Neue Ansätze für die Forensik in Cloud-Umgebungen

© digifuture, 123RF

Wolkige Aussichten

,
Wie sicher sind die Daten in der Cloud? Sehr sicher, sagen die einen, denn hier rentieren sich Spezialisten und Hightech. Aber der Anwender verliert jede Kontrolle, sagen die anderen, denn die Cloud ist eine Blackbox, und auf die Werbesprüche der Provider kann man nichts geben.

Eigentlich liegt auf der Hand, dass computerforensische Untersuchungen auch oder gerade in einer Cloud nötig sind, um das Risiko eines Angriffs zutreffend zu beurteilen und sich gegen Angriffe wirksam wappnen zu können. Doch die Wissenschaft hat das Problem der Forensik in Cloud-Umgebungen bisher vernachlässigt. Interessanterweise hatten einige Autoren bereits 2009 darauf hingewiesen [1], und weitere Publikationen [2,3] bestätigten das. Trotzdem wird das Thema immer noch stiefmütterlich behandelt, und es gibt nach wie vor gerade im Bereich des Incident Handlings in Cloud-Umgebungen noch jede Menge Arbeit [8].

Gleichzeitig investieren viele Firmen bereits massiv in neue Cloud-Umgebungen und die Umstellung auf Dienste in der Cloud. Sicherheits- und Datenschutz werden zwar zunehmend diskutiert, stehen aber oftmals hinter den scheinbaren Vorteilen für den Anwender zurück.

Ein altes Problem der Forensik ist die Tatsache, dass Beweisspuren im Allgemeinen fragil und flüchtig sind. Gerade bei der Erfassung von neuen Beweisen muss man deshalb sehr darauf achten, potenzielle Beweise nicht zu verändern oder gar zu zerstören. Diese Problematik ist nicht nur auf die digitale Welt beschränkt, sondern gilt etwa auch für die Gerichtsmedizin. Der Vorteil der digitalen Beweiserfassung war bisher, dass der Untersucher in vielen Szenarien vor der Analyse der Beweise eine 1:1-Kopie des Datenträgers erstellen konnte. Dadurch konnte er wirksam verhindern, dass die Analyse potenzielle Beweise zerstörte. In Cloud-Umgebungen ist dies in aller Regel aber nicht mehr so einfach.

Abhängig vom verwendeten Service-Modell (SaaS, PaaS oder IaaS, für die Details siehe [4]) und der Zusammenarbeit mit dem Cloud Service Provider (CSP) kann der Anwender zwar auf potenzielle Beweisquellen zugreifen, die für eine Untersuchung unbedingt notwendig sind. Allerdings ist die Menge dieser Beweise meist sehr beschränkt und verhindert somit eine vollständige Aufklärung der Tatumstände.

Ein weiteres Problem stellt der Kontext der Beweismittel dar. Für den externen Forensiker ist auf den ersten Blick vielleicht nicht gleich ersichtlich, inwiefern vorhandene Beweise aus verschiedenen Komponenten des Cloud-Systems miteinander zusammenhängen könnten. Dies gilt zwar auch in traditionellen IT-Systemen, allerdings erschwert die Cloud durch ihre internationalen und länderübergreifenden Strukturen die Analyse und Bewertung zusätzlich.

Beweispflicht

Zudem ist es schwierig, die sogenannte "Chain of Custody" für die Beweise zu erhalten. Der CSP übergibt die potenziellen Beweise an den Anwender: Wie kann dieser aber feststellen, dass es sich bei diesen Belegen auch wirklich um valide Beweise handelt und diese nicht von Dritten bösartig untergeschoben wurden? In diesem Kontext ist auch der Begriff der "Data Provenance" von großer Bedeutung. Damit ist gemeint, welchen Ursprung ein Datum hat und wie es eventuell modifiziert wurde, also wer beispielsweise ein Datum zu welchem Zeitpunkt eingesehen oder verändert hat.

Des Weiteren kann in heutigen Cloud-Umgebungen nicht oder nur schwer mit automatisierten Tools für die Forensik gearbeitet werden. Jeder Vorfall muss einzeln betrachtet und bearbeitet werden, da es an Standards mangelt. Selbst wenn es die gäbe, würden sie höchstwahrscheinlich auch nur bedingt durch die CSP umgesetzt. Zu groß ist die Gefahr, die eigene Monopolstellung am Markt zu verlieren.

Forensik in SaaS-Anwendungen

SaaS-Anwendungen erfreuen sich einer immer größeren Beliebtheit. Populäre Angebote wie die Google Cloud-Offers mit Gmail und GoogleDocs, aber auch Angebote aus dem Hause Salesforce zeigen, wie effizient und einfach Anwendungen in die Cloud ausgelagert werden können. Auch in Bezug auf die Sicherheit der Anwendung verstehen CSP zunehmend, dass Anwender Wert auf sichere Implementierung und Authentifizierung legen [6]. Paradoxerweise wird das Incident Handling bisher noch von kaum einem CSP offen angesprochen. Man kann vermuten, dass auf die gegenwärtigen Beteuerungen zur Cloud-Sicherheit eine Phase folgen wird, in der der Anwender schmerzlich erkennen muss, dass seine Daten in der Cloud doch nicht hundertprozentig sicher waren.

Im Klartext: Derzeitige SaaS-Anwendungen bieten so gut wie keine Möglichkeit, eine forensische Untersuchung durchzuführen. Dies soll im Folgenden anhand eines Beispiels veranschaulicht werden, das zwar fiktiven Charakter hat, dennoch derzeitigen praktischen SaaS-Anwendungen nicht fern ist.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Ausgabe /2014

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit Rex
  • mit anderer Konfigurationsmanagement-Software