Wolkige Sicherheit

Seit rund sieben Jahren ist Cloud Computing im Gespräch. Doch ist die Auslagerung von Daten wirklich so sicher wie es die Anbieter von Clouds propagieren?

Von Martin Jasper (2011-03-31)

Um zwölf Milliarden Euro gaben US-amerikanische Unternehmen im vergangenen Jahr für die Erneuerung ihrer IT-Infrastruktur und -Sicherheit aus. Weltweit dürften sich die Ausgaben im unteren dreistelligen Milliardenbereich befunden haben. Datensicherheit ist ein riesiger Markt geworden, an den sich inzwischen die externe Datenverwaltung angeschlossen hat.

Cloud Computing lauten die Zauberworte. Im Kern bedeuten sie die Auslagerung von privaten und Firmendaten auf fremde Server und Rechner. Die Anbieter berechnen für die bereitgestellte Server- und Rechnerkapazität Gebühren. Jeder, der eine Webseite ohne eigenen Server unterhält oder seine E-Mails von einem Anbieter über einem Mail-Server abruft, betreibt im Prinzip Cloud Computing.

Die großen Anbieter von Clouds (engl.: Wolken) sind längst einen Schritt weiter, indem sie praktisch allen, die mit enormen Datenmengen zu tun haben, etwa Behörden und Unternehmen, unbegrenzte Rechner-, Rechen- und Speicherkapazität anbieten. Ein beliebtes Argument hierfür ist die Entlastung der Festplatten vieler Millionen Firmen- und Behördenrechner und deren Datenbanken. Ein weiteres Argument lautet, dass jederzeit und maßgeschneidert die aktuellste Software und die state-of-the art-Anti-Viren-, Wurm- und Trojaner-Programme genutzt werden können. 

Doch wie sicher sind die ausgelagerten Daten letztlich? Glaubt man den Anbietern, dann seien sie sehr sicher. Ein schöner wie krummer Superlativ. Der Mobilfunkriese Vodaphone spricht in einer Werbebroschüre fürs Cloud Computing davon, dass "die Datenübertragung vom Nutzer ins Rechenzentrum einem Geldtransport" gleiche. Wie jeder weiß, werden die gelegentlich überfallen, entführt oder ausgeraubt.

Angesichts pfiffiger wie krimineller Hacker, die in der Vergangenheit immer wieder als sicher gelaubte Systeme geknackt haben, ist die Methapher vom Geldtransport geradezu passend - und ein Rohrkrepierer, den nur ein journalistischer Dummbatz verfasst haben kann. Vor dem Hintergrund der Neugier von Geheimdiensten und deren kryptoanalytischen Möglichkeiten besteht grundsätzlich die Gefahr, dass die ausgelagerten Daten früher oder später eingesehen werden können, zumal bei einer weit verbreiteten Verschlüsselungstechnologie wie AES, die nicht zu den ausgereiftesten gehört. 

Viele Staaten, darunter die USA, aber auch Deutschland, verbieten es geradezu, Verschlüsselungstechnologien kommerziell und privat einzusetzen, die über den Enkodierungswissensstand ihrer Geheimdienste hinausgehen. Bei AES besteht diese Gefahr nicht. Im Zweifel könnten die Schlapphüte mitlesen.

AES (Advanced Encryption Standard) ist ein symmetrisches Verschlüsselungssystem, dessen Algorithmus von den belgischen Kryptographen Vincent Rijmen und Joan Daemen im Rahmen einer internationalen Ausschreibung des US-Handelsministeriums entwickelt wurde, die unter anderem zur Bedingung gemacht hatte, dass er patent- und lizenzfrei sein müsse.

Der nach seinen Entwicklern als Rijndael-Algorithmus bekannt gewordene Verschlüsselungssatz, der seit Herbst 2000 als Nachfolger des 1976 von IBM und der National Security Agency der USA etablierten DES-Verschlüsselungssystems (Data Encryption Standard) geltende AES steht unter Kritikern im Ruf, anfällig zu sein. In Deutschland kann man das seit Jahren beobachten, dann nämlich, wenn wieder einmal die Verschlüsselung von Bankdaten geknackt wird. Die meisten deutschen Geldinstitute benutzen das preiswerte AES-System.

Um Längen sicherer, wenn nicht gar die zurzeit sicherste Verschlüsselungsmethode, ist die ECC (Elliptic Curve Cryptography), die vor 30 Jahren von den US-amerikanischen Mathematikern Victor S. Miller und Neil I. Koblitz entwickelt wurde. Dieses Verschlüsselungsverfahren griffen Mitte der 1980er Jahe die Gründer der kanadischen Firma Certicom auf und entwickelten es weiter. Heraus kam das nach seinen Weiterentwicklern Scott A. Vanstone (Mitgründer Certicom), Minghua Qu und Alfred J. Menezes benannte MQV-Übertragungsprotokoll. 

Über 350 Patente hält Certicom inzwischen im Segment der ECC, von denen die NSA 26 zum Standard zertifiziert hat. Das asymmetrische Verschlüsselungssystem gilt bisher als unknackbar, kostet aber mitunter viel Geld. Die vergleichsweise kleine Firma mit viel Know-how, ansässig im kanadischen Mississauga, Ontario, war folgerichtig begehrt.

2009 machte der den Sicherheits- und Geheimdiensten der USA nahestehende IT-Riese VeriSign ein Übernahmeangebot, doch Certicom wollte offenbar nicht unter die Fuchtel der Amis. Stattdessen ließ sie sich von der kanadischen Firma Research in Motion (RIM) übernehmen, die die ECC-Technologie zuvor schon für ihre als unknackbar geltenden BlackBerry-Smartphones verwendete.

Wie schwer zu knacken sie sind, musste eine Reihe von Ländern erleben, die unbedingt mitlesen mochten, was ihre Untertanen und Unternehmen so an Daten versenden. 2008 bissen sich Indiens Sicherheits- und Geheimdienste die berühmten Zähne an der Kernverschlüsselung aus; 2010 Saudi-Arabien, Bahrain, die Vereinten Arabischen Emirate, und auch die USA haben noch keine Einsicht.

Die RIM-Server stehen in Kanada und Europa. Zugriff für Drittstaaten nahezu ausgeschlossen. Im Oktober 2010 verbot etwa Saudi-Arabien die Nutzung von BlackBerrys. Eine bessere Werbung für das ECC - und für die eleganten Smartphones -, dazu noch kostenlos, geht kaum.

Umso mehr geben die Anbieter von Cloud Computing mit AES-Verschlüsselung, etwa Vodaphone, für Werbung und Propaganda aus. Preiswerter wäre es, nutzten sie ECC. Indes, das ist offenbar gar nicht gewollt, denn dann könnte ja - zumindest bislang - niemand mitlesen. Vielleicht sollten sich die Cloud-Computing-Propagandisten, die AES einsetzen, schlicht daran orientieren, was Kenner von Bob Dylans Musik schon lange wissen.

In dessen Stück Subterranean Homesick Blues aus dem Jahr 1965 heißt es: "You don't need a weatherman to know which way the wind blows". Wer sicher gehen will, sollte - bevor er ins Cloud Computing einsteigt - AES und ECC vergleichen.

© Martin Jasper

© GeoWis (2011-03-31)