Cloud : Wie können Deutschlands Behörden die Cloud sicher nutzen?

In unserem Privatleben und in der Unternehmenspraxis haben sich Cloudlösungen weitgehend durchgesetzt, weil sie viele Vorteile mit sich bringen. Die zentrale Motivation ist die gleichzeitige Nutzung von Systemressourcen durch mehrere Nutzer: Je mehr Ressourcen geteilt werden, desto besser ist die Systemauslastung und desto geringer sind die Kosten für den Einzelnen. Unternehmen sparen Ausgaben für die Administration, da diese im Cloud-Rechenzentren zentralisiert ausgeführt wird. Für die Nutzer ist von Vorteil, dass sie agil auf Lastsituationen reagieren können und Flexibilität gewinnen. Des Weiteren können Cloud-Datacenter eine höhere Sicherheit bieten, als das einzelne Unternehmen für sich finanzieren könnten. Zudem bietet die Cloud eine hohe Ausfallsicherheit, da man mit der Verteilung der Workloads auf mehrere Datacenter Redundanzen schaffen kann.

Cloud: Eine Vertrauensfrage

Diese Vorteile machen die Cloud auch für Behörden interessant. Gerade mit dem Anforderungen der Corona-Pandemie haben wir erlebt, wie auch größere Behörden in kürzester Zeit ihre Anwendungen online verfügbar machen mussten, damit ihre Mitarbeiter im Homeoffice arbeiten können. Die schnelle Verfügbarkeit von sicheren Rechenressourcen kann gerade in einem solchen Fall die Situation retten.

Gleichzeitig stellen sich mit der Verlagerung von Anwendungen in die Cloud schwierige Fragen. Wie gut sind etwa meine Daten vor fremden Zugriff gesichert? Klar ist, dass sich für die kritischen Daten und Anwendungen in der Cloud eine erheblich größere Angriffsfläche bietet, weil sich deren Sicherheit nun zusätzlich auf der komplexen Datacenter- und Netzwerk-Infrastruktur abstützen muss. Daher ist die entscheidende Frage: Kann ich dem Datacenter-Betreiber und seiner Hardware-, Software- und Netzwerkinfrastruktur vertrauen?

Behörden unterscheiden sich von privaten oder geschäftlichen Nutzern von Netz- und Computerinfrastruktur dadurch, dass sie auch mit Informationen umgehen müssen, die sie nur mit Computern und Netzwerkgeräten verarbeiten dürfen, die explizit vom Bundesamt für Sicherheit in der Informationstechnik (BSI) dafür zugelassen wurden. Das heißt, für Informationen, die nach Geheimhaltungsgrad VS-NfD oder höher klassifiziert sind, müssen sie dafür zwingend Geräte und Netze verwenden, denen das BSI vertraut.

Ob ein solches Vertrauen gerechtfertigt ist und überhaupt möglich ist, hängt vom Ergebnis einer Zulassungsprüfung ab, deren Prüftiefe — und damit Aufwand — mit höheren Geheimhaltungsgraden zunimmt. Aufgrund der enormen Komplexität der herkömmlichen Cloud-Infrastrukturlösungen gibt es daher meines Wissens bis heute keine Cloudlösung, die für VS-VERTRAULICH oder GEHEIM zugelassen werden konnte. Daher ist es wichtig, die Komplexität der kritischsten Systemkomponenten so weit zu verringern, dass eine Zulassung möglich wird.

Cloud-Monolith: Zu groß für einen Sicherheitscheck

Eine zentrale Softwarekomponente von Cloudlösungen stellt der Hypervisor dar. Aufgabe des Hypervisors ist es, virtuelle Maschinen (VMs), also virtuelle Abbilder von physischen Systemen, auszuführen. In diesen VMs laufen die Anwendungen der Kunden. Auf den Servermaschinen im Datacenter führt der Hypervisor mehrere VMs gleichzeitig aus, die sich die vorhandenen Ressourcen teilen. Einzelne Kunden haben typischerweise keine Kontrolle darüber, auf welchen Servermaschinen ihre VMs zur Ausführung kommen. Auch haben die Kunden kein Wissen über andere Cloudkunden und können daher den Anwendungen in anderen VMs nicht vertrauen. Das bedeutet, dass das Vertrauen der Kunden in die Sicherheit der Cloudlösung inhärent davon abhängt, wie gut der Hypervisor VMs voneinander isolieren kann. Diese Isolation der VMs und darin befindlichen Daten und Anwendungen ist damit der sensibelste Punkt für die IT-Sicherheit einer Behördencloud.

Etablierte Hypervisor-Lösungen, wie sie beispielsweise die gängigen Hyperscaler anbieten, benutzen monolithische Architekturen, was bedeutet, dass eine große Menge an essenzieller Funktionalität, das heißt Code, in einer Softwarekomponente vereint sind. Es gibt keine Abgrenzungen zwischen diesen Funktionen, die die Auswirkungen eines Fehlers eindämmen könnten. Das bedeutet, dass man zur Zulassung eines solchen monolithischen Hypervisors möglicherweise die Gesamtheit seines Codes evaluieren müsste. Bei Umfängen von mehreren 10 Millionen Zeilen Quellcode ist dies praktisch unmöglich.

Mikro vs. Mono: Wie Merkur zur Sonne

Für nachweislich sichere Systeme ist daher ein anderer architektureller Ansatz nötig: Der Hypervisor muss in kleine Module aufgeteilt werden können, die klar definierte Schnittstellen bieten und einzeln auditiert und verifiziert werden können. Diese kleinen Module müssen nachweislich sicher isoliert werden, so dass sie sich nicht ungewollt gegenseitig beeinflussen können. So lässt sich der Anteil der Software minimieren, der man für die Herstellung von IT-Sicherheit vertrauen muss; und auch nur diese Codemenge muss für eine Zulassung evaluiert werden.

Mikrohypervisorsysteme weisen eine solche Architektur aus Modulen auf. Sie verwenden als Betriebssystemkern einen Mikrokern, der eine Trennung der Systemkomponenten ermöglicht und selbst aus nur wenigen tausend Zeilen Code besteht, was im Vergleich zu einem monolithischen Betriebssystemkern mindestens ein Größenverhältnis wie der Merkur zur Sonne darstellt. Diese Codemenge ist überschaubar und eignet sich für Evaluierungen. Es bietet sich also an, eine Behördencloud mit einem Hypervisor umzusetzen, der auf einem Mikrokern basiert.

Deutschland ist hier in einer glücklichen Ausgangslage: Mikrokernbetriebssysteme werden in Deutschland entwickelt, teilweise sogar als Open Source, sodass der Vertrauensaufbau besonders leicht fällt. Auf Mikrokernen basierte Systeme kommen bereits heute in Systemen zum Einsatz, die das BSI bis zur Geheimhaltungsstufe GEHEIM zugelassen hat. Der Schritt hin zu einer darauf aufbauenden mikrokernbasierten Behördencloudlösung ist also nicht besonders groß. Trotzdem ist noch etwas Mut vonnöten: Diese Lösungen müssen noch in bestehende Datacenter-Infrastrukturen integriert werden, um im Komfortvergleich mit den monolithischen Lösungen der Hyperscaler bestehen zu können. Auf dem heute stattfindenden BSI-Kongress werden erste Demonstratoren gezeigt und die dafür nötigen Schritte diskutiert.

Michael Hohmuth beschäftigt sich seit mehr als zwanzig Jahren mit Mikrokernen. An der TU Dresden und auch bei AMD forschte er zu den Schwerpunkten Betriebssysteme, Virtualisierung, Rechnerarchitektur und IT-Security. Seit 2012 ist er Geschäftsführer der Kernkonzept GmbH.