Wie sicher ist Cloud-Hardware?
Die Cloud ist zu einer Selbstverständlichkeit geworden. Unser Autor ist sich durchaus darüber im Klaren, dass sich das Rad der Geschichte nicht zurückdrehen lässt. Die Abhängigkeit von der „Blackbox Cloud“behagt ihm aber nicht.
Viele CIOs wollen den Cloud-Angeboten der ITHersteller nicht trauen. Sie haben ein mulmiges Gefühl, wenn sie die Hardware nicht mehr „im Griff“haben.
Vor gar nicht so langer Zeit war ein Server noch etwas, das Unternehmen exklusiv besaßen. Vor dem Kauf wurden Spezifikationen gewälzt und Angebote analysiert. Beim Ausfüllen des Bestellformulars machte sich bei den Verantwortlichen oft eine gewisse Vorfreude breit: Wie wird es sein, wenn die neue „Wundermaschine“endlich im eigenen Server-Raum steht?
Ein Teil der Faszination lag wohl auch darin, dass sich Hardware anfassen ließ. Heute gibt es diese Berührungspunkte immer seltener. Einige Menschen klicken noch auf der Homepage eines Cloud-Anbieters herum, um eine „Instanz“zu kreieren, aber die meisten überlassen das Einrichten eines Servers den Script-Automatismen von Deployment Bots. Vielleicht denken sie noch einen Augenblick über die exakte Größe der Server-Instanz nach, aber spätestens dann übernimmt Kollege Roboter wieder.
Die Entkoppelung von Mensch und Hardware verstärkt sich weiter, je mehr das Thema Serverless Computing Fahrt aufnimmt. Der Trend bedeutet, salopp gesagt, dass sich Nutzer noch weniger über die Kisten Gedanken machen müssen, in denen die Prozessoren werkeln. Sie übergeben letztendlich ihren Softwarecode an den Anbieter ihres Vertrauens, und der kümmert sich dann darum, dass die Workloads von irgendeinem Chipsatz in einem Rechenzentrum korrekt abgearbeitet werden.
Die automatisierten Abläufe haben sicher große Vorteile: Anwender, die nichts über die Hardware wissen, müssen sich auch keine Gedanken über Speicherkonfigurationen, Laufwerkpartitionierungen oder zerstörte DVD-ROM-Laufwerke machen. Neue Tools und Bots ersparen ihnen aufreibende Meetings und unerfreuliche Review-Sessions. Geld und Personal lassen sich einsparen. Die Probleme beginnen aber, wenn Details unberücksichtigt bleiben. Das passiert, wenn die User per Mausklick den gefühlt Millionen von AGB in endlosen Vertragsdokumenten zustimmen, ohne diese jemals wirklich komplett gelesen zu haben. Auf die meisten Details kommt es ja auch tatsächlich nicht an. Dennoch gibt es Risiken, und man kann in diesem Glücksspiel durchaus auch verlieren.
Bekanntlich gibt es immer ein erstes Mal, das gilt auch für Code, der plötzlich nicht mehr funktioniert. Die Wahrscheinlichkeit, dass es dazu kommt, mag gering sein, doch sie existiert. Und im Regelfall tritt ein solcher Umstand immer zum denkbar ungünstigsten Zeitpunkt auf. Anwender müssen sicher keine paranoiden Zustände bekommen, aber sie sollten sich mit den Risiken beim Einsatz moderner Hardware beschäftigen.
Unklare Server-Lokalisierung
Die Probleme beginnen mit dem Standort des Servers. In der Cloud wissen wir oft wenig über den physischen Standort. Vielleicht haben wir gehört, dass sich unsere Instanz in New York oder Karachi befindet – manchmal kennen wir aber nicht einmal das Land. Nun ließe sich argumentieren: Was wir nicht wissen, können
auch potenzielle Angreifer nicht ahnen. Unsere Unkenntnis wäre demnach so etwas wie ein Security-Feature. Unangenehm wird es aber spätestens, wenn Unternehmen über den physischen Standort ihrer Server informiert sein müssen, um Compliance- und Datenschutzanforderungen erfüllen zu können. Auch wenn es um steuerliche Angelegenheiten oder rechtliche Fragestellungen geht, kann der ServerStandort relevant sein.
Ist die CPU die richtige?
Es ist noch gar nicht so lange her, dass IT-Experten ausgiebig darüber diskutiert haben, ob sie nun auf den Chip der sechsten Generation setzen oder gleich die neueste, siebte Prozessorgeneration wählen sollen. Nächtelang haben sie über Benchmark-Tabellen gebrütet und Kosten mit Leistung ins Verhältnis gesetzt. Heute ist die Wahrscheinlichkeit hoch, dass im Unternehmen nicht einmal der Hersteller, geschweige denn das genaue Modell oder Details über die CPUs bekannt sind. Die Cloud-Anbieter verkaufen ihren Kunden Instanzen mit kryptischen Namen wie „m1“oder „large“, mit denen niemand etwas anfangen kann. Oft haben diese Einheiten – anders als ihre Bezeichnung suggeriert – gar nichts miteinander zu tun, die Namen wurden rein zufällig vergeben.
Einige Cloud-Firmen versuchen, die „virtuelle CPU-Leistung“zu messen und in der exakt gewünschten Menge an ihre Kunden zu verkaufen. Wie die Zahlen zustande kommen, ist in Wirklichkeit unklar. Sie könnten mit der Zahl der Cores in der Maschine zu tun haben, die in irgendeiner Form Threading- und Parallelalgorithmen tangieren. Sicher ist das nicht, transparent schon gar nicht. Ausgeblendet wird auch, dass einige Sicherheitslücken und Bugs nur ganz bestimmte Prozessormodelle betreffen. Ein Beispiel ist hier die Hidden-GodMode-Schwachstelle: Sie betraf nur einen einzigen Chipsatz, den VIA C3 der x86-CPU-Reihe.
Für Anwender kann es manchmal auch deshalb nützlich sein, Informationen über Threading-Modelle und Hardwarekerne zu haben, um dem eigenen Algorithmen gezielt Beine machen zu können. Das Nichtwissen führt im Hardwarebereich zu vielen kleinen und auch größeren Problemen. Wer keine Details über die CPUs der bereitgestellten Server hat, muss sich voll auf seinen Cloud-Anbieter verlassen und hoffen, dass dieser nicht bloß beteuert, sich um alle auftretenden Probleme zu kümmern, sondern auch Wort hält.
Welcher RAM-Speicher darf es sein?
Ähnlich verhält es sich mit den Speicherbausteinen. Früher haben sich Hardwareexperten viele Gedanken darüber gemacht, ob es sich lohnen könnte, auf einen schnelleren und stabileren Arbeitsspeicher umzusteigen. Marken und technologische Ansätze spielten eine wesentliche Rolle. Heute haben wir keine Ahnung mehr, wie gut oder schlecht die Hardware ist. Darum kümmern sich die Spezialisten in Diensten des Cloud-Providers. Die Frage ist aber, nach welchen Kriterien sie das tun. Vielleicht kämpfen Kunden mit Systemausfällen, nur weil der verwendete RAM nicht geeignet ist. Wir werden es nicht erfahren.
Forscher entdeckten schon vor Jahren zahlreiche Möglichkeiten, um RAM-Speicher zu kompromittieren. So nutzen bestimmte Attacken den in Speicherbausteinen vorzufindenden Konstruktionsfehler Rowhammer aus, der Angreifern ermöglicht, bestimmte Bits im Arbeitsspeicher ohne Schreibzugriff zu manipulieren. Durch solche Veränderungen können Sicherheitsvorkehrungen umgangen werden. Fakt ist also, dass wir nicht einmal der grundlegenden RAM-Semantik vertrauen können – was immer das für große Server-Farmen in Cloud-Rechenzentren heißen mag.
Welche Speichermedien sind zu empfehlen?
Einige Cloud-Anbieter werden SSDs einsetzen, andere moderne Festplatten. Wieder andere mieten sich irgendwo Speicherplatz und wissen gar nicht, was im Hintergrund läuft. Tatsächlich gibt es aber bei Harddisks große Unterschiede in Sachen Zuverlässigkeit und Qualität. Das gilt auch für Flash-Speichermedien, die in
unterschiedlichen Verfahren hergestellt werden. Liegt ein Problem nun daran, dass Speicherzellen zu oft überschrieben wurden oder dass der neu eingestellte Softwareentwickler Fehler gemacht hat? Die Fehleranalyse ist schwieriger geworden. Viele Kunden werden als Antwort in der Blackbox Cloud weitere Instanzen dazubuchen.
Noch mehr mysteriöse Chipsätze
Mit dem Rest eines Computersystems beschäftigen sich die meisten Menschen gar nicht erst. Sie reden über CPUs, im KI-Zeitalter häufiger auch von GPUs, aber abgesehen vom Netzwerkteam beschäftigt sich kaum jemand mit der Networking Processing Unit (NPU). Sie verrichtet still und leise ihren Dienst und verschiebt Ihre Daten so zuverlässig und gewissenhaft, dass sie in Vergessenheit geraten ist. Doch auch NPUs sind auf Firmware angewiesen, und Cloud-Umgebungen brauchen rekonfigurierbare Netzwerk-Layer mit hochkomplexen Funktionen. Hat sich schon mal jemand Gedanken darüber gemacht, was ein Hacker mit einer Netzwerkkarte anstellen kann?
Mit welcher Technologie haben wir es zu tun?
In der Cloud ist es nicht immer einfach, einen Service treffend zu beschreiben. Amazons Storage-Angebot „Glacier“scheint günstig, aber der Konzern wird seinen Kunden nicht sagen, welche Technologien er dort zum Einsatz bringt. Besteht der Service aus opulenten Racks, vollgestopft mit langsamen, magnetischen Festplatten? Vielleicht werden die Daten ja auch auf Blu-ray-Discs gebannt oder auf Magnetbändern, die von flinken Roboterhänden gewechselt werden. Eventuell liegt die Wahrheit auch irgendwo in der Mitte und Amazon setzt auf einen Technologiemix, um die Kosten gering zu halten. Mysteriös ist das Angebot in jedem Fall: Alles, was die Kunden erfahren, ist, welche Kosten pro Gigabyte auflaufen und wie lange es dauert, bis sie an gespeicherte Informationen gelangen. Wir sollten uns vor Augen führen, dass der Umzug in die Cloud Unternehmen nicht gegen schlimme Ereignisse versichert. Systemausfälle, implodierende Laufwerke oder Ransomware-Angriffe sind weiterhin möglich. IT-Anwender haben aber nur noch begrenzten Einfluss, sie sind vom Geschehen im Backend weitestgehend abgeschnitten und voll auf funktionierende Prozesse bei ihrem Provider angewiesen.
Dabei kennen sie die Menschen, die sich beim Anbieter um technische Details kümmern, in der Regel nicht persönlich. Im besten Fall gibt es eine Kommunikation über E-Mails oder ein Ticket-System. Kommt es zum GAU, werden die Anwälte, Manager und PR-Abteilungen des Providers dafür sorgen, dass es keine negativen Folgen für den Anbieter gibt.
Sind diese Sorgen wirklich begründet? Die Ransomware-Attacke auf den Hosting-Anbieter iNSYNQ am 16. Juli 2019 zeigt, was passieren kann. Das Unternehmen, das unter anderem Business-Anwendungen von Intuit und Sage hostet, wurde Opfer einer erfolgreichen Ransomware-Attacke. Zahlreiche Kunden konnten nicht mehr auf ihre Daten zugreifen, nachdem etliche Server und Backup-Server heruntergefahren werden mussten. Auf Twitter und in anderen Foren beschwerten sich die Anwender über die Kommunikationspolitik des Anbieters und tauschten Gerüchte über technische Details aus.
Drei Wochen später präzisierte das Unternehmen, das aus ethischen Gründen nicht bereit war, an die Erpresser zu zahlen, es sei Opfer einer neuen Variante der Ransomware „MegaCortex“geworden. Obwohl die Backups auf anderen Servern lagen, hätten die Cyber-Kriminellen auch diese Systeme erfolgreich angegriffen. Es gebe derzeit keine Hinweise, dass Kundendaten abgesaugt worden seien. Die Stabilisierung der Systeme sei „ein unglaublich zeitaufwendiger Prozess“gewesen, da Tausende von Kunden-Desktops einzeln wiederhergestellt werden mussten.