Forensische Analyse in der Cloud

Die Nutzung von Cloud-Diensten hat nicht nur die IT an sich grundsätzlich verändert sondern auch in speziellen Teilbereichen der Informationssicherheit zu neuen Herausforderungen geführt. Insbesondere die forensische Analyse von Angriffen und Sicherheitsvorfällen bei der Nutzung von Cloud-Diensten verlangt eine grundsätzlich andere Vorgehensweise als die klassische forensische Analyse mit physischen Zugriff auf die IT-Systeme und Speichermedien.

Cloud Computing Service Modelle

Bei der Nutzung von Cloud-Diensten werden üblicherweise drei Modelle unterschieden, IaaS (Infrastructure as a Service), PaaS (Platform as a Service) und SaaS (Software as a Service). Sonderformen wie beispielsweise Secaas (Security as a Service) oder VoIPaas (Voice over IP as a Service) bleiben hier unberücksichtigt.

  • Infrastructure as a Service: In IaaS stellt der Cloud-Provider primär Hardware und Virtualisierung. Das Betriebssystem und alle Anwendungen werden vom Kunden installiert und betrieben. Ein großer Teil der Verantwortung für die Informationssicherheit verbleibt deshalb beim Kunden. Lediglich für die physische Sicherheit und die Sicherheit der Virtualisierung ist der Cloud-Provider alleine verantwortlich.
  • Platform as a Service: Mit PaaS stellt der Cloud-Provider dem Kunden eine Entwicklungsplattform für Webdienste zur Verfügung. In der Regel bekommen Kunden keine Kontrolle mehr über das Betriebssystem, diese Verantwortung geht deshalb auf den Provider über.
  • Software as a Service: InSoftware as a Service nutzt der Kunde eine Anwendung, die komplett vom Cloud-Provider betrieben wird. Die Verantwortung für die Sicherheit von Hardware, Betriebssystem und Anwendung liegen deshalb vollständig beim Provider.

Die folgende Grafik bildet eine mögliche Verteilung der Verantwortung ab.

Herausforderungen bei der forensischen Analyse

Die forensische Analyse von Cloud-Diensten ist insbesondere durch die folgenden Herausforderungen gekennzeichnet.

Trennung von Daten und Metadaten

Bei der forensischen Analyse von cloud-basierten Systemen ergibt sich ein sehr grundsätzliches Problem bereits darin, dass die betroffenen Daten und die zugehörigen Metadaten an unterschiedlichen Stellen gespeichert und verwaltet werden. Metadaten sind beispielsweise Dateieigentümer, Zugriffsberechtigungen, Zeitstempel der letzten Änderung und des letzten Zugriffs und weitere Informationen wie Account und IP-Adresse der letzten Zugriffe. Auf normalen Datenträgern werden Eigentümer, Zugriffsberechtigungen und Zeitstempel direkt mit den Daten selbst im Filesystem gespeichert und können gemeinsam ausgewertet werden. Allerdings existieren Daten über Account und IP-Adresse der letzten Zugriffe überhaupt nicht. In Cloud-Diensten werden die Daten unabhängig von Metadaten und möglicherweise verteilt auf verschiedenen Datenträgern oder sogar in verschiedenen Rechenzentren gespeichert. Metadaten müssen dann aus der Verwaltungsdatenbank oder aus Server-Logfiles gezogen werden.

Eine IT-forensische Analyse eines Sicherheitsvorfalls eines Cloud-Dienstes kann durch den Kunden nicht eigenständig durchgeführt werden, da der Kunde in der Regel keinen Zugriff auf die Verwaltungsdatenbank und die Server-Logfiles hat.

Fehlende Werkzeuge

Für die forensische Analyse von Datenträgern existieren verschiedene kommerzielle (z.B. EnCase, X-Ways) aber auch Open Source (z.B. Autopsy, Sleuth Kit) Werkzeuge, die alle gängigen Filesysteme und Dateiformate unterstützen und eine einfache Auswertung der gefundenen Daten ermöglichen.

Für die forensische Analyse fehlen geeignete Werkzeuge, die einen einfachen Import der Daten und Logfiles und eine übersichtliche Auswertung ermöglichen.

Fehlende Standards

Während es für die klassische forensische Analyse umfassende Empfehlungen, Regelungen und Standards gibt, in Deutschland beispielsweise einen Leitfaden IT-Forensik vom Bundesamt für Sicherheit in der Informationstechnik, fehlen diese für Cloud-Dienste. Der Leitfaden des BSI ist aus dem Jahr 2011 und berücksichtigt natürlich noch keine Cloud-Dienste. Der Standard ISO/IEC 27037 "Guidelines for identification, collection, acquisition and preservation of digital evidence" aus dem Jahr 2012 hilft ebenfalls nicht weiter.

Auf der anderen Seite fehlen auch Standards und einheitliche Formate für Logfiles. Einzelne Cloud-Anbieter geben Logfiles im CSV-Format heraus, andere nutzen Textfiles im Syslog-Format, teilweise werden Logfiles auch in Datenbanken gespeichert. Ebenfalls uneinheitlich ist der Umfang der protokollierten Daten. Während Client-IP-Adresse, angemeldeter Benutzer und Zeitstempel typischerweise von allen Anbietern protokolliert werden, fehlen teilweise weitergehende Informationen, z.B. zur Art der Anmeldung, zum genutzten Browser, zum Client-Betriebssystem etc. Teilweise sind dann zwar Handlungen nachvollziehbar, wichtige Informationen zur Identifizierung der Angreifer fehlen jedoch.

Unterschiedliche Jurisdiktionen

Ein weiteres Problem stellen unterschiedliche Jurisdiktionen mit teilweise sehr unterschiedlichen Rechtssystemen dar. Handlungen die in einem Land strafbar sind, gelten in einem andere Land nur als Ordnungswidrigkeiten oder sind gar nicht strafrechtlich relevant. Werden Daten von einem Cloud-Anbieter in einer Jurisdiktion mit anderem Rechtssystem gespeichert, kann es problematisch werden, die notwendigen Daten und Logfiles zur forensischen Analyse von Vorfällen überhaupt zu erhalten. Auch behördliche Auskunftsersuchen helfen dann oft nicht weiter.

Unsere Leistung

Wir beraten und unterstützen Sie bei der Analyse von Angriffen und Sicherheitsvorfällen in der Cloud. Wir helfen Ihnen, die notwendigen Daten, Protokolle und Logfiles von Ihrem Cloud-Provider anzufordern und unterstützen Sie bei der Auswertung dieser Daten.

Falls notwendig, helfen wir Ihnen außerdem bei der Meldung von Datenschutzverletzungen nach Artikel 33 DSGVO und bei der Vorbereitung einer Strafanzeige.