Chaos Communication Congress Daten in der Cloud: IT-Experten beim CCC zweifeln an Sicherheit

Der 36. Chaos Communication Congress (kurz: 36C3) in Leipzig ist der wichtigste Termin für die deutsche Hacker- und IT-Sicherheits-Szene in jedem Jahr. 17.000 Besucherinnen und Besucher werden erwartet. Auf dem Kongress stellen IT-Forscher und Hacker ihre neuesten Erkenntnisse über Sicherheitslücken in Computersystemen vor. IT-Experten von der TU Berlin erschüttern zum Beispiel mit ihrer Forschung die Sicherheit von Cloud-Lösungen und das Vertrauen in die Hersteller von Computerprozessoren.

von Marcel Roth, MDR AKTUELL

Symbolfoto Cloudspeicher
Daten in der Cloud speichern, ist praktisch. Aber wie sicher sind meine Daten? Bildrechte: imago images / Christian Ohde

Damit wir WhatsApp mit Freunden und Bekannten nutzen können, werden unser Adressbuch mit allen Kontakten sowie sämtliche Nachrichten, Bilder und Videos, die wir uns gegenseitig schicken, auf Server geladen – Computer, die zum Beispiel in Rechenzentren von Microsoft, Google oder des Amazon-Tochterunternehmens AWS stehen. Das ist sie, die berühmte Cloud. Nur: Wie sicher können wir sein, dass nur WhatsApp unsere Daten dort liest und nicht auch Amazon, Microsoft, Google oder Menschen, die beruflich Zugriff auf die Server haben, sowie solche, die sich unerlaubt Zugriff verschaffen?

Sichere Cloud? Von wegen!

Eine Lösung versprechen die Hersteller von Computer-Chips. Sie sagen, niemand müsse Cloud-Anbietern vertrauen, wenn man seine Rechner mit bestimmten Chips betreibt. Hersteller AMD nennt seine Technologie dafür "Secure Encrypted Virtualization" (kurz: SEV). Dank dieser AMD-Computerchips kämen Cloud-Anbieter nicht an die Daten, die sie von ihren Kunden gespeichert haben. So erklärt es jedenfalls AMD in einem Youtube-Video: "Wenn die Daten zu einem Cloud-Server gehen, wo ein böswilliger Administrator sitzt, kann der private Daten abgreifen. Aber mit der SEV-Technologie kann ein böser Administrator oder ein anderer Angreifer nicht mehr auf diese Daten zugreifen."

Doch was so schön klingt, funktioniert offenbar nicht. Denn die "Firmware" (die Software, mit Chips ausgestattet sind und die für die Sicherheit sorgen soll) lässt sich knacken, sagt IT-Sicherheitsforscher Robert Buhren von der TU Berlin: "Die Firmware ist verantwortlich dafür, die ganzen Schlüssel für die Verschlüsselung zu managen. Und wir haben herausgefunden, dass es halt doch möglich ist, an diese Schlüssel heranzukommen. Das heißt letztendlich, dass der Cloud-Provider auf die Daten von Kunden zugreifen kann, was er eigentlich nicht können sollte." Durch diese Sicherheitslücke sei es denkbar, dass ein böswilliger Administrator eines Cloud-Anbieters sich einen solchen AMD-Chip zum Beispiel bei eBay besorgt, den Schlüssel ausliest und mit ihm an die Daten kommt – dafür müsste er nicht mal in der Nähe des Servers sein, sagen die Forscher.

Sensible Daten gehören nicht in die Cloud

AMD ist neben Intel der zweitgrößte Chiphersteller der Welt, sagt Christian Werling von der TU Berlin. "Intel hat ähnliche Bestrebungen, das Vertrauen in den Cloud-Provider nicht mehr nötig zu machen", sagt Werling. Vertrauen ist mittlerweile die entscheidende Währung in der IT. Zu beobachten auch an der Diskussion um die 5G-Mobilfunktechnik und den Einfluss des chinesischen Smartphone-Herstellers Huawei – oder an Projekt Gaia X, der europäischen Cloud-Idee, die Wirtschaftsminister Altmaier sich wünscht.

In der Cloud stellt sich immer die Frage nach der Vertrauenswürdigkeit des Providers. Es wurde schon mehrfach gezeigt, dass das Vertrauen in neue Technologie alleine nicht ausreicht. Sensible Daten sollten nicht an nicht-vertrauenswürdige Cloud-Provider ausgeliefert werden.

Robert Buhren, Institut für Softwaretechnik der TU Berlin

Nur wer ist tatsächlich vertrauenswürdig? Die Erkenntnisse der Berliner Forscher hat AMD bislang unkommentiert gelassen. Allerdings: Was die Forscher einerseits erschreckt, erfreut sie auf der anderen Seite. Denn durch die Sicherheitslücke ließe sich ein solcher Computerchip jetzt mit einer selbst geschriebenen Firmware bestücken. Wer das kann, muss nicht auf Chiphersteller vertrauen – weil er den Chip selbst kontrolliert.

Dieses Thema im Programm: MDR AKTUELL RADIO | 27. Dezember 2019 | 05:00 Uhr

Zuletzt aktualisiert: 27. Dezember 2019, 05:00 Uhr

2 Kommentare

part vor 14 Wochen

Ach ja, da gibt es ja noch unseren Inlands- und Auslangsgeheimdient, der da umweltunfreundlich empfiehlt alle Smartphones oder Laptops nach China-Besuchen zu entsorgen ohne das Ausspionieren unter Freunden und das Procedere an US- Airports überhaupt auf dem Schirm zu haben. Ein Glück, das die einseitige Entgleisung aus Pullach und andereswo noch nicht so sehr an die Öffentlichkeit gelangt ist.

Erik vor 14 Wochen

Ich finde es ja erstaunlich, daß es überhaupt soweit kam, daß Daten oder virtuelle Käufe massenhaft der Cloud anvertraut worden. Es gab ja nicht nur einen Fall, daß auf diese Daten nicht mehr zugegriffen werden konnte oder sie gar an die Öffentlichkeit gelangten, wie z. B. 2014 sehr private Fotos vieler Prominenter. Eine hardwaremäßige Verschlüsselung, wie die von AMD hätte vorher existieren müssen. Daß diese Verschlüsselung unsicher ist, darauf kann man bei der ersten Generation eines Produktes leider schon bauen…

Sicherer, aber komplizierter im Einsatz, wäre es, wenn ein Teil des Schlüssels ausschließlich dem Anwender zugreifbar ist. Und die Daten wären noch geschützter, wenn sie gar nicht erst auf Systeme hochgeladen werden, auf die öffentlicher Zugriff besteht. Und am allersichersten ist: Daten, die nicht geleakt werden sollten, gar nicht erst entstehen lassen.