Sichere Iden­ti­täten in der Cloud

Neben den üblichen Dis­kus­sionen über die Sicherheit der Infor­ma­tionen in der Cloud besteht dort noch ein ganz anderes Risiko: Denn wie auch bei unter­neh­mens­in­ternen Anwen­dungen brauchen Sie digitale Iden­ti­täten, um sich bei Cloud-Diensten anzu­melden.

Anwen­dungen benö­tigen Iden­ti­täten

Iden­ti­täten sind wesentlich für eine sichere Ver­wendung von Anwen­dungen, denn sie stellen sicher, dass die Benutzer sich “aus­weisen” müssen, und dass sie die rich­tigen Berech­ti­gungen für die Ver­wendung der Anwen­dungen bekommen. Doch leider bringen noch immer viele Anwen­dungen ihre eigene Ver­waltung von Iden­ti­täten mit, und ver­geben erneut Benut­zername und Passwort, auch wenn der Benutzer schon viele davon hat. Innerhalb eines Unter­nehmens kann man dieses Problem lösen, indem man ein so genanntes Iden­ti­täts­ma­nagement ein­setzt, welches diese Benutzer syn­chron hält, und im Ide­al­falle — Stichwort “Single Sign-On” — auch die Authen­ti­fi­zierung angleicht.

Explosion der Iden­ti­täten in der Cloud

Doch durch die Nutzung von Cloud Ser­vices nimmt die Anzahl der Iden­ti­täten erheblich zu: auch hier ist es immer noch üblich, dass Cloud-Dienste ihre eigenen Benutzer ver­walten, ent­spre­chend bekommt jeder Nutzer eines Cloud-Dienstes wieder neue Iden­ti­täten zuge­sandt. Dies führt zu einem erheb­lichen Risiko: zum einen werden die Iden­ti­täts­daten nicht mehr innerhalb des Unter­nehmens ver­ar­beitet, sondern über das Internet, was die Angreif­barkeit deutlich erhöht . Zum anderen werden die Nutzer oft gezwungen, kom­plexe Passwort-Vor­­­gaben ein­zu­halten, was oft dazu führt, dass die Pass­wörter auf­ge­schrieben oder gleich ver­gessen werden. Durch die schiere Anzahl der ver­schie­denen Cloud Ser­vices wird das Problem noch deutlich größer — wer kann denn sicher­stellen, dass er alle in der Cloud ver­wen­deten Iden­ti­täten kennt, dass nir­gendwo zwei gleiche Pass­wörter ver­wendet werden (denn wenn ein Angreifer eines her­aus­be­kommt, wird er dieses bei allen anderen Cloud-Diensten auch testen), und dass diese beim Cloud-Dienst­­leister auch sicher ver­ar­beitet werden?

Iden­ti­täten: Raus aus den Cloud-Diensten!

Die Lösung besteht darin, auch bei Cloud-Diensten die Iden­ti­täten nicht den Anwen­dungen zu über­lassen, sondern diese sozu­sagen “out­zu­sourcen”. Es gibt viele große Cloud Ser­vices, die dies ermög­lichen, und zwar über das so genannte “OpenID”-Protokoll. Damit kann jede Web-Anwendung die Iden­ti­täten von Diens­te­an­bietern nutzen, die sich genau darauf spe­zia­li­siert haben. So kann man bei vielen Cloud Ser­vices schon Google-Iden­­ti­­täten oder Facebook-Iden­­ti­­täten ver­wenden, oder alter­nativ auch einen eigenen Dienst angeben. Es gibt eine Reihe von deut­schen Anbietern, welche unter http://de.wikipedia.org/wiki/OpenID zu finden sind, dort kann man seine eigene Iden­tität ver­walten, was gerade für KMUs inter­essant ist. Denn damit haben die ver­wen­deten Cloud-Dienste nur genau die Infor­ma­tionen über die Anwender, die sie benö­tigen.

Starke Authen­ti­fi­zierung — auch in der Cloud

Ein Rest­risiko bleibt jedoch auch dann: Pass­wörter können unbe­merkt gestohlen werden. Daher ist es sinnvoll, sich zu über­legen, stärkere Authen­ti­fi­zie­rungs­maß­nahmen zu ver­wenden, so z.B. mTAN (Ein­mal­pass­wörter per SMS) oder Smart Cards. Eine besonders zukunfts­si­chere Idee ist die Ver­wendung des neuen elek­tro­ni­schen Per­so­nal­aus­weises für die Authen­ti­fi­zierung bei Cloud Ser­vices. Eine Reihe von Pro­jekten haben zum Ziel, diesen sicher und bequem über OpenID und andere stan­dar­di­sierte Ver­fahren ver­wendbar zu machen. Das ist zwar noch nicht flä­chen­de­ckend ein­setzbar, wird aber auf absehbare Zeit sicherlich eine Standard-Lösung werden.