Urs Hölzle: «Das Vertrauen in die Cloud steigt»

Verfügbarkeit versus Sicherheit

CW: Wer eine Cloud betreibt, verfolgt sich widerstreitende Ziele: Man strebt eine hohe Verfügbarkeit an, aber sicher soll auch alles sein. Wie wägt man bei Google Agilität gegen Sicherheit ab? 
Hölzle: Das geht nur, wenn die Prüfung der Sicherheits­bestimmungen automatisiert durchgeführt wird und nicht manuell. Hier zeichnet sich eine interessante Entwicklung ab. Heute werden ein- bis zweimal pro Jahr Sicherheits­-Audits durchgeführt. Was man aber eigentlich anstrebt, ist ein Audit pro Sekunde. 
CW: Um Sicherheitsprobleme schneller zu entdecken. 
Hölzle: Noch besser! Security-Probleme lassen sich so verhindern. Bevor beispielsweise ein neuer Software-Release live geht, gibt es noch einen Check. Und wenn dabei fest­gestellt wird, dass eine Compliance-Regel verletzt wurde, wird das Update nicht freigegeben. Auf diese Weise kann man pro­aktiv für Sicherheit sorgen. Wenn man sekündlich ein Audit durchführen kann, verschwindet der Widerspruch zwischen Sicherheit und Geschwindigkeit. Die Engineers werden produktiver, da man sie nicht ständig auf IT-Sicherheit hin trainieren muss. Das ist sozusagen das Nirwana! 
“Ein Audit pro Sekunde wäre das Nirwana„
Urs Hölzle
CW: Wie nahe ist Google dem Nirwana? 
Hölzle: Das kommt ganz darauf an. Auf einem niedrigen technischen Level sind wir dem Ideal relativ nahe. Wenn etwa Daten in der Schweiz bleiben sollen und jemand versucht, einen Datensatz ausserhalb des Landes anzulegen, wird das nicht funktionieren. In so einem Fall greift das Echtzeit-Audit. Eine Finma-Zertifizierung automatisiert zu implementieren, steht hingegen noch in den Sternen. Zukunftsmusik ist es auch, Standards wie die EU-DSGVO automatisiert zu implementieren. 
CW: Weshalb können Sie das noch nicht?
Hölzle: Ein Grund ist die Auslegungsbreite der Regeln. Es wird ja noch darüber diskutiert, was bestimmte Vorgaben für die Praxis genau bedeuten. Aber selbst wenn die Regeln exakt definiert sind, gibt es Interpretationsspielräume. Zum Beispiel besagt die EU-DSGVO, dass der Benutzer informiert zustimmen muss, dass man seine Daten benutzen darf. Was bedeutet informiert zustimmen? Ist es ein richtiges Einverständnis oder hat man unter Umständen die Anwender getäuscht? Das ist keine technische, sondern eine psychologische Angelegenheit. 
CW: Wie lässt sich das dennoch maschinell lösen? 
Hölzle: Indem wir einen Dialog anbieten, durch den der Nutzer bewusst informiert ist. Man kann das dann einer Applikation einprogrammieren, dass sie stets diesen Dialog mit dem Nutzer führt, bevor dieser die Anwendung nutzen kann. Dadurch wissen wir, dass der Anwender einen bewussten Entscheid getroffen hat, diese Applikation einzusetzen. Auch wenn man nicht alles automatisieren kann, lässt sich doch die Hälfte der manuellen Arbeiten einsparen. Das ist doch schon ein grosser Schritt vorwärts. 
Hintergrund
Googles Umgang mit den Behörden
Google betont die Hochsicherheit seiner Cloud und den Schutz von Kundendaten. Neben verschiedenen ISO-Zertifizierungen erfüllt das Unternehmen die strengen Anforderungen der Finma an Cloud-Dienste. Sollte es zu behördlichen Anfragen kommen, etwa durch den Cloud Act, verspricht Google, im Sinne der Kunden Anfragen genau zu prüfen. Backdoors gebe es keine, betont man im Whitepaper «Government requests for customer data: controlling access to your data in Google Cloud». Darin beschreibt der Anbieter seine Verschlüsselungsmethoden, Key Management Services und die jeweiligen Folgen bei Behördenanfragen. 
  • Google-managed Encryption Keys: Der Anbieter verschlüsselt Daten nach FIPS-140-2-validiertem Advanced-Encryption-Standard und Transport Layer Security. Werden Daten von Google direkt verschlüsselt, könnte Google gezwungen werden, diese für die Behörden zu entschlüsseln. 
  • Customer-managed Encryp­tion Keys: Zusätzlich zu den von Google erzeugten Schlüsseln können Kunden mit Googles Encryption-Technik weitere Schlüssel erstellen lassen. Sie werden in der Google Cloud geschützt, aber vom Kunden verwaltet. Auf Geheiss des Kunden löscht Google diese Schlüssel, sodass sogar Googles Techniker die Daten nicht mehr entschlüsseln können. 
  • Customer-supplied Encryp­tion Keys: Kunden setzen einen eigenen 256-Bit-Schlüssel ein. Diesen verwendet Google während eines Arbeitsablaufs und löscht ihn nach Beendigung von seinen Servern. Für Daten speichert Google im Cloud-Storage einen kryptografischen Hash für den Abgleich mit dem Schlüssel des Kunden. Im Fall einer behördlichen Anordnung würde Google einen Chiffriertext aushändigen.
  • Client-side Encryption: Kunden ver- und entschlüsseln Daten, bevor sie diese bei Google speichern. Bei dem Modell hat Google nicht einmal Zugang zu den Schlüsseln. Entsprechend reduziert sich das Serviceangebot. Im Fall einer behördlichen Anordnung würde Google einen Chiffriertext aushändigen.



Das könnte Sie auch interessieren