Der digitale Daemon
und dieselben Passwörter großzügig an vielen Stellen wiederverwendet.
Neben unabsichtlichen Fehlern gibt es auch absichtlich eingebaute »Hintertüren«, z. B. feste General-Passwörter, die zu allen Installationen eines IT-Produkts passen. Solche Hintertüren sind oft Testfunktionen, die im fertigen Produkt nicht mehr vorhanden sein sollten, aber manchmal eben vergessen werden. Gefährlicher sind zur Angriffsvorbereitung eingebaute Hintertüren. Sie können so getarnt werden, dass man sie in komplexer Software nur sehr schwer und in komplexer Hardware so gut wie überhaupt nicht finden kann. Verhindern kann man sie nur durch organisatorische Maßnahmen, also durch geeignete Herstellungsprozesse und durch sorgfältige Auswahl der Hersteller von Komponenten und Werkzeugen.
Angriffe beinhalten oft eine Social-Engineering-Komponente, oder einfacher gesagt: das Ausnutzen menschlicher Schwächen. Wir neigen dazu, anderen grundlos zu vertrauen oder riskante Abkürzungen zu nehmen, wenn die Zeit knapp oder die Sicherheitsregeln allzu mühsam sind. Geheime Passwörter werden deshalb vermeintlichen Administratoren am Telefon gerne verraten. Die persönlichen Informationen, die man zum Zurücksetzen von Passwörtern braucht, finden Angreifer oft im Internet. Attachments von E-Mails, die von einem bekannten Absender kommen, öffnet man bedenkenlos, auch wenn jeder weiß, dass Absender sehr einfach gefälscht werden können. Gerade APTs werden fast immer durch Social Engineering vorbereitet.
Was bringt die Zukunft?
Cloud Computing treibt Standardisierung von IT-Sicherheit
Die Entwicklung der IT-Sicherheit im Cloud Computing wird zu einem großen Teil der allgemeinen Entwicklung von Cloud-Technologie folgen. Mit der zunehmenden Reife wird der Risikovergleich zwischen eigener IT und Cloud zusehends zugunsten der Cloud ausfallen. Eine wichtige Rolle werden neben der Technologie der Standort und die Vertrauenswürdigkeit von Cloud-Anbietern spielen, wodurch insbesondere für Anbieter mit Standorten in der EU Vorteile entstehen werden.
Die Nutzer werden ein hohes Maß an Transparenz und Flexibilität hinsichtlich des Ortes der Diensterbringung und der eingesetzten Technologien einfordern. Neue Standards werden entstehen, die die Auswahl von Clouds nach Sicherheits- und Datenschutzanforderungen und den Umzug zwischen Clouds unterstützen (z. B. OASIS TOSCA). Clouds werden auch davon abkommen, allen Nutzern dieselbe Sicherheitsarchitektur aufzuzwingen und stattdessen unterschiedliche und komplexere Sicherheitsfunktionen anbieten.
Je dynamischer Nutzer unterschiedliche Clouds kombinieren oder zwischen ihnen wechseln, desto dringender wird die Notwendigkeit, wichtige Sicherheitsfunktionen (z. B. Identitäten, Schlüssel- und Lizenzverwaltung, Analyse von Sicherheitsereignissen, Kontrolle von Service Level Agreements) aus den einzelnen Clouds auszulagern und getrennt zu erbringen. Solche Sicherheitsfunktionen können durch die Nutzer selbst oder, auf Dauer wahrscheinlicher, durch Cloud-Anbieter erbracht werden.
Der Erfolg von Cloud Computing wird auch dazu führen, dass die klassische IT den Cloud-Standards folgen wird. Man sieht das bereits sehr deutlich im Bereich des Identitätsmanagements, wo die IT-Industrie gerade sehr zügig auf Cloud-geprägte Standards wie OpenID und OAuth umschwenkt. Positiv an dieser Entwicklung ist, dass ein immer größerer Bereich der IT-Sicherheit einheitlich standardisiert wird, wodurch Fehlerquellen minimiert werden und die Ende-zu-Ende-Integrierbarkeit von IT-Systemen verbessert wird. Negativ ist, dass die neuen Standards oft tatsächlich komplett neu und damit fehleranfällig sind.
Neue regulatorische Anforderungen an IT werden unmittelbar in Cloud-Standards umgesetzt werden. Dies gilt ganz besonders im Bereich Privatsphärenschutz, wo für Clouds mit Social-Networking-Funktionen gerade neue Anforderungen an die Transparenz, Datenportabilität und nutzergesteuertes Löschen von Daten entstehen. Auch hier kann man damit rechnen, dass einzelne Funktionen wiederum als Cloud-Dienst angeboten werden, zum Beispiel zur Erzeugung von Transparenz über mehrere Clouds hinweg.
Schaut man zehn Jahre und mehr in die Zukunft, sollte man auch mit neuen Entwicklungen aus der Kryptographie rechnen, z. B. fully homomorphic encryption und secure function evaluation . Mit diesen Techniken lassen sich manche Aufgaben in die Cloud auslagern, ohne dass der Cloud-Betreiber die Daten des Cloud-Nutzers im Klartext
Weitere Kostenlose Bücher