Liest man „Forensik“, dann denkt man wohl zunächst an CSI, an Spurensicherung, an scharfsinnige Ermittler und üble Kriminelle. Und davon ist die IT-Forensik auch gar nicht so weit weg. Je relevanter die Cloud in den letzten Jahren wurde, desto ausgefeilter wurden auch die Methoden von Cyber-Kriminellen. Gerade Unternehmen und Behörden, die sensible Daten handhaben, müssen mehr denn je auf sicherheitsrelevante Zwischenfälle vorbereitet sein, um im Ernstfall schnell und effektiv reagieren zu können. Lesen Sie, wie IT-Forensik, das Shared Responsibility Model und die Wahl des Cloud-Providers den Ausgang eines Sicherheitsvorfalls beeinflussen können. Und erfahren Sie, wie sich die Carl Zeiss Meditec AG gegen Cyber-Angriffe und deren Folgen wappnet.
Artikel 33 der DSGVO (Datenschutzgrundverordnung) schreibt die „Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde“ vor. Das klingt simpel. Versende ich zum Beispiel versehentlich eine E-Mail mit offenem Verteiler, weiß ich in der Regel genau, was passiert ist. Auch der Auslöser und der potenzielle Schaden sind relativ klar. Aber was passiert beispielsweise bei einem Hackerangriff, wo Vorgehen und Schadensausmaß nicht gleich erkennbar sind? Dabei muss es sich nicht immer um Personendaten handeln, auch der Verlust oder die Offenlegung von internen Unternehmensinformationen wie Umsatzzahlen oder Unterlagen aus der Produktentwicklung können gravierende Folgen haben. Gerade bei Eintritt eines Sicherheitsvorfalls sind wirkungsvolle Schutzmaßnahmen also unerlässlich. Hier kommen das Shared Responsibility Model und die IT-Forensik ins Spiel.
Shared Responsibility Model
Das Shared Responsibility Model steht für das Prinzip der geteilten Verantwortlichkeit zwischen dem Cloud-Provider und dem nutzenden Anwender oder Unternehmen. Speziell im Kontext der IT-Sicherheit in der Cloud ist das Shared Responsibility Model eine wichtige Ergänzung zu gängigen Schutzmaßnahmen. Die Aufteilung der Verantwortlichkeiten hängt dabei unter anderem davon ab, ob es sich um eine Public Cloud, eine Hybrid-Cloud oder eine Private Cloud handelt. Außerdem findet eine gleichmäßige Verteilung der Verantwortung für Sicherheitsaufgaben statt. Auf der Seite des Nutzers übernehmen dies zunehmend externe Dienstleistungsmodelle wie Software as a Service, Platform as a Service und Infrastructure as a Service. Entscheidend ist hier, wie der Cloud User seinen Verantwortungsbereich unter Hinzunahme der Service-Angebote seitens des Cloud-Providers konzipiert. Dies ist die Basis für eine nachhaltig sichere Cloud-Umgebung.
IT-Forensik in einem Informationssicherheitsmanagementsystem
Nicht nur die DSGVO, auch die ISO 27001 fordert in dem Control A.16.1.7 „Sammeln von Beweismaterial“, dass die Organisation, die das Managementsystem betreibt, entsprechende Verfahren festlegt und anwendet. Es soll also klar geregelt sein, wie bei der Ermittlung, Sammlung, Erfassung und Aufbewahrung von Informationen, die als Beweismaterial dienen könnten, verfahren werden muss.
Diese Verfahren sollten auch die unterschiedlichen Arten von möglichen Datenträgern, Geräten und Gerätestatus einbeziehen.
Wie ist das Thema im Shared Responsibility Model mit Cloud Providern anzugehen?
Es ist per Design nicht möglich, Zugriff auf die Hardware eines Cloud-Providers zu erhalten. Ferner sind die Daten, die notwendig sind, ohnehin so verteilt, dass nur ein rein logischer Zugriff erfolgen kann und nicht, wie im klassischen Rechenzentrum, ein Zugriff auf Hardware wie Festplatten oder Speicher. Immerhin erfordert die Sammlung von forensischem Beweismaterial die rechtliche Befugnis, die eben auch mehrere Rechtsordnungen betreffen kann.
Die Lösung ist eine enge und vertrauensvolle Zusammenarbeit mit dem Cloud Provider
Kommunikation und Information sind die Schlüssel für eine erfolgreiche IT-Forensik im Shared Responsibility Model. Die Wirtschaft beschäftigt sich bereits seit vielen Jahren – spätestens seit dem Boom der Cloud – mit den dynamischen Anforderungen im Umgang mit der Cloud und den damit einhergehenden, sich wandelnden Verantwortlichkeiten. Es sollte ein aktiver Austausch mit dem Cloud-Provider stattfinden, um bedarfsgerechte Verfahren für notwendige IT-forensische Untersuchungen zu definieren. Auf Unternehmensseite sind zudem die regulatorischen Rollen der Organisation einzubinden. Dabei werden die Unterschiede zwischen der klassischen IT und der Public Cloud ausgewiesen. So entstehen ganz neue, viel umfassendere Möglichkeiten, denn der voll automatisierte und revisionssichere Zugriff auf Logdaten steht dem physischen, häufig aufwendigen Zugriff auf Festplatten gegenüber. Bei einem Security Breach obliegt es dem Cloud-User, die Beweise in seinem Teil des Shared Responsibility Models zu sichern. Hier hilft der Dialog mit dem Cloud-Provider im Vorfeld, um eine sichere Umsetzung der Cloud Services zu etablieren. So wird zum Beispiel eine hohe Logging-Frequenz eingerichtet, die, sollte es zu einem Security-Vorfall kommen, die Spurensicherung gewährleistet. Denn da sich der Vorfall in der Shared-Repsonsiblity-Ebene des Users abgespielt hat, kann die Ebene des Providers nicht in die Untersuchung einbezogen werden.
Ein Praxisbeispiel: IT-Forensik bei der Carl Zeiss Meditec AG
Die Carl Zeiss Meditec AG (CZM) arbeitet gemeinsam mit der Skaylink seit 2018 kontinuierlich an dem Aufbau und der Weiterentwicklung einer Plattform zur sicheren Übermittlung von Patientendaten über die Cloud. In vorherigen Blogbeiträgen berichteten wir über dieses Projekt sowie über die Implementierung und Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001. Besonders im Hinblick auf das stetige Wachstum und der steigenden Bedeutung der Cloud-Computing-Produkte im Geltungsbereich des ISMS haben wir uns in enger Abstimmung mit dem Kunden und Cloud Providern wie AWS und Microsoft Azure intensiv mit dem Thema IT-Forensik beschäftigt. In der Zusammenarbeit wurden Verfahren definiert, wie in einem Beweismittelsicherungsfall vorzugehen ist. Daraufhin wurde bei der CZM ein Information Security Committee gegründet, das im Bedarfsfall und im Rahmen der Abgrenzung zwischen intern und dem Cloud-Provider nach dem Shared Responsibility Model agiert. Zudem wurde festgelegt, welche Quellen der Sicherung der Beweismittel sowie der Daten selbst dienen. Daten, auf die nur der Cloud Provider Zugriff hat, werden durch diesen bereitgestellt, um so die Beweissammlung zu unterstützen.
Fazit und Ausblick
Bei der Wahl des Cloud-Providers sollten alle Aspekte der geteilten Sicherheitsverantwortung berücksichtigt und genau betrachtet werden. So verfügt AWS auch selbst über eine ISO 27001 Zertifizierung. Alle Daten, die von AWS im Namen von Kunden gespeichert werden, weisen starke Sicherheits- und Kontrollfunktionen zur Mandantenisolierung auf. Bei Eintritt eines Informationssicherheitsvorfalls ist es also wichtig, ein klares, bestenfalls automatisiertes Vorgehen zur Schadensminimierung definiert zu haben.