groÿen personellen und<br />
zeitlichen Aufwand. Desweiteren ist es nicht so einfach möglich Zertikate<br />
in den Kundeninstanzen ohne das Wissen und das Einverständnis des Kunden<br />
auszutauschen. Ein verschlüsseltes abspeichern der Zertikate ist daher<br />
dringend zu empfehlen um sie vor dem ungewollten Zugri zu schützen.<br />
Diese Anforderung wird im Signaturgesetz [12, Ÿ5 Abs. 4] deniert und<br />
kann daher nicht vernachlässigt werden.<br />
Autorisierung für die Nutzung der PKI<br />
Ebenso wie bei dem Logging-Modul soll auch bei der PKI eine Autorisierung<br />
stattnden. Dies ist hier besonders wichtig, da <strong>auf</strong> die einzelnen Bereiche<br />
nur wenige bzw. überhaupt keine Personen zugreifen sollen. Der Zugri<br />
<strong>auf</strong> die CA sowie die RA darf nicht durch natürliche Personen stattnden,<br />
sondern ausschlieÿlich automatisiert.
56 4 SMMaaS Architektur<br />
Sichere Umgebung für die PKI<br />
Eine sichere Umgebung ist für dieses Modul ebenso wichtig wie für das<br />
Logging-Modul. Die Notwendigkeit, dass das PKI-Modul in einer sicheren<br />
Umgebung läuft, zeigt bereits die Anforderung sicherer Speicher für die<br />
Zertikate.<br />
Nutzung <strong>von</strong> sicheren Algorithmen<br />
Diese Anforderung ist direkt durch den <strong>IT</strong>-<strong>Grundschutz</strong>katalog [25]<br />
abgedeckt. Die Anforderung ndet sich direkt in der Massnahme M2.164<br />
wieder. Ebenso verlangt das Signaturgesetz [12, Ÿ5 Abs.5] die Verwendung<br />
<strong>von</strong> zuverlässigen Produkten. Dies kann nur durch den Einsatz <strong>von</strong> sicheren<br />
Algorithmen ermöglicht werden. Es ist allerdings neben der allgemeinen<br />
Sicherheit der Algorithmen auch <strong>auf</strong> die verwendte Schlüssellänge zu achten.<br />
Da z.B. die Zertikate teilweise sehr lange L<strong>auf</strong>zeiten haben kann es<br />
durch neue Angrismethoden <strong>auf</strong> kryptographische Algorithmen sowie die<br />
weitere massiv steigende Rechenleistung dazu kommen, dass Algorithmen<br />
mit kurzen Schlüsselen als unsicher gelten. Da viele Algorithmen mit verschieden<br />
langen Schlüsseln umgehen können, sollen z.B. für Zertikate eher<br />
lange Schlüssel verwendet werden.<br />
Sichere Kommunikation<br />
Im Modul PKI ist die Verschlüsselung ebenso wie bei dem Modul Logging<br />
sehr wichtig. Da in diesem Modul auch private Schlüssel zu anderen Instanzen<br />
und Modulen versendet werden, ist eine Kommunikationsverschlüsselung<br />
unerlässig. Falls dies nicht gegeben ist kann es unter Umständen<br />
dazu kommen, dass die Kommunikation abgehört wird und damit ebenfalls<br />
kompromitiert wird.<br />
Sichere Zeitquelle<br />
Eine sichere Zeitquelle ist eine grundlegende Vorrausetzung um qualizierte<br />
Zeitstempel erstellen zu können. Da wie bei dem Modul Logging bereits<br />
erwähnt alle Logereignisse mit einem Zeitstempel versehen werden,<br />
muss diese Anforderung sichergestellt werden. Die Anforderung kann durch<br />
entsprechende externe Zeitquelle realisiert werden. Die Anforderung an zuverlässige<br />
Zeitquellen entspricht dem Signaturgesetz [12, Ÿ9] um qualizierte<br />
Zeitstempel erstellen zu können.<br />
Signaturerstellung<br />
Wie bereits in der Modularchitektur <strong>von</strong> dem Module Logging erwähnt<br />
muss das Modul PKI Signaturen erstellen können. Diese Signaturen dienen<br />
der Identizierung sowie der Datenintegrität. Diese Anforderung ergibt sich
4 SMMaaS Architektur 57<br />
aus der Architektur <strong>von</strong> SMMaaS, sowie allgemein in der Verwendung <strong>von</strong><br />
Zertikaten, die jeweils mit einer Signatur unterschrieben sind.<br />
Lange L<strong>auf</strong>zeit der Zertikate<br />
Diese Anforderung bezieht sich insbesondere <strong>auf</strong> das Wurzelzertikat. Ein<br />
Wechsel dieses Zertikats ist sehr <strong>auf</strong>wendig und oft problematisch. Für<br />
das Managementsystem ist es ebenfalls sinnvoll, da ein Austauschen der<br />
Zertikate in allen Modulen und den Instanzen ebenfalls sehr <strong>auf</strong>wendig ist<br />
und die Zusammenarbeit mit den Kunden bedarf.<br />
Verwalten <strong>von</strong> Sub-CA mit Einschränkung <strong>auf</strong> einen X.500 Teilbaum<br />
Dies ist eine Anforderung, welche nach dem Paper [9] nicht <strong>auf</strong> alle Kunden<br />
zutreen muss. Der <strong>Cloud</strong> Service Provider betreibt selbst eine CA um<br />
Zertikate für eigene Systeme und Personen auszustellen. Eine zusätzliche<br />
Idee hinter dieser Anforderung ist, dass Kunden, welche nicht die niedrigste<br />
Truststufe wählen, eine eigene Sub-CA <strong>von</strong> der Provider CA bekommen.<br />
So kann der Provider bei Beendigung der Verträge das Sub-CA-Zertikat<br />
zurückrufen, wodurch gleichzeitig alle <strong>von</strong> der Sub-CA signierten Zertikate<br />
ungültig werden. Desweiteren hat der Kunde eine bessere Kontrolle über<br />
seine Zertikate und dadurch einen sicherern Zugri <strong>auf</strong> Systeme, da die<br />
Systeme so bei der Initalisierung so konguriert werden, dass die Sub-CA<br />
des Kunden mit in die Zertikatskette <strong>auf</strong>genommen wird. Die Nutzung<br />
<strong>von</strong> Zertikaten, die nicht <strong>von</strong> der Sub-CA kommen, schlagen somit wegen<br />
fehlerhaften Zertikatsketten fehl. Für Kunden, welche die niedrigste Truststufe<br />
wählen und <strong>von</strong> daher nur Testsysteme betreiben bzw. Systeme, welche<br />
keine Sicherheitsanforderungen haben, werden alle Zertikate direkt <strong>von</strong><br />
der CA der Providers ausgestellt. Dadurch ist nicht die vorher beschriebene<br />
Sicherheit gewährleistet, allerdings kann auch hierbei der Provider alle Zertikate<br />
nach der Vertragsbeendigung zurückrufen.<br />
Austauschen <strong>von</strong> Zertikaten und Sub-CA's<br />
Der Austausch ist wie bereits beschrieben mit einem hohem Aufwand verbunden.<br />
Denoch kann der Fall <strong>auf</strong>tretten, wenn z.B. das Wurzelzertikat<br />
kompromittiert wird. Daher muss das Modul PKI diesen Fall abdecken.<br />
Diese Anforderung ist eine allgemeine Anforderung an eine PKI. Bei <strong>Cloud</strong><br />
Computing muss allerdings der <strong>Cloud</strong> Service Provider in Zusammenarbeit<br />
mit den Kunden den Austausch vornehmen.<br />
Erstellen, Erneuern und Verteilen <strong>von</strong> CRL's<br />
Die Verwaltung <strong>von</strong> Rückruisten ist ebenfalls eine allgemeine Anforderung<br />
an eine PKI. Zusätzlich ist das Sperren <strong>von</strong> Zertikaten eine Anforderung
58 4 SMMaaS Architektur<br />
des Signaturgesetzes [12, Ÿ8]. Es müssen die CRL's erstellt und vor allem<br />
veröentlicht werden. Es können hier auch andere Technologien verwendet<br />
werden durch die die Sperrung <strong>von</strong> Zertikaten veröentlicht wird.<br />
Schnittstellen für Logging und Krpyto-Module sowie dem <strong>Cloud</strong>-Management<br />
Schnittstellen zu anderen Bausteinen und Modulen sind notwendig<br />
um eine modulare Architektur sicherzustellen. Diese Anforderung beruht<br />
<strong>auf</strong> der Architektur <strong>von</strong> SMMaaS [8].<br />
Das Signaturgesetz bringt, wie die Auistung zeigt, eine Reihe <strong>von</strong> Anforderungen<br />
mit sich. Wenn der <strong>Cloud</strong> Service Provider eine oziell akkreditierte PKI<br />
betreiben will, also als Zertizierungsdiensteanbieter <strong>auf</strong>tritt, gelten eine Reihe<br />
weiterer Anforderungen, wie z.B. bauliche Massnahmen, Haftung, sowie das treen<br />
einer Deckungsvorsorge für Schäden. Wenn die PKI allerdings nur für den<br />
internen Betrieb der <strong>Cloud</strong> genutzt wird, tritt der <strong>Cloud</strong> Service Provider nicht als<br />
Zertizierungsdiensteanbieter <strong>auf</strong>. Dies ist ebenso der Fall, da das Geschäftmodell<br />
des <strong>Cloud</strong> Service Providers nicht das Verk<strong>auf</strong>en <strong>von</strong> Zertikaten ist.<br />
Im folgenden Abschnitt wird die Architektur und die einzelnen Bausteine des<br />
PKI-Moduls detailliert beschrieben.<br />
4.5.2. Architekturdesign<br />
Der grundsätzliche Aufbau des Architekturdiagramms (Abbildung 4.10) ist<br />
der selbe wie der des Logging-Moduls in Kapitel 4.4.2. Allerdings ist der<br />
Zertikatsmanagement-Baustein in diesem Modul keine Schnittstelle zu anderen<br />
Modulen, sondern ist ein eigenständiger Baustein, welcher Schnittstellen für andere<br />
Module zur Verfügung stellt. Die untersten Layer sind wie bei dem Modul<br />
Logging technische Komponenten. Das Modul beinhaltet Bausteine, welche in<br />
ähnlicher Art und Weise im nächsten Modul Krypto-Modul <strong>auf</strong>treten werden.<br />
Die Bausteine unterscheiden sich hierbei in erster Linie darin das bei dem PKI-<br />
Modul nur asymmetrische Kryptoalgorithmen genutzen werden. Dem steht das<br />
Krypto-Modul gegenüber, das nur symmetrische Kryptoalgorithmen verwendet.<br />
Die Bausteine bauen <strong>auf</strong> den Anforderungen des voherigen Kapitels <strong>auf</strong> und werden<br />
im Folgenden detailliert erklärt:<br />
Storage-Baustein<br />
Der Storage-Baustein hat die selben Anforderungen und den Aufbau wie<br />
bereits im Kapitel 4.4.2 erkärt. Allerdings wird in diesem Modul kein<br />
WORM-Speicher gefordert. Bei diesem Baustein steht die Verfügbarkeit<br />
und die Datensicherheit im Vordergrund, weshalb eine zusätzliche Sicherung
4 SMMaaS Architektur 59<br />
Abbildung 4.10: Architekturdiagramm für das PKI-Modul<br />
der Daten wünschenswert ist. Eine zusätzliche Verschlüsselung <strong>auf</strong> Storageebene<br />
dringend notwendig. Eine Sicherung der Daten darf ebenfalls nur<br />
verschlüsselt stattnden.<br />
Datenverschlüsselungs-Baustein<br />
Der Datenverschlüsselungs-Baustein hat die selbe Aufgabe wie bei dem<br />
Module Logging. Die Nutzung ist ebenfalls die selbe.<br />
Autorisierungs-Modul<br />
Der Autorisierungs-Baustein hat ebenfalls die selben Aufgaben wie bei dem<br />
Modul Logging, jedoch sind die Autorisierungsmöglichkeiten in diesem<br />
Modul weitreichender. So regelt der Baustein nicht nur den Zugri <strong>auf</strong> Zertikate<br />
sondern regelt auch, welche Instanz bzw. Person überhaupt Zerti-<br />
kate beantragen darf. Der Baustein übernimmt also zusammen mit dem<br />
Management-Modul <strong>von</strong> SMMaaS die Aufgabe einer RA.<br />
Zeit-Baustein<br />
Der Zeit-Baustein sorgt dafür, dass das PKI-Modul immer eine zuverlässige<br />
Zeit hat. Dies kann mittels Network Time Protocol (NTP) aber auch<br />
über Funk (DCF77) passieren. Wobei die letze Methode problematisch sein<br />
kann, denn zum einem muss das Funksignal im Rechenzentrum empfangen<br />
werden können und zum anderen muss das Empfangsgerät durch die<br />
Virtualisierungschicht an die VM's weitergeleitet werden. Dieser Baustein<br />
ist auch dafür zuständig den anderen Bausteinen und Modulen die Zeit<br />
vorzugeben, dafür besitzt der Baustein eine Schnittstelle. Dieser Baustein<br />
wird benötigt um z.B. Logereignisse mit einem Zeitstempel zu versehen.<br />
Hash-Baustein<br />
Der Baustein dient dem Berechnen der Hashes <strong>von</strong> Daten. Hierzu muss der<br />
Baustein eine Schnittstelle zum Empfangen der Daten anbieten. Welche
60 4 SMMaaS Architektur<br />
Hash-Funktionen verwendet werden, muss durch das Management-Modul<br />
deniert werden. Es sollen mehrere Hash-Algorithmen in verschieden langen<br />
Ausführungen angeboten werden. Dabei muss <strong>auf</strong> die Verwendung <strong>von</strong><br />
sicheren Algorithemen wie z.B. Secure Hash Alghorithm (SHA) geachtet<br />
werden. Da Hash-Funktionen oft in der Kryptograe eingesetzt werden muss<br />
dieser Baustein oft mit anderen Bausteinen zusammenarbeiten.<br />
Asym. Kryptographie-Baustein<br />
In diesem Baustein ndet das Ver- und Entschlüsseln <strong>von</strong> Daten, sowie<br />
das Berechnen <strong>von</strong> Signaturen statt. Es werden dazu in diesem Modul<br />
nur asymmetrische Algorithmen verwendet. Der Baustein bietet andern<br />
Bausteinen und Modulen dazu eine Schnittstelle an. Ebenso wie bei dem<br />
Hash-Baustein werden die möglichen Algorithmen durch das Management-<br />
Modul vorgegeben und ebenso ist auch in diesem Baustein <strong>auf</strong> die Verwendung<br />
<strong>von</strong> sicheren Algorithmen, z.B. RSA, zu achten. Da dieser Baustein direkt<br />
die kryptographischen Algorithemen verwendet, erstellt dieser Baustein<br />
in Zusammenarbeit mit dem Hash- und Zufallszahlen-Baustein und <strong>auf</strong> Anforderungen<br />
des Zertikatsmanagements die Zertikate.<br />
Revocation-Baustein<br />
Der Baustein Revocation ist für die Rückruisten der CA zuständig. Er<br />
erstellt und erneuert die Rückruisten. Zusätzlich ist der Baustein auch<br />
für die Veröentlichung zuständig. Die Ruckrüisten sind üblicherweise in<br />
Form <strong>von</strong> CRL's realisiert. Diese CRL's werden mittels eines Webservers<br />
zur Verfügung gestellt. Die CRL's haben immer einen Zeitraum, in dem<br />
sie gültig sind. Clients beziehen die CRL's in einem regelmäÿigen Abstand,<br />
welcher kleiner sein muss als die Gültigkeitsdauer. Wenn Zertikate während<br />
diesem Zeitraum zurückgerufen werden, bekommen die Clients dies erst mit<br />
dem erneuten Beziehen der CRL mit. Daher gibt es neben dieser gängigen<br />
Technik noch eine zusätzliche, welche eine weite Verbreitung ndet, sie<br />
heiÿt OCSP. Für OCSP benötigt der Server einen extra Daemon, welcher<br />
für die Anfragen zuständig ist. Bei OCSP wird die Gültigkeit eines Zerti-<br />
kates bei jeder Benutzung eines Zertikates online am OCSP-Server erfragt.<br />
Die Clients sind also bereits bei den nächsten Nutzungen eines Zertikates<br />
darüber informiert, dass es zurückgerufen wurde und können die<br />
Benutzung des Zertikates verweigern.<br />
Logging-Baustein<br />
Dieser Baustein ist eine Schnittstelle für das Modul Logging. Der Baustein<br />
protokolliert alle Zugrie und Aktionen, welche in dem PKI-Modul stattnden<br />
und sendet diese an das Logging-Modul. Die Logereignisse werden
4 SMMaaS Architektur 61<br />
nicht, obwohl es möglich wäre, vor dem Versenden an das Logging-Modul<br />
mit einem Zeitstempel und Signatur versehen. Die passiert erst, wenn das<br />
Logging-Modul die Logereignisse an das PKI-Modul schickt zum signieren.<br />
Dies steigert zwar die Netz- und Systemlast, allerdings ist dafür der Prozess<br />
bei allen Modulen der selbe. Desweiteren wäre es nicht sinnvoll direkt die<br />
Logereignisse zu signieren, da das Logging-Modul die Ereignisse erst noch<br />
normalisiert.<br />
Zufallszahlen-Baustein<br />
Der Baustein Zufallszahlen erstellt echte Zufallszahlen, dazu nutzt er einen<br />
zusätzlichen Zufallszahlengenerator. Dieser kann echte Zufallszahlen <strong>auf</strong> Basis<br />
eines z.B. physikalischen Eektes erzeugen. Andere Baustein können<br />
diese Zufallszahlen über Schnittstellen dieses Bausteins abfragen.<br />
Zertikatsmanagement<br />
Das Zertikatsmanagement ist für das Organsieren, Verwalten der Zertikate,<br />
Certicate Signing Request (CSR) und der CA zuständig. Der<br />
Baustein biete Schnittstellen für andere Bausteine und Module an, über<br />
welche CSR gestellt bzw. erzeugt werden können. Auÿerdem können<br />
über diese Schnittstellen System- und Personenzertikate sowie die CA-<br />
Zertikate abgerufen werden. Ein Exportieren <strong>von</strong> kompletten Schlüsselpaaren<br />
ist in geschützer Form (PKCS12-Format) ebenfalls möglich. Das<br />
Zertikatsmanagement ist während der Initalisierung des Moduls auch für<br />
das Beantragen und Importieren der Sub-CA zuständig.<br />
PKI-Management-VM<br />
Die PKI-Management-VM ist wie bei dem Modul Logging eine besonders<br />
abgesicherte und isolierte VM, welche direkt einem Kunden zugeordnet ist.<br />
Der Kunde hat allerdings keinen direkten Zugri <strong>auf</strong> die VM, der Kunde<br />
kann die Funktionen der VM und des dar<strong>auf</strong> l<strong>auf</strong>enden Moduls PKI allerdings<br />
über die Managementschnittstellen nutzen. Die Verwaltung der VM<br />
übernimmt der <strong>Cloud</strong> Service Provider, dieser kümmert sich auch um das<br />
Patch- und Änderungsmanagement.<br />
Kommunikationsverschlüsselungs-Baustein<br />
Dieser Baustein ist wie bei dem Modul Logging ein eingenständiger<br />
Baustein, welcher für die verschlüsselte Kommunikation zwischen den Modulen<br />
zuständig ist.
62 4 SMMaaS Architektur<br />
4.5.3. Architekturreview<br />
Die Architektur des PKI-Modules deckt die meisten der Anforderungen ab. Die<br />
Anforderung an echte Zufallszahlen kann durch den Zufallszahlen-Baustein erfüllt<br />
werden, da dieser Zugri <strong>auf</strong> spezielle Zufallszahlengeneratoren hat. Ein sicherer<br />
persistenter Speicher für die Zertikate lässt sich ebenso wie bei dem Module-<br />
Logging problemlos durch den Storage- und Datenverschlüsselungs-Baustein realisieren.<br />
Da die PKI-Managment-VM auch eine absicherte und isolierte Umgebung<br />
bietet und der Zugang zu der VM sehr streng reglementiert ist, wird der Zugri <strong>auf</strong><br />
den persistenen Speicher zusätzlich gesichert. Die VM erfüllt auch gleichzeitig die<br />
Anforderung nach einer sicheren Umgebung. Die Autorisierung <strong>auf</strong> die einzelnen<br />
Funktionen und Bausteine des Moduls lassen sich mittels des Autorisierungs-<br />
Bausteins sicherstellen, wobei die Regeln für die Autorisierung im Rollen- und<br />
Rechtemanagement stattndet. Die Kommunikation zwischen den Modulen wird<br />
ebenfalls, wie bei dem Logging-Modul, komplett verschlüsselt. Dazu dient der<br />
Kommunikationverschlüsselungs-Baustein. Die Anforderungen nach einer korrekten<br />
Zeitangabe, wird komplett erfüllt indem der Zeit-Baustein die korrekte Zeit<br />
bezieht. Dies kann der Baustein sogar über mehrere Wege, so dass ein Angri<br />
<strong>auf</strong> diese Komponente sehr erschwert wird. Die Erstellung <strong>von</strong> Signaturen war<br />
die Anforderung an das PKI-Modul, welches selbstverständlich erfüllt wird. Die<br />
Bausteine asymmetrische Kryptograe und Hash stellen sicher, dass Signaturen<br />
erstellt werden können. Die Anforderung Verwaltung <strong>von</strong> Sub-CA mit<br />
Einschränkung <strong>auf</strong> einen X.500 Teilbaum wird durch das Modul erfüllt, wobei<br />
die Nutzung eines X.500 Teilbaums <strong>von</strong> der Truststufe des Kunden abhängt.<br />
Die Verwaltung und auch die Absicherung <strong>auf</strong> einen X.500 Teilbaum wird durch<br />
das Zertikatsmanagement sichergestellt. Die Anforderung an Schnitte für andere<br />
Modul ist selbstverständlich, da anderenfalls die Interaktion mit andern Modulen<br />
nicht funktionieren würde.<br />
Die Anforderungen lange L<strong>auf</strong>zeit der Zertikate und Nutzung <strong>von</strong> sicheren Alghorithmen<br />
lassen sich nicht komplett durch das Modul PKI abdecken. Die Algorithmen<br />
müssen im PKI-Modul implementiert werden um überhaupt genutzen<br />
werden zu können. Aus Kompatiblitätsgründen müssen allerdings nicht nur Algorithmen,<br />
welche momentan als sicher gelten, implementiert werdne, sondern auch<br />
welche, die bereits heute als unsicher gelten. Desweiteren wird im Management<br />
Modul festgelegt bei welcher Aktion welche Algorithmen verwendet werden sollen.<br />
Eine Fehlkonguration an dieser Stelle hat daher ebenfalls Auswirkungen <strong>auf</strong> die<br />
Anforderung. Die lange L<strong>auf</strong>zeit bringt ebenfalls einige Probleme mit sich. Wenn<br />
Zertikate mit einer Dauer <strong>von</strong> zehn Jahren und mehr erstellt werden, kann es<br />
passieren, dass in der Zwischenzeit die verwendeten Algorithmen gebrochen wer-
4 SMMaaS Architektur 63<br />
den können bzw. als unsicher gelten. Auf der anderen Seite muss der Aufwand,<br />
dass Zertikate ausgetauscht werden, bei Zertikaten mit langer L<strong>auf</strong>zeit nicht<br />
hoch ist. Die L<strong>auf</strong>zeit wird hierbei ebenfalls durch das Management-Modul festgelegt.<br />
Durch zusätzliche Maÿnahmen im Management-Modul können beide Anforderungen<br />
dann erfüllt werden. Eine weitere Anforderung, welche sich nicht<br />
komplett durch das PKI-Modul lösen lässt, ist der Austausch <strong>von</strong> Zertikaten.<br />
Der Austausch <strong>von</strong> Zertikaten für die Kommunikation im Bereich <strong>von</strong><br />
SMMaaS lässt sich weitestgehend automatisieren, aber der Austausch der Zertikate<br />
für den Zugang zu Instanzen lässt sich nicht komplett automatisieren.<br />
Dies beruht <strong>auf</strong> dem Problem, dass der <strong>Cloud</strong> Service Provider keinen Zugang zu<br />
den Kundeninstanzen haben soll. Daher benötigt das PKI-Modul für den Austausch<br />
eine Autorisierung durch den Kunden. Aus Sicherheitsgründen könnte der<br />
CRL-Baustein noch angepasst werden. Die Veröentlichung der CRL und das<br />
Anbieten eines OCSP-Service können zusätzliche Angripunkte <strong>auf</strong> die PKI-VM<br />
darstellen. Eine Auslagerung der CRL und des OCSP-Service <strong>auf</strong> einem gesonderten<br />
Server würde hier Abhilfe schaen. Dieser Server sollte auch nicht in der<br />
selben sicheren Umgebung l<strong>auf</strong>en wie die PKI-VM.<br />
Im Zuge einer Bachelorthesis [26] an der Hochschule Furtwangen, Fakultät Informatik<br />
wurde ein System zur Kommunikationverschlüsselung in <strong>Cloud</strong>s entwickelt.<br />
Ein Bestandteil dieser Entwickelung ist eine PKI-Management Komponenten.<br />
Die Komponente könnte mit ein paar Erweiterungen im Funktionsumfang<br />
als Baustein Zertikatsmanagement genutzt werden.<br />
Im folgenden Kapitel ndet ein Review der SMMaaS-Architektur statt.<br />
4.6. SMMaaS Architekturreview<br />
Die SMMaaS-Architektur mildert, wie die letzen Kapitel zeigen, eine Reihe<br />
der Gefahren ab. Allerdings lassen sich Gefahren wie z.B. G1.10 Ausfall eines<br />
Weitverkehrsnetzes oder G2.1 Fehlende oder unzureichende Regelungen nicht<br />
damit lösen. Bei diesen handelt es sich zum groÿen Teil um Gefahren aus dem<br />
Gefahrenkatalog G2 Organisatorische Mängel. Wie auch schon in Kapitel 4.2<br />
beschrieben kann SMMaaS bei einigen Gefahren nur unterstützend wirken. Die<br />
Module Logging und PKI sind genauer untersucht und decken jeweils die meisten<br />
Anforderungen ab. Dadurch lassen sich die Gefahren welche <strong>auf</strong> die Module<br />
wirken reduzieren. Um eine endgültige Aussage treen zu können ob SMMaaS wie<br />
beschrieben alle Gefahren beseitigen kann bedarf es noch einer genaueren Untersuchung<br />
der Module. Ebenso müssen die Module detailierter designt werden. Es<br />
deuten sich allerdings schon einige Verbesserungsideen an. So kann durch eine<br />
Erweiterung der Logleanalyse um eine CEP-Engine das Erkennen <strong>von</strong> Sicher-
64 4 SMMaaS Architektur<br />
heitsvorfällen verbessert werden. Ebenso ist es zu überlegen ob die SMMaaS-<br />
Architektur für den CSP angepasst werden kann, damit SMMaaS als zentrales<br />
Netzwerk und Systemmanagement fungiert. Dies hätte den Vorteil dass sowohl<br />
der Kunde als auch der CSP die selbe Umgebung nutzen. Hierdurch kann das Vertrauen<br />
des Kunden in den CSP und SMMaaS gesteigert werden. Zur leichteren<br />
Umstellung <strong>auf</strong> eine Providervariante <strong>von</strong> SMMaaS kann das vorhandene Netzund<br />
Systemmanagement über Schnittstellen und APIs integriert werden. Bisher<br />
sind noch keine Teile <strong>von</strong> SMMaaS implementiert weshalb sich keine Aussagen treen<br />
lassen ob sich bei der Implementierung weitere Gefahren herausstellen. Eine<br />
Implementierung eines Rollen- und Rechtemangement ist im Zuge einer Bachelorthesis<br />
[27] für <strong>Cloud</strong>IA entstanden. Diese Implementierung kann mit einigen<br />
Anpassungen und Erweiterungen als Modul Rollen- und Rechtemangement in<br />
SMMaaS integriert werden.
5 Fazit 65<br />
5. Fazit<br />
5.1. Zusammenfassung<br />
Nach dem Abschluss dieser Thesis zeigt sich das <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> bereits<br />
viele Gefahren, welche durch <strong>Cloud</strong> Computing entstehen, kennt. Ebenso hat sich<br />
gezeigt das noch nicht alle Gefahren abgedeckt werden. Diese fehlenden Gefahren<br />
wurden dar<strong>auf</strong>hin beschrieben. Während der Erstellung dieser Thesis entstand<br />
eine Zusammenarbeit zwischen dem <strong>BSI</strong> und dem <strong>Cloud</strong> Research Lab mit dem<br />
Ziel einen Bausteinentwurf <strong>Cloud</strong> Computing zu erstellen.<br />
Desweiteren wurde die Sicherheitarchitektur SMMaaS vorgestellt. Sowohl die<br />
Weiterentwicklungen als auch die Architektur wurde erklärt. Bei der Analyse<br />
der <strong>IT</strong>-<strong>Grundschutz</strong> Gefahren, welche durch SMMaaS gelöst werden können, und<br />
den begleitender wissenschaftlicher Arbeiten, stellte sich heraus das die Funktionalität<br />
Rollen- und Rechtemanagement fehlte. Die SMMaaS-Architektur wurde<br />
um diese Funktion erweitert.<br />
Im folgenden wurden detailiert die Module Logging und PKI vorgestellt.<br />
Es wurden die Gefahren und Maÿnahmen, aus dem <strong>IT</strong>-<strong>Grundschutz</strong>katalog,<br />
welche sich <strong>auf</strong> die Module auswirken dargelegt. Dar<strong>auf</strong> Aufbauend wurden Anforderungen<br />
an die Module deniert. Im Anschluÿ wurden die Module detailiert<br />
designt und erklärt. Alle Module und die SMMaaS-Architektur wurdem jeweils<br />
einem Review unterzogen. Bei diesem wurde besonders <strong>auf</strong> die Einhaltung<br />
aller Anforderungen geachtet. Während des Erstellens dieser Thesis fand weitere<br />
Bachelor-Thesen statt. Die Implementierung aus diesen Thesen decken bereits<br />
Teilbereich der Module <strong>von</strong> SMMaaS ab.<br />
5.2. Ausblick<br />
Durch die Analyse der <strong>BSI</strong>-Gefahren hat sich bereits ein Teil der notwendigen Informationen<br />
für den Baustein <strong>Cloud</strong> Computing ergeben. Mit Hilfe dieser Informationen<br />
und durch weitere Arbeiten kann ein Bausteinentwurf <strong>Cloud</strong> Computing<br />
entstehen. Hierzu müssen die Gefahren sowie die Maÿnahmen genau deniert<br />
werden. Dies muss in Zusammenarbeit mit dem <strong>BSI</strong> geschehen.<br />
Des Weiteren muss die Entwicklung an der SMMaaS-Architektur weitergeführt<br />
werden. Es müssen die restlichen Module genau deniert und designt werden.<br />
Dabei ist <strong>auf</strong> ein möglichst modulares und exibles Design zu achten. Neben der<br />
Denierung aller Module muss an der Implementierung <strong>von</strong> neuen Baustein und<br />
der Anpassung vorhandener Bausteine gearbeitet werden.
Literaturverzeichnis 67<br />
Literaturverzeichnis<br />
[1] A. D. Essoh. (2009, Nov.) It-grundschutz und cloud computing.<br />
[Online]. Available: http://www1.gi-ev.de/leadmin/<br />
gliederungen/fb-sec/Dateien_FG_SECMGT/Workshop_2009-11-20/<br />
Essoh_20-11-2009-<strong>Cloud</strong>-Computing-SECMGT.pdf<br />
[2] <strong>BSI</strong>-Mindestsicherheitsanforderungen an <strong>Cloud</strong>-Computing-Anbieter,<br />
Draft ed., Bundesamt für Sicherheit in der Informationstechnik,<br />
Godesberger Allee 185-189, 53175 Bonn, 2010. [Online]. Available:<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/Publikationen/<br />
Sonstige/<strong>Cloud</strong>_Computing_Mindestsicherheitsanforderungen.pdf?__<br />
blob=publicationFile#download=1<br />
[3] K. Beckers and J. Jürjens, Security and compliance in clouds,<br />
Fraunhofer ISST, Tech. Rep., Oct. 2010. [Online]. Available: http:<br />
//inky.cs.tu-dortmund.de/main2/jj/publications/papers/isse10.pdf<br />
[4] T. Mather, S. Kumaraswamy, and S. Latif, <strong>Cloud</strong> Security and Privacy An<br />
Enterprise Perspective on Risks and Compliance, 1st ed. O'Reilly, Oct.<br />
2009.<br />
[5] (2009) Security guidance for critical areas of focus in cloud computing v2.1.<br />
[Online]. Available: http://www.cloudsecurityalliance.org/csaguide.pdf<br />
[6] D. W. Streitberger. (2009, Nov.) <strong>Cloud</strong>-computing-sicherheit taxonomie<br />
der sicherheitsaspekte und herausforderungen für die it-sicherheit. [Online].<br />
Available: http://www1.gi-ev.de/leadmin/gliederungen/fb-sec/Dateien_<br />
FG_SECMGT/Workshop_2009-11-20/Streitberger_S<strong>IT</strong>_MUC_SST_<br />
GI_SECMGT_WS_v3.pdf<br />
[7] (2009) <strong>Cloud</strong> computing - benets, risks and recommendations for information<br />
security. [Online]. Available: http://www.enisa.europa.eu/act/rm/les/<br />
deliverables/cloud-computing-risk-assessment/at_download/fullReport<br />
[8] F. Doelitzscher, C. Reich, and A. Sulistio, Designing cloud services adhering<br />
to government privacy laws, <strong>Cloud</strong> Research Lab, Hochschule Furtwangen,<br />
Robert-Gerwig-Platz 1 ,78120 Furtwangen, Tech. Rep. CRL-2010-02,<br />
Mar. 2010. [Online]. Available: http://www.wolke.hs-furtwangen.de/assets/<br />
downloads/CRL-2010-02.pdf<br />
[9] M. Thomas, Sicherheitsmodul zur Datenverschlüsselung in der <strong>Cloud</strong>,<br />
2010th ed., ser. InformatikJournal. Robert-Gerwig-Platz 1 ,78120 Furtwangen:<br />
Fakultät Informatik, Hochschule Furtwangen, 2010, pp. 1321.
68 Literaturverzeichnis<br />
[10] P. Mell and T. Grance. (2009, Jul.) Nist denition of cloud computing.<br />
[Online]. Available: http://csrc.nist.gov/groups/SNS/cloud-computing/<br />
cloud-def-v15.doc<br />
[11] Wikipedia, Kryptographie wikipedia, die freie enzyklopädie,<br />
2010. [Online]. Available: http://de.wikipedia.org/w/index.php?title=<br />
Kryptographie&oldid=81423628<br />
[12] Signaturgesetz vom 16. mai 2001, BGBl. I S. 876, 2001, zuletzt geändert<br />
durch Artikel 4 des Gesetzes vom 17. Juli 2009 (BGBl. I S. 2091).<br />
[Online]. Available: http://www.gesetze-im-internet.de/bundesrecht/sigg_<br />
2001/gesamt.pdf<br />
[13] <strong>BSI</strong>-Standard 100-1: Managementsysteme für Informationssicherheit<br />
(ISMS), 1st ed., Bundesamt für Sicherheit in der Informationstechnik,<br />
Godesberger Allee 185-189, 53175 Bonn, 2008. [Online]. Available:<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/Publikationen/<br />
<strong>IT</strong><strong>Grundschutz</strong>standards/standard_1001.pdf?__blob=publicationFile<br />
[14] <strong>BSI</strong>-Standard 100-2: <strong>IT</strong>-<strong>Grundschutz</strong>-Vorgehensweise, 2nd ed., Bundesamt<br />
für Sicherheit in der Informationstechnik, Godesberger<br />
Allee 185-189, 53175 Bonn, 2008. [Online]. Available:<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/Publikationen/<br />
<strong>IT</strong><strong>Grundschutz</strong>standards/standard_1002.pdf?__blob=publicationFile<br />
[15] <strong>BSI</strong>-Standard 100-3: Risikoanalyse <strong>auf</strong> der Basis <strong>von</strong> <strong>IT</strong>-<strong>Grundschutz</strong>,<br />
2nd ed., Bundesamt für Sicherheit in der Informationstechnik,<br />
Godesberger Allee 185-189, 53175 Bonn, 2008. [Online]. Available:<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/Publikationen/<br />
<strong>IT</strong><strong>Grundschutz</strong>standards/standard_1003.pdf?__blob=publicationFile<br />
[16] <strong>BSI</strong>-Standard 100-4 Notfallmanagement, 1st ed., Bundesamt<br />
für Sicherheit in der Informationstechnik, Godesberger<br />
Allee 185-189, 53175 Bonn, 2008. [Online]. Available:<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/Publikationen/<br />
<strong>IT</strong><strong>Grundschutz</strong>standards/standard_1004.pdf?__blob=publicationFile<br />
[17] Bsi-standards, [Online; Stand 7. November 2010]. [Online]. Available:<br />
https://www.bsi.bund.de/Content<strong>BSI</strong>/Publikationen/<strong>BSI</strong>_Standard/<br />
it_grundschutzstandards.html<br />
[18] C. Weinhardt, A. Anandasivam, B. Blau et al., <strong>Cloud</strong>-computing,
Literaturverzeichnis 69<br />
WIRTSCHAFTSINFORMATIK, vol. 51, pp. 453462, 2009. [Online].<br />
Available: http://dx.doi.org/10.1007/s11576-009-0192-8<br />
[19] Baustein virtualisierung, Online, in der Informationstechnik, Bundesamt<br />
für Sicherheit, Tech. Rep., Mar. 2010. [Online]. Available:<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/<strong>Grundschutz</strong>/<br />
Download/Vorabversionen/baustein_virtualisierung_entwurf.pdf?__<br />
blob=publicationFile<br />
[20] Baustein terminalserver, Online, in der Informationstechnik, Bundesamt<br />
für Sicherheit, Tech. Rep., Mar. 2010. [Online]. Available:<br />
https://www.bsi.bund.de/SharedDocs/Downloads/DE/<strong>BSI</strong>/<strong>Grundschutz</strong>/<br />
Download/Vorabversionen/baustein_terminalserver_entwurf.pdf?__<br />
blob=publicationFile<br />
[21] C. Lammers, Revisionssicheres logging <strong>von</strong> systemen und anwendungen und<br />
deren auswertung, Master's thesis, Hochschule Furtwangen, Robert-Gerwig-<br />
Platz 1 ,78120 Furtwangen, Dec. 2008.<br />
[22] <strong>Cloud</strong> computing - evolution in der technik, revolution<br />
im business, Albrechtstraÿe 10 A, 10117 Berlin-Mitte, Oct.<br />
2009. [Online]. Available: http://www.bitkom.org/les/documents/<br />
B<strong>IT</strong>KOM-Leitfaden-<strong>Cloud</strong>Computing_Web.pdf<br />
[23] A. Böken. (2010, Jun.) <strong>Cloud</strong> computing und <strong>auf</strong>tragsdatenverarbeitung.<br />
[Online]. Available: http://www.linuxtag.org/2010/leadmin/<br />
www.linuxtag.org/slides/Arnd%20Boeken%20-%20<strong>Cloud</strong>-Computing%<br />
20und%20Auftragsdatenverarbeitung.pdf<br />
[24] T. Weichert. (2010, Jun.) <strong>Cloud</strong> computing und datenschutz. [Online].<br />
Available: https://www.datenschutzzentrum.de/cloud-computing/<br />
[25] B. für Sicherheit in der Informationstechnik, Ed., <strong>IT</strong>-<strong>Grundschutz</strong>-Kataloge,<br />
el. 11 ed. Postfach 10 05 34, 50455 Köln: Bundesanzeiger-Verlag,<br />
Nov. 2009. [Online]. Available: https://www.bsi.bund.de/SharedDocs/<br />
Downloads/DE/<strong>BSI</strong>/<strong>Grundschutz</strong>/Download/it-grundschutz-kataloge_<br />
2009_EL11_de.pdf?__blob=publicationFile<br />
[26] P. Seeburger, Kommunikationssicherheit in clouds, Master's thesis,<br />
Hochschule Furtwangen, Robert-Gerwig-Platz 1 ,78120 Furtwangen, Oct.<br />
2010.
70 Literaturverzeichnis<br />
[27] T. Rübsamen, Rechtemanagement in der cloud design und implementierung<br />
eines benutzermanagements für cloudia, Master's thesis, Hochschule<br />
Furtwangen, Robert-Gerwig-Platz 1 ,78120 Furtwangen, Aug. 2010.
Ich versichere, dass ich die vorstehende Arbeit selbständig verfasst und hierzu<br />
keine anderen als die angegebenen Hilfsmittel verwendet habe. Alle Stellen der<br />
Arbeit die wörtlich oder sinngemäÿ aus fremden Quellen entnommen wurden,<br />
sind als solche kenntlich gemacht. Die Arbeit wurde bisher in gleicher oder<br />
ähnlicher Form in keinem anderen Studiengang als Prüfungsleistung vorgelegt<br />
oder an anderer Stelle veröentlicht. Ich bin mir bewusst, dass eine falsche<br />
Erklärung rechtliche Folgen haben kann.<br />
Der Verfasser versichert, dass die beiliegende CD-ROM und alle dar<strong>auf</strong> enthaltenen<br />
Bestandteile (Dateien) <strong>auf</strong> Viren überprüft und kein schädlicher,<br />
ausführbarer Code enthalten ist.<br />
Ort, Datum, Unterschrift
A Anhang 73<br />
A. Anhang<br />
A.1. <strong>BSI</strong> Korrespodenz<br />
A.1.1. E-Mail an das <strong>BSI</strong><br />
Sehr geehrte Damen und Herren,<br />
wir kontaktieren Sie bezüglich Ihrer aktuellen Erweiterungen<br />
des <strong>IT</strong>-<strong>Grundschutz</strong>kataloges.<br />
Die Fakultät Informatik der Hochschule Furtwangen University<br />
besitzt ein <strong>Cloud</strong> Computing Forschungszentrum<br />
(www.wolke.hs-furtwangen.de). Das Forschungszentrum hat sich<br />
<strong>auf</strong> den Bereich der Sicherheit in <strong>Cloud</strong> Computing spezialisiert.<br />
Neben zahlreichen Abschluÿarbeiten (Bachelor- und Masterthesen)<br />
beschäftigt sich momentan auch ein Doktorand mit dem Thema <strong>Cloud</strong><br />
Computing Security und Privacy.<br />
Im Zuge einer aktuellen Masterthesis (Start 03/2010), werden<br />
die Gefahren <strong>von</strong> <strong>Cloud</strong> Computing unter dem Aspekt des <strong>BSI</strong><br />
<strong>IT</strong>-<strong>Grundschutz</strong> analysiert und mögliche Lösungen ermittelt.<br />
Daraus resultierend wird gerade eine Sicherheitsmangmentarchitektur<br />
für <strong>Cloud</strong>infrastrukturen entworfen. Ziel unserer<br />
Forschungen soll eine mögliche Zertifizierung <strong>von</strong> <strong>Cloud</strong>-<br />
Providern als auch Ihren Kunden nach <strong>BSI</strong> <strong>IT</strong>-<strong>Grundschutz</strong> sein.<br />
Es wurden die bisherigen Gefahren aus dem bestehenden<br />
<strong>IT</strong>-<strong>Grundschutz</strong> Katalog überprüft und analysiert in wiefern<br />
diese auch für <strong>Cloud</strong> Computing gelten. Hierbei wurden ebenfalls<br />
die Baustein-Vorabversionen "Virtualisierung" und "Terminalserver"<br />
berücksichtigt. Aktuell werden bestehende <strong>IT</strong>-<strong>Grundschutz</strong><br />
Massnahmen überprüft in wiefern sich diese auch <strong>auf</strong> <strong>Cloud</strong><br />
Computing anwenden lassen. Wir planen neben den bestehenden<br />
Richtlinien aus dem <strong>IT</strong>-<strong>Grundschutz</strong>katalog weitere Gefahren und<br />
daraus resultierende Massnahmen speziell für <strong>Cloud</strong> Computing zu<br />
entwickeln.<br />
Wir würden gerne in Zusammenarbeit mit ihnen einen neuen<br />
Vorschlag für einen Baustein "<strong>Cloud</strong> Computing" erarbeiten,
74 A Anhang<br />
in den die neuen Gefahren und Massnahmen einflieÿen können.<br />
Unser <strong>Cloud</strong> Computing Forschungszentrum arbeitet bereits<br />
mit einem <strong>Cloud</strong> Povider und verschiedenen <strong>IT</strong>-Sicherheitsdienstleistern<br />
zusammen, wodurch praxisnahe Anforderungen<br />
sowie zusätzliche Erfahrungen mit in den Baustein und die<br />
Zusammenarbeit einflieÿen könnten.<br />
Wir freuen uns über Ihre Antwort und würden Ihnen gern<br />
unsere bisherigen Ergebnisse in einem persönlichen Gespräch<br />
vorstellen.<br />
Viele Grüÿe,<br />
Prof. Dr. Christoph Reich
A Anhang 75<br />
A.1.2. Interessensbekundung vom <strong>BSI</strong><br />
Bundesamt für Sicherheit in der Informationstechnik<br />
Postfach 20 03 63, 53133 Bonn<br />
Hochschule Furtwangen<br />
Prof. Dr.<br />
Christoph Reich<br />
Robert-Gerwig-Platz 1<br />
78120 Furtwangen<br />
Betreff: <strong>IT</strong>-<strong>Grundschutz</strong> - Allg. Schriftverkehr<br />
hier: Interessensbekundung zum Thema "<strong>Cloud</strong> Computing"<br />
Bezug: Ihre E-Mail vom 12.10.2010<br />
Aktenzeichen: 114 - 140 00 00<br />
Datum: 15.10.2010<br />
Seite 1 <strong>von</strong> 2<br />
Holger Schildt<br />
HAUSANSCHRIFT<br />
Bundesamt für Sicherheit in<br />
der Informationstechnik<br />
Godesberger Allee 185-189<br />
53175 Bonn<br />
POSTANSCHRIFT<br />
Postfach 20 03 63<br />
53133 Bonn<br />
TEL +49 (0) 228 99 9582-5927<br />
FAX +49 (0) 228 99 10 9582-<br />
<strong>Grundschutz</strong>@bsi.bund.de<br />
https://www.bsi.bund.de<br />
Als nationale Sicherheitsbehörde ist es das Ziel des Bundesamtes für Sicherheit in der<br />
Informationstechnik (<strong>BSI</strong>), die <strong>IT</strong>-Sicherheit in Deutschland voran zu bringen. Dabei sind wir in erster<br />
Linie der zentrale <strong>IT</strong>-Sicherheitsdienstleister des Bundes. Mit unserem Angebot wenden wir uns aber<br />
auch an die Hersteller sowie die privaten und gewerblichen Nutzer und Anbieter <strong>von</strong><br />
Informationstechnik, denn nur gemeinsames Handeln kann wirkungsvoll sein. Eine noch engere<br />
Zusammenarbeit mit allen Akteuren der <strong>IT</strong>- und Internetbranche <strong>auf</strong> dem Gebiet der <strong>IT</strong>-Sicherheit ist<br />
daher unser Anliegen.<br />
Das Referat Referat 114, "<strong>IT</strong>-Sicherheitsmanagement und <strong>IT</strong>-<strong>Grundschutz</strong>" des <strong>BSI</strong> beschäftigt sich<br />
intensiv mit dem Thema <strong>Cloud</strong> Computing. Wir haben z.B. ein Eckpunktepapier mit den<br />
Mindestsicherheitsanforderungen für Anbieter <strong>von</strong> <strong>Cloud</strong>-Lösungen veröffentlicht. Außerdem<br />
erarbeiten wir Studien zum Thema <strong>Cloud</strong> Computing und Lösungen zur Integration <strong>von</strong> <strong>Cloud</strong><br />
Computing in den <strong>IT</strong>-<strong>Grundschutz</strong>.<br />
Da die Hochschule Furtwangen ebenfalls im Bereich <strong>Cloud</strong> Computing aktiv ist und Studien hierzu<br />
erarbeitet, bietet sich ein regelmäßiger Informationsaustausch an. Auf dieser Weise können sowohl die<br />
Hochschule Furtwangen als auch das <strong>BSI</strong> <strong>von</strong>einander profitieren. Daher würden wir regelmäßige<br />
Treffen im <strong>BSI</strong> oder Telefonkonferenzen vorschlagen, so dass beide Parteien sich über die erarbeiteten<br />
Ergebnisse austauschen können.<br />
UST-ID/VAT-No: DE 811329482<br />
KONTOVERBINDUNG: Deutsche Bundesbank Filiale Saarbrücken, Konto: 590 010 20, BLZ: 590 000 00,<br />
IBAN: DE81590000000059001020, BIC: MARKDEF1590<br />
ZUSTELL- UND LIEFERANSCHRIFT: Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 185-189, 53175 Bonn
76 A Anhang<br />
Seite 2 <strong>von</strong> 2<br />
Im Weiterem sind wir sehr daran interessiert, den akademischen Nachwuchs zu fördern, indem wir<br />
beispielsweise studentische Arbeiten betreuen. Im Zuständigkeitsbereich des Referats <strong>IT</strong>-<br />
Sicherheitsmanagement und <strong>IT</strong>-<strong>Grundschutz</strong> wären beispielsweise studentische Arbeiten zum Thema<br />
<strong>Cloud</strong> Computing, Informationssicherheitsmanagement und <strong>IT</strong>-<strong>Grundschutz</strong> vorstellbar.<br />
Voraussetzung hierfür ist, dass das vorzuschlagende Thema die Ziele des <strong>BSI</strong> unterstützt und der zu<br />
betreuende Student hierfür geeignet ist. Sind diese Voraussetzungen erfüllt, wären wir sehr an einer<br />
Zusammenarbeit interessiert.<br />
Im Auftrag<br />
Schildt
A Anhang 77<br />
A.2. <strong>IT</strong>-<strong>Grundschutz</strong> Kreuzreferenztabellen<br />
A.2.1. M 1 Infrastruktur<br />
G1.10<br />
G1.15<br />
G1.18<br />
G2.1<br />
G2.19<br />
G2.28<br />
M1.5 X<br />
M1.14 X<br />
M1.20 X<br />
M1.25 X<br />
M1.31 X<br />
M1.49 X<br />
M1.50 X<br />
M1.52 X<br />
M1.54 X<br />
M1.56 X<br />
M1.59 X<br />
M1.66 X<br />
M1.69 X<br />
M1.70 X<br />
G2.54<br />
G2.60<br />
G2.62<br />
G2.84<br />
G2.85<br />
G2.86<br />
G2.109<br />
G2.131<br />
G2.133<br />
G2.142<br />
G3.32<br />
G3.79<br />
G5.20<br />
G2v8<br />
G4v1<br />
G4v6
78 A Anhang<br />
A.2.2. M 2 Organisation<br />
G1.10<br />
G1.15<br />
G1.18<br />
G2.1<br />
G2.19<br />
G2.28<br />
G2.54<br />
G2.60<br />
G2.62<br />
G2.84<br />
M2.1 X X X X<br />
M2.3 X X<br />
M2.8 X<br />
M2.9 X<br />
M2.10 X<br />
M2.11 X<br />
M2.12 X X<br />
M2.35 X<br />
M2.46 X X<br />
M2.64 X<br />
M2.88 X<br />
M2.141 X<br />
M2.143 X<br />
M2.145 X<br />
M2.146 X<br />
M2.162 X<br />
M2.163 X<br />
M2.164 X X<br />
M2.165 X X<br />
M2.166 X<br />
M2.167 X<br />
M2.168 X<br />
M2.169 X<br />
M2.170 X<br />
M2.253 X<br />
M2.273 X<br />
M2.307 X<br />
M2.340 X X X<br />
M2.351 X<br />
M2.353 X<br />
M2.357 X<br />
M2.359 X<br />
M2.361 X X<br />
M2.362 X<br />
M2.392 X<br />
M2.402 X<br />
M2.417 X<br />
M2.418 X<br />
M2.422 X<br />
M2.424 X<br />
M2.426 X<br />
M2.431 X<br />
M2.432 X<br />
M2.433 X<br />
M2.434 X<br />
M2.436 X<br />
G2.85<br />
G2.86<br />
G2.109<br />
G2.131<br />
G2.133<br />
G2.142<br />
G3.32<br />
G3.79<br />
G5.20<br />
G2v8<br />
G4v1<br />
G4v6
A Anhang 79<br />
A.2.3. M 3 Personal<br />
G1.10<br />
G1.15<br />
G1.18<br />
G2.1<br />
G2.19<br />
G2.28<br />
G2.54<br />
G2.60<br />
G2.62<br />
M3.2 X<br />
M3.10 X<br />
M3.33 X<br />
M3.54 X<br />
G2.84<br />
G2.85<br />
G2.86<br />
G2.109<br />
G2.131<br />
G2.133<br />
G2.142<br />
G3.32<br />
G3.79<br />
G5.20<br />
G2v8<br />
G4v1<br />
G4v6
80 A Anhang<br />
A.2.4. M 4 Hard- und Software<br />
G1.10<br />
G1.15<br />
G1.18<br />
G2.1<br />
G2.19<br />
G2.28<br />
G2.54<br />
G2.60<br />
G2.62<br />
M4.24 X<br />
M4.32 X<br />
M4.64 X<br />
M4.89 X<br />
M4.234 X X<br />
M4.305 X<br />
M4.320 X<br />
M4.321 X<br />
M4.322 X<br />
G2.84<br />
G2.85<br />
G2.86<br />
G2.109<br />
G2.131<br />
G2.133<br />
G2.142<br />
G3.32<br />
G3.79<br />
G5.20<br />
G2v8<br />
G4v1<br />
G4v6
A Anhang 81<br />
A.2.5. M 5 Kommunikation<br />
G1.10<br />
G1.15<br />
G1.18<br />
G2.1<br />
G2.19<br />
G2.28<br />
M5.2 X<br />
M5.3 X<br />
M5.130 X<br />
G2.54<br />
G2.60<br />
G2.62<br />
G2.84<br />
G2.85<br />
G2.86<br />
G2.109<br />
G2.131<br />
G2.133<br />
G2.142<br />
G3.32<br />
G3.79<br />
G5.20<br />
G2v8<br />
G4v1<br />
G4v6
82 A Anhang<br />
A.2.6. M 6 Notfallvorsorge<br />
G1.10<br />
G1.15<br />
G1.18<br />
G2.1<br />
G2.19<br />
G2.28<br />
G2.54<br />
M6.17 X<br />
M6.18 X<br />
M6.23 X<br />
M6.53 X<br />
M6.56 X<br />
M6.59 X<br />
M6.60 X<br />
M6.66 X<br />
M6.75 X<br />
M6.83 X<br />
M6.98 X<br />
M6.127 X<br />
M6.128 X<br />
G2.60<br />
G2.62<br />
G2.84<br />
G2.85<br />
G2.86<br />
G2.109<br />
G2.131<br />
G2.133<br />
G2.142<br />
G3.32<br />
G3.79<br />
G5.20<br />
G2v8<br />
G4v1<br />
G4v6