Der Kanton Baselland setzt seit rund einem Jahr als bislang einziger Kanton auf die Dienste von Cloudflare. Zuvor machte bereits der Bund Schlagzeilen mit seinen Public Cloud-Ambitionen. Darunter auch der vergleichbare Dienst Cloudfront von Amazon, der beim Bund bereits seit der COVID19-Pandemie zum Einsatz kommt, über den wir bereits berichtet haben.
Um das Thema zu verstehen müssen wir zuerst ein paar Begrifflichkeiten klären. Für die, die sich das auch so zutrauen, geht es hier weiter.
Exkurs: Was ist das für eine Cloud?
Die Cloud ist eigentlich ein klar definierter Begriff, der jedoch umgangssprachlich sehr allgemein genutzt wird. Gemäss der NIST Definition ist eine Cloud ein Modell für IT-Dienstleistungen, dass
den Kund:innen erlaubt, Ressourcen selbständig zu buchen,
die über das Internet erreichbar sind,
die Ressourcen mit anderen Kund:innen teilt,
Ressourcen kurzfristig an den Bedarf angepasst werden können und
nach Verbrauch abgerechnet wird.
Diese Dienstleistungen können in ihrer Ausprägung ganz unterschiedlich sein. Amazon bietet z.B. als einer der grössten Anbieter sehr viele Cloud Dienstleitungen an. Neben verschiedenen Infrastrukturen, Plattformen und Diensten, wie z.B. Cloudfront, werden auch diverse sehr spezifische Dienste angeboten – bis hin zu Blockchain und Satalitenkommunikation. Auch die Produkte von Amazon selbst, wie der Online Marktplatz oder das Videostreaming, laufen auf dieser Cloud. Ob man all diese Produkte wirklich braucht, wurde bei der Ausschreibung des Bundes zurecht hinterfragt. Zudem sind längst nicht all diese Dienste an den Schweizer Standorten verfügbar.
Cloudflare’s Kernkompetenz ist die Lastverteilung und Absicherung für Webseiten zu übernehmen. Wie das funktioniert behandeln wir später. Inzwischen bietet Cloudflare auch andere Dienste an, die auch das Speichern und aktive Verarbeiten von Daten erlauben, doch für diesen Artikel ist nur wichtig, dass sich Anbieter wie Cloudflare in dem Punkt von Anbietern wie Amazon unterscheiden, dass sie selbst kein so umfangreiches Angebot anbieten.
Die hier genannten Beispiele sind keinesfalls die einzigen Cloud Anbieter. Es gibt unzählige Cloud-Dienstleister, auch mit Sitz in Europa, und man kann auch selber eine Cloud Infrastruktur aufbauen.
Cloud-Dienste als Wundermittel gegen DDoS-Angriffe?
Ein DDoS-Angriff ist nicht gleichzusetzen mit einem Hackerangriff, wie es einige Medien betiteln.
Bei einem DDoS erhält ein Server oder ein Netzwerk sehr viele Netzwerkanfragen von anderen Netzwerken. Die einzelnen Anfragen sind in der Regel harmlos, doch die grosse Anzahl führt zu einer Überlastung. DDoS steht für Distributed Denial of Service, dass heisst die Anfragen kommen von vielen verschiedenen Netzwerken, sodass sich nicht einfach ein einzelnes Netzwerk blockieren lässt.
Eine solche Überlastung kann auch durch eine ganz natürliche Ursache begründet sein, so geschehen zu Beginn der COVID19-Pandemie, verursacht durch den grossen Informationsbedarf. Bei einem DDoS-Angriff geschieht diese Überlastung jedoch mutwillig und die Netzwerkanfragen werden von einem einzelnen Initiator koordiniert. Dazu muss der Initiator nicht unbedingt selber unzählige Netzwerkgeräte besitzen, sondern es reicht der Zugang zu Geräten im Internet, die entweder nicht abgesichert sind oder mit einer Malware infiziert sind, die sie fernsteuern lässt. Solche sogenannte Bot-Netzwerke können auch auf dem Schwarzmarkt erworben oder gemietet werden.
Wenn man sich vertieft mit der Technik dahinter befasst, wird man feststellen, dass es verschiedene Kategorien von DDoS-Angriffen gibt und entsprechend verschiedene Schutzmassnahmen, die getroffen werden können. Grundsätzlich gibt es aber keinen absoluten Schutz dagegen, solange die Angreifer mehr Ressourcen als das Opfer aufbieten können.
Hier kommen grosse Cloud-Dienste wie Cloudflare ins Spiel. Diese haben riesige Netzwerkkapazitäten weltweit und können damit DDoS-Angriffe erkennen und abwehren. Durch das grosse Netzwerk können die Angriffe bereits an der Quelle erkannt werden und nicht erst beim Ziel, dass dadurch überlastet würde. Die Quellen werden entweder ganz blockiert oder man wird zu einem kleinen Rätsel weitergeleitet, wo man beweisen soll, dass man tatsächlich die Webseite besuchen möchte und nicht Teil eines Bot-Netztes ist. Vielleicht ist dir auch schon einmal eines dieser nervigen Captcha begegnet?
Bei normalen Webseiten kann man mehr oder weniger nach belieben Blockaden einbauen. Bei den Webseiten von Bund und Kantonen ist das etwas schwieriger: Diese Webseiten werden von der Bevölkerung für verschiedene Dienstleistungen und den Abruf wichtiger Informationen gebraucht. Dies wird mit der angestrebten Digitalisierung der Verwaltung auch noch zunehmen. Wenn nun einige vom Zugriff auf diese Dienste ausgeschlossen werden ist das problematisch. So war bspw. auch die Seite parlament.ch aus dem Freifunk Netzwerk zeitweise nicht aufrufbar. Ausgeschlossen werden kann auch heissen, dass Menschen mit Beeinträchtigungen nicht unbedingt in der Lage sind, Captcha-Rätsel schnell genug zu lösen. Zudem stellt sich die Frage, was mit den von diesen Rätseln gesammelten Daten passiert.
Doch kein Wundermittel
Cloud-Dienste sind kein Wundermittel gegen DDoS- und andere Angriffe. Selbst die grössten Cloud-Anbieter haben manchmal Probleme. Jüngst ist z.B. die M365-Cloud Opfer eines DDoS-Angriffs geworden. Schaut man sich die StatusmeldungenderCloud–Dienste an ist unverkennbar, dass regelmässig irgendwo, irgendetwas nicht so ganz funktioniert. Verschiedene Beratungen oder extra Schutz- und Ausfallgarantien können zwar bei einigen Cloud-Diensten bezogen werden, die lassen sich das aber sehr teuer bezahlen und eine absolute Ausfallgarantie gibt es nie. Diese Ausfall-Transparenz ist hier übrigens nichts negatives, sondern ermöglicht es, die Risiken zu kalkulieren, bei einem Ereignis rasch Gewissheit zu haben und von den Fehlern zu lernen.
Meistens bekommen wir von den einzelnen Störungen nicht viel mit, aber den 4. Oktober 2021 haben noch einige in Erinnerung, als beim Konzern Meta alle Dienste, darunter Facebook, Instagram und WhatsApp, für mehrere Stunden ausfielen. Für viele war das ein Problem, da sie sich in ihrer ganzen Kommunikation auf diesen einen Cloud-Dienst verlassen.
Die Cloud ist ein Klumpenrisiko: Wenn dort etwas richtig kaputt geht, hat das enorme Auswirkungen. Darum ist es extrem wichtig, dass man seine Daten und Prozesse nicht blind einer Cloud anvertraut, sondern das System dahinter versteht und die Risiken einordnen kann.
Datensouveränität in der Cloud
Bei den Piraten haben wir schon oft angeprangert, dass das Know-How bei uns verloren geht, wenn wir uns immer mehr auf externe Cloud Dienstleister verlassen. Ausserdem sitzen die meisten dieser Dienste im Ausland und damit ausser Reichweite der hiesigen Gesetzgebung. Bei den USA, wo die beiden Beispiele Amazon und Cloudflare herkommen, ist das zudem ein Land, dem kein angemessenes Datenschutzniveau zugesprochen wird. Immerhin haben die beiden genannten Vertreter Amazon und Cloudflare inzwischen auch Serverstandorte in der Schweiz. Ansonsten würde es auch netzwerktechnisch nicht viel Sinn machen, wenn die vermeintlich überwiegend von Schweizer:innen benötigten Dienste immer Kilometerweit im Ausland angefragt werden müssen.
Bei den Diensten Cloudfront und Cloudflare besteht jedoch noch ein grundsätzlicheres Problem. Mittlerweile ist es Standard, dass die Daten zwischen Client und Server, also deinem Browser und der Webseitenbetreiber, verschlüsselt übertragen werden. Wird ein solcher Clouddienst dazwischen geschaltet, findet die Verschlüsselung aber nur noch zwischen dem Browser und dem Cloud-Dienst statt. Dieser entschlüsselt die Daten, wendet darauf verschiedene Algorithmen an, z.B. um häufig angefragte Daten zwischenzuspeichern (Cache) oder die Anfragen auf bekannte Angriffsmuster zu untersuchen, und leitet sie dann (neu verschlüsselt) an das eigentliche Ziel weiter.
Technisch gesehen könnten die Betreiber der Cloud also alles mitlesen und manipulieren. Rechtlich gesehen sichern sich die Clouds, Bund und Kantone mit Verträgen ab, dass die Cloud-Betreiber und deren Mitarbeitenden dies nicht zweckentfremden dürfen, bzw. zur Geheimhaltung verpflichtet sind.
Die Verschlüsselung findet nur zwischen Computer und Cloud bzw. Cloud und Server statt. In der Cloud selbst sind die Daten jedoch nicht verschlüsselt.
Nun gibt es verschiedene Arten von Webseiten. Beim einfachen Besuch einer Webseite hinterlässt man zwar verschiedene Spuren, wie IP-Adressen, Cookies, Browsereinstellungen usw., es fallen jedoch meistens keine vertraulichen Informationen an. Auf der Webseite von Behörden sind aber auch verschiedene Kontaktformulare vorhanden. Je nach Behörde und Grund der Kontaktaufnahme kann es sich hierbei sehr wohl um sensible Daten, bspw. Gesundheitsdaten, handeln. Für diese besonders schützenswerten Personendaten gelten strengere Datenschutzbestimmungen.
Der Fall Baselland: Falsche Implementierung
Beim Kanton Baselland wurden in der Implementierung des Cloudflare Services mehrere Fehler gemacht.
1. Fehlende Datenschutzabklärung
Eine Anfrage der Piratenpartei beider Basel an die Aufsichtsstelle Datenschutz des Kantons Basel-Landschaft (Stand 08.09.2022) hat ergeben, dass diese überhaupt nicht über den Einsatz von Cloudflare informiert wurde. Unsere Anfrage war der Anstoss, der die Abklärungen überhaupt erst ins Rollen gebracht hat. An den Datenschutz hat in der ganzen Auftragskette zwischen Planung, Testphase (Stand 25.05.2022) und Produktivbetrieb (Stand 01.06.2022) offenbar niemand gedacht.
2. Kontaktformulare via Cloudflare verschickt
Die Implementierung des Cloudflare-Services erfolgte nicht nur für die einfachen Webseiten Inhalte, sondern auch für die Kontaktformulare auf der Webseite. Somit wurden also durchaus potenziell besonders schützenswerte Personendaten an Cloudflare übertragen.
Nach den Abklärungen der Aufsichtsstelle Datenschutz wurde unter anderem die Massnahme beschlossen, die Kontaktformulare auf ein anderes System umzuleiten, sodass die Informationen nicht mehr über Cloudflare laufen. Im April 2023 war dies jedoch erst bei rund der Hälfte der Fall und für einen Teil der betroffenen Formulare seien die Anforderungen so spezifisch, dass dafür noch gar keine Lösung gefunden werden konnte.
Wie in diesem Beitrag gezeigt basiert der ganze Schutzfunktion von Cloudflare darauf, dass nicht direkt auf die Server des Kantons zugegriffen wird, sondern über das Netzwerk von Cloudflare. Implementiert man diesen Schutz richtig, auch in der Dokumentation von Cloudflare nachzulesen, reicht es nicht, wenn nur die Webseite geschützt wird. Es müssen auch alle anderen Funktionen, die von der Webseite gebraucht werden, geschützt werden.
Zum einen wäre das die Domain (Internetadresse www.baselland.ch) selbst. Wird nur der Webserver, also das HTTP-Protokoll geschützt, kann z.B. trotzdem noch die Domain, die das DNS-Protokoll verwendet, angegriffen werden. Das führt zwar nicht dazu, dass die Webseite überlastet ist, aber dafür ist die Domain überlastet und die Webseite kann nicht mehr gefunden werden, also im Endeffekt auch nicht mehr aufgerufen werden.
Noch problematischer ist ein anderes Schlupfloch: Kennt man den eigentlichen Server, der hinter Cloudflare liegt, kann man den Schutz von Cloudflare einfach umgehen und eine Ebene darunter über das IP-Protokoll direkt auf diesen Server zugreifen. Cloudflare empfiehlt deshalb, alle Anfragen die nicht von Cloudflare kommen auf dem eigenen Server zu blockieren. Das wurde hier nicht gemacht und da die Server des Kanton Basellands grundsätzlich bekannt sind, weil auch noch andere Dienste des Kantons darüber abgewickelt werden, können so sämtliche Schutzmasnhamen umgangen werden.
Baselland mit CloudflareBaselland ohne Cloudflare
4. Fazit
Aus Sicht des Datenschutzes und der Datensouveränität spricht vieles gegen den Cloudflare-Einsatz des Kanton Basellands. Die Verantwortlichen sind offenbar nicht auf diese Probleme sensibilisiert, da im Vorfeld keine Datenschutzabklärungen eingeholt wurden.
Die möglichen Gründe für den Einsatz werden von der fehlerhaften Implementierung vollständig untergraben. Es ist auch fraglich, ob diese Massnahmen mit den Anforderungen die an eine öffentliche Verwaltung gestellt werden, überhaupt umsetzbar sind.
Der Fall Bundes-IT: Raum für Verbesserungen
Auch beim Bund ist man mit einigen technischen Herausforderungen scheinbar überfordert, was auch durch Medienberichte bestätigt wird.
1. DNSSEC ausgehebelt
Wie in unserem alten Blogbeitrag bereits gezeigt, wurde durch den überstürzen Einsatz von Cloudfront (Stand 16.03.2020) das Sicherheitskonzept von DNSSEC untergraben.
DNSSEC ist ein Protokoll, dass mithilfe von Kryptografie sicherstellt, dass eine Domain auf die richtige IP verweist. Wenn lediglich die Weiterleitung verifiziert wird, jedoch nicht das Ziel der Weiterleitung, ist dieser Schutz nutzlos. Das gleiche Schicksal trifft auch das EDA, die ihrerseits auf den US-Dienstleister Akamai setzten.
Ein ähnliches Protokoll gibt es übrigens auch für IP-Adressen selbst. Das nennt sich RPKI und wird sowohl vom Bund als auch von Amazons Cloudfront vorbildlich eingesetzt. 👍🏾
2. Technische Optimierungen
Neben den Schutzmassnahmen und Netzwerkkapazitäten versprechen Dienste wie Cloudflare zusätzliche Leistungsverbesserungen, indem moderne, effizientere Algorithmen, Dateiformate und Protokolle eingesetzt werden. Dadurch kann die Übertragungsgrösse und Übertragungsdauer, also letztendlich die Ladezeit von Webseiten, erheblich reduziert werden. Selbstverständlich könnten diese Optimierungen auch auf den Servern der Behörden selbst direkt vorgenommen werden.
Wenn Webseiten und Webserver effizient konzipiert sind, können mit den gleichen Ressourcen mehr Abfragen verarbeitet werden. Das schützt auch vor Leistungsengpässen. Solche moderne Lösungen sucht man bei vielen Behörden jedoch vergeblich.
In diesem Beispiel wurden 28.9 MB Daten übertragen und die Ladezeit der Seite betrug 92.5 Sekunden.
Hier, gezeigt an einem einfachen Beispiel der Bundeskanzlei, ist derzeit allein die Startseite knapp 30MB gross. Zum Vergleich: Das entspricht in etwa der Dateigrösse eines zehnminütigen Videos in geringer Auflösung. Verursacht wird das hier durch ein einzelnes Bild, dass im Hintergrund in einer riesigen Auflösung geladen wird. Bei schnellen Internetverbindungen führt das zu einer entsprechend hohen Auslastung der Bandbreite. Bei einer langsamen Verbindung, wie in diesem Fall, bleibt die Verbindung entsprechend lange belegt. Wären die Bilder optimiert und in einer kleineren Auflösung vorhanden, liesse sich sowohl die Ladezeit als auch die Last auf dem Server reduzieren.
💡 Das hätte auch einen positiven Nebeneffekt auf Besucher:innen der Seite, die keine Datenflatrate haben, sondern pro verbrauchte MBs abgerechnet wird. Das ist im Mobilfunkbereich (insbesondere beim Roaming) auch hierzulande noch weit verbreitet.
Dieses Beispiel steht stellvertretend dafür, dass die Dringlichkeit einer modernen, stabilen IT und das Verständnis dafür politisch vernachlässigt werden.
ℹ️ Als Peering bezeichnet man die Verbindungen zwischen mehreren grossen Netzwerken. Zusammen ergeben sie so das Internet. Aktuell listet die PeeringDB für die Bundes-IT nur drei öffentliche Peerings mit einer Gesamtkapazität von 2.1GBit. Das wäre relativ wenig.
Alles andere als förderlich ist die Eingliederung des NCSC beim VBS. Dort sind Interessenkonflikte vorprogrammiert und man kann es der IT-Community nicht übel nehmen, wenn dadurch eine gewisse Distanz zu den Behörden gehalten wird.
Alternativ zum NCSC gäbe es auch noch die Stiftung SWITCH, die sowohl enge Bezugspunkte zum Bund als auch in die IT-Community und zu den Hochschulen hat. Daneben beheimatet die Schweiz auch das CERN, an dem nicht nur das WWW selbst, sondern auch diverse Cloud-Software entwickelt wurden. Durch die unglaubliche Menge an Forschungsdaten die dort anfallen, haben diese Institute viel Erfahrung auf dem Gebiet der Lastverteilung. Dieses Know-How könnte auch dem Bund weiter helfen.
4. Dezentrale Netzwerke
Um für das zukünftige Datenaufkommen gewappnet und resilienter gegen diese Art von Angriffe zu sein, muss man sich von zentralisierten Infrastrukturen verabschieden. Öffentliche Daten, Informationen und Medienmitteilungen, die lediglich abrufbar sein müssen und keine Interaktion erfordern, lassen sich sehr einfach in dezentrale Netze verteilen. Kryptografische Signaturen können die Echtheit dieser Informationen jederzeit bestätigen und gleichzeitig uneingeschränkt repliziert werden.
Apropos dezentral: Zyniker würden nun behaupten «Mit IPv6 wäre das [der DDoS] nicht passiert!» und die Statistiken geben dem teilweise recht, aber die Migration von IPv4 auf IPv6 ist ein notorisches Problem, das von ganz vielen gekonnt ignoriert wird, darum wollen wir hier nicht auch noch den Finger auf die Wunde legen. 😉
Unsere politischen Forderungen
Die Piraten beschäftigen sich seit ihrer Gründung mit den dringlichsten Herausforderungen der Digitalisierung. Bund und Kantone dürfen ihre digitalen Kompetenzen nicht einfach auslagern, sondern müssen diese selber aufbauen um für diese Herausforderungen gewappnet zu sein. Selbst wenn Dienste ausgelagert werden, braucht es trotzdem das Fachwissen, um diese richtig verwalten zu können. Dort wo diese Kompetenzen kurzfristig nicht verfügbar sind, darf dies nicht überhastet und zu lasten des Datenschutzes geschehen. Um Digitalisierungsprojekte überhaupt diskutieren zu können, müssen wir uns auf die grundlegenden Infrastrukturen verlassen können.
Der Kanton Baselland setzt seit rund einem Jahr als bislang einziger Kanton auf die Dienste von Cloudflare. Zuvor machte bereits der Bund Schlagzeilen mit seinen Public Cloud-Ambitionen. Darunter auch der vergleichbare Dienst Cloudfront von Amazon, der beim Bund bereits seit der COVID19-Pandemie zum Einsatz kommt, über den wir bereits berichtet haben.
Um das Thema zu verstehen müssen wir zuerst ein paar Begrifflichkeiten klären.
Für die, die sich das auch so zutrauen, geht es hier weiter.
Exkurs: Was ist das für eine Cloud?
Die Cloud ist eigentlich ein klar definierter Begriff, der jedoch umgangssprachlich sehr allgemein genutzt wird. Gemäss der NIST Definition ist eine Cloud ein Modell für IT-Dienstleistungen, dass
Diese Dienstleistungen können in ihrer Ausprägung ganz unterschiedlich sein. Amazon bietet z.B. als einer der grössten Anbieter sehr viele Cloud Dienstleitungen an. Neben verschiedenen Infrastrukturen, Plattformen und Diensten, wie z.B. Cloudfront, werden auch diverse sehr spezifische Dienste angeboten – bis hin zu Blockchain und Satalitenkommunikation. Auch die Produkte von Amazon selbst, wie der Online Marktplatz oder das Videostreaming, laufen auf dieser Cloud. Ob man all diese Produkte wirklich braucht, wurde bei der Ausschreibung des Bundes zurecht hinterfragt. Zudem sind längst nicht all diese Dienste an den Schweizer Standorten verfügbar.
Cloudflare’s Kernkompetenz ist die Lastverteilung und Absicherung für Webseiten zu übernehmen. Wie das funktioniert behandeln wir später. Inzwischen bietet Cloudflare auch andere Dienste an, die auch das Speichern und aktive Verarbeiten von Daten erlauben, doch für diesen Artikel ist nur wichtig, dass sich Anbieter wie Cloudflare in dem Punkt von Anbietern wie Amazon unterscheiden, dass sie selbst kein so umfangreiches Angebot anbieten.
Die hier genannten Beispiele sind keinesfalls die einzigen Cloud Anbieter. Es gibt unzählige Cloud-Dienstleister, auch mit Sitz in Europa, und man kann auch selber eine Cloud Infrastruktur aufbauen.
Cloud-Dienste als Wundermittel gegen DDoS-Angriffe?
Derzeit machen DDoS-Angriffe auf verschiedene Webseiten des Bundes und der Kantone Schlagzeilen. Betroffen waren unter anderem das Parlament, verschiedene Bundesämter und der Kanton Basel-Stadt, aber auch die bundesnahe SBB.
DDo-waS?
Ein DDoS-Angriff ist nicht gleichzusetzen mit einem Hackerangriff, wie es einige Medien betiteln.
Bei einem DDoS erhält ein Server oder ein Netzwerk sehr viele Netzwerkanfragen von anderen Netzwerken. Die einzelnen Anfragen sind in der Regel harmlos, doch die grosse Anzahl führt zu einer Überlastung. DDoS steht für Distributed Denial of Service, dass heisst die Anfragen kommen von vielen verschiedenen Netzwerken, sodass sich nicht einfach ein einzelnes Netzwerk blockieren lässt.
Eine solche Überlastung kann auch durch eine ganz natürliche Ursache begründet sein, so geschehen zu Beginn der COVID19-Pandemie, verursacht durch den grossen Informationsbedarf. Bei einem DDoS-Angriff geschieht diese Überlastung jedoch mutwillig und die Netzwerkanfragen werden von einem einzelnen Initiator koordiniert. Dazu muss der Initiator nicht unbedingt selber unzählige Netzwerkgeräte besitzen, sondern es reicht der Zugang zu Geräten im Internet, die entweder nicht abgesichert sind oder mit einer Malware infiziert sind, die sie fernsteuern lässt. Solche sogenannte Bot-Netzwerke können auch auf dem Schwarzmarkt erworben oder gemietet werden.
Wenn man sich vertieft mit der Technik dahinter befasst, wird man feststellen, dass es verschiedene Kategorien von DDoS-Angriffen gibt und entsprechend verschiedene Schutzmassnahmen, die getroffen werden können. Grundsätzlich gibt es aber keinen absoluten Schutz dagegen, solange die Angreifer mehr Ressourcen als das Opfer aufbieten können.
Hier kommen grosse Cloud-Dienste wie Cloudflare ins Spiel. Diese haben riesige Netzwerkkapazitäten weltweit und können damit DDoS-Angriffe erkennen und abwehren. Durch das grosse Netzwerk können die Angriffe bereits an der Quelle erkannt werden und nicht erst beim Ziel, dass dadurch überlastet würde. Die Quellen werden entweder ganz blockiert oder man wird zu einem kleinen Rätsel weitergeleitet, wo man beweisen soll, dass man tatsächlich die Webseite besuchen möchte und nicht Teil eines Bot-Netztes ist. Vielleicht ist dir auch schon einmal eines dieser nervigen Captcha begegnet?
Bei normalen Webseiten kann man mehr oder weniger nach belieben Blockaden einbauen. Bei den Webseiten von Bund und Kantonen ist das etwas schwieriger: Diese Webseiten werden von der Bevölkerung für verschiedene Dienstleistungen und den Abruf wichtiger Informationen gebraucht. Dies wird mit der angestrebten Digitalisierung der Verwaltung auch noch zunehmen. Wenn nun einige vom Zugriff auf diese Dienste ausgeschlossen werden ist das problematisch. So war bspw. auch die Seite parlament.ch aus dem Freifunk Netzwerk zeitweise nicht aufrufbar. Ausgeschlossen werden kann auch heissen, dass Menschen mit Beeinträchtigungen nicht unbedingt in der Lage sind, Captcha-Rätsel schnell genug zu lösen. Zudem stellt sich die Frage, was mit den von diesen Rätseln gesammelten Daten passiert.
Doch kein Wundermittel
Cloud-Dienste sind kein Wundermittel gegen DDoS- und andere Angriffe. Selbst die grössten Cloud-Anbieter haben manchmal Probleme. Jüngst ist z.B. die M365-Cloud Opfer eines DDoS-Angriffs geworden. Schaut man sich die Statusmeldungen der Cloud–Dienste an ist unverkennbar, dass regelmässig irgendwo, irgendetwas nicht so ganz funktioniert. Verschiedene Beratungen oder extra Schutz- und Ausfallgarantien können zwar bei einigen Cloud-Diensten bezogen werden, die lassen sich das aber sehr teuer bezahlen und eine absolute Ausfallgarantie gibt es nie. Diese Ausfall-Transparenz ist hier übrigens nichts negatives, sondern ermöglicht es, die Risiken zu kalkulieren, bei einem Ereignis rasch Gewissheit zu haben und von den Fehlern zu lernen.
Meistens bekommen wir von den einzelnen Störungen nicht viel mit, aber den 4. Oktober 2021 haben noch einige in Erinnerung, als beim Konzern Meta alle Dienste, darunter Facebook, Instagram und WhatsApp, für mehrere Stunden ausfielen. Für viele war das ein Problem, da sie sich in ihrer ganzen Kommunikation auf diesen einen Cloud-Dienst verlassen.
Die Cloud ist ein Klumpenrisiko: Wenn dort etwas richtig kaputt geht, hat das enorme Auswirkungen. Darum ist es extrem wichtig, dass man seine Daten und Prozesse nicht blind einer Cloud anvertraut, sondern das System dahinter versteht und die Risiken einordnen kann.
Datensouveränität in der Cloud
Bei den Piraten haben wir schon oft angeprangert, dass das Know-How bei uns verloren geht, wenn wir uns immer mehr auf externe Cloud Dienstleister verlassen. Ausserdem sitzen die meisten dieser Dienste im Ausland und damit ausser Reichweite der hiesigen Gesetzgebung. Bei den USA, wo die beiden Beispiele Amazon und Cloudflare herkommen, ist das zudem ein Land, dem kein angemessenes Datenschutzniveau zugesprochen wird. Immerhin haben die beiden genannten Vertreter Amazon und Cloudflare inzwischen auch Serverstandorte in der Schweiz. Ansonsten würde es auch netzwerktechnisch nicht viel Sinn machen, wenn die vermeintlich überwiegend von Schweizer:innen benötigten Dienste immer Kilometerweit im Ausland angefragt werden müssen.
Bei den Diensten Cloudfront und Cloudflare besteht jedoch noch ein grundsätzlicheres Problem. Mittlerweile ist es Standard, dass die Daten zwischen Client und Server, also deinem Browser und der Webseitenbetreiber, verschlüsselt übertragen werden. Wird ein solcher Clouddienst dazwischen geschaltet, findet die Verschlüsselung aber nur noch zwischen dem Browser und dem Cloud-Dienst statt. Dieser entschlüsselt die Daten, wendet darauf verschiedene Algorithmen an, z.B. um häufig angefragte Daten zwischenzuspeichern (Cache) oder die Anfragen auf bekannte Angriffsmuster zu untersuchen, und leitet sie dann (neu verschlüsselt) an das eigentliche Ziel weiter.
Technisch gesehen könnten die Betreiber der Cloud also alles mitlesen und manipulieren. Rechtlich gesehen sichern sich die Clouds, Bund und Kantone mit Verträgen ab, dass die Cloud-Betreiber und deren Mitarbeitenden dies nicht zweckentfremden dürfen, bzw. zur Geheimhaltung verpflichtet sind.
Nun gibt es verschiedene Arten von Webseiten. Beim einfachen Besuch einer Webseite hinterlässt man zwar verschiedene Spuren, wie IP-Adressen, Cookies, Browsereinstellungen usw., es fallen jedoch meistens keine vertraulichen Informationen an. Auf der Webseite von Behörden sind aber auch verschiedene Kontaktformulare vorhanden. Je nach Behörde und Grund der Kontaktaufnahme kann es sich hierbei sehr wohl um sensible Daten, bspw. Gesundheitsdaten, handeln. Für diese besonders schützenswerten Personendaten gelten strengere Datenschutzbestimmungen.
Der Fall Baselland: Falsche Implementierung
Beim Kanton Baselland wurden in der Implementierung des Cloudflare Services mehrere Fehler gemacht.
1. Fehlende Datenschutzabklärung
Eine Anfrage der Piratenpartei beider Basel an die Aufsichtsstelle Datenschutz des Kantons Basel-Landschaft (Stand 08.09.2022) hat ergeben, dass diese überhaupt nicht über den Einsatz von Cloudflare informiert wurde. Unsere Anfrage war der Anstoss, der die Abklärungen überhaupt erst ins Rollen gebracht hat. An den Datenschutz hat in der ganzen Auftragskette zwischen Planung, Testphase (Stand 25.05.2022) und Produktivbetrieb (Stand 01.06.2022) offenbar niemand gedacht.
2. Kontaktformulare via Cloudflare verschickt
Die Implementierung des Cloudflare-Services erfolgte nicht nur für die einfachen Webseiten Inhalte, sondern auch für die Kontaktformulare auf der Webseite. Somit wurden also durchaus potenziell besonders schützenswerte Personendaten an Cloudflare übertragen.
Nach den Abklärungen der Aufsichtsstelle Datenschutz wurde unter anderem die Massnahme beschlossen, die Kontaktformulare auf ein anderes System umzuleiten, sodass die Informationen nicht mehr über Cloudflare laufen. Im April 2023 war dies jedoch erst bei rund der Hälfte der Fall und für einen Teil der betroffenen Formulare seien die Anforderungen so spezifisch, dass dafür noch gar keine Lösung gefunden werden konnte.
3. Cloudflare falsch implementiert, Schutz unwirksam
Wie in diesem Beitrag gezeigt basiert der ganze Schutzfunktion von Cloudflare darauf, dass nicht direkt auf die Server des Kantons zugegriffen wird, sondern über das Netzwerk von Cloudflare. Implementiert man diesen Schutz richtig, auch in der Dokumentation von Cloudflare nachzulesen, reicht es nicht, wenn nur die Webseite geschützt wird. Es müssen auch alle anderen Funktionen, die von der Webseite gebraucht werden, geschützt werden.
Zum einen wäre das die Domain (Internetadresse
www.baselland.ch
) selbst. Wird nur der Webserver, also das HTTP-Protokoll geschützt, kann z.B. trotzdem noch die Domain, die das DNS-Protokoll verwendet, angegriffen werden. Das führt zwar nicht dazu, dass die Webseite überlastet ist, aber dafür ist die Domain überlastet und die Webseite kann nicht mehr gefunden werden, also im Endeffekt auch nicht mehr aufgerufen werden.Noch problematischer ist ein anderes Schlupfloch: Kennt man den eigentlichen Server, der hinter Cloudflare liegt, kann man den Schutz von Cloudflare einfach umgehen und eine Ebene darunter über das IP-Protokoll direkt auf diesen Server zugreifen. Cloudflare empfiehlt deshalb, alle Anfragen die nicht von Cloudflare kommen auf dem eigenen Server zu blockieren. Das wurde hier nicht gemacht und da die Server des Kanton Basellands grundsätzlich bekannt sind, weil auch noch andere Dienste des Kantons darüber abgewickelt werden, können so sämtliche Schutzmasnhamen umgangen werden.
4. Fazit
Aus Sicht des Datenschutzes und der Datensouveränität spricht vieles gegen den Cloudflare-Einsatz des Kanton Basellands. Die Verantwortlichen sind offenbar nicht auf diese Probleme sensibilisiert, da im Vorfeld keine Datenschutzabklärungen eingeholt wurden.
Die möglichen Gründe für den Einsatz werden von der fehlerhaften Implementierung vollständig untergraben. Es ist auch fraglich, ob diese Massnahmen mit den Anforderungen die an eine öffentliche Verwaltung gestellt werden, überhaupt umsetzbar sind.
Der Fall Bundes-IT: Raum für Verbesserungen
Auch beim Bund ist man mit einigen technischen Herausforderungen scheinbar überfordert, was auch durch Medienberichte bestätigt wird.
1. DNSSEC ausgehebelt
Wie in unserem alten Blogbeitrag bereits gezeigt, wurde durch den überstürzen Einsatz von Cloudfront (Stand 16.03.2020) das Sicherheitskonzept von DNSSEC untergraben.
DNSSEC ist ein Protokoll, dass mithilfe von Kryptografie sicherstellt, dass eine Domain auf die richtige IP verweist. Wenn lediglich die Weiterleitung verifiziert wird, jedoch nicht das Ziel der Weiterleitung, ist dieser Schutz nutzlos. Das gleiche Schicksal trifft auch das EDA, die ihrerseits auf den US-Dienstleister Akamai setzten.
Ein ähnliches Protokoll gibt es übrigens auch für IP-Adressen selbst. Das nennt sich RPKI und wird sowohl vom Bund als auch von Amazons Cloudfront vorbildlich eingesetzt. 👍🏾
2. Technische Optimierungen
Neben den Schutzmassnahmen und Netzwerkkapazitäten versprechen Dienste wie Cloudflare zusätzliche Leistungsverbesserungen, indem moderne, effizientere Algorithmen, Dateiformate und Protokolle eingesetzt werden. Dadurch kann die Übertragungsgrösse und Übertragungsdauer, also letztendlich die Ladezeit von Webseiten, erheblich reduziert werden. Selbstverständlich könnten diese Optimierungen auch auf den Servern der Behörden selbst direkt vorgenommen werden.
Wenn Webseiten und Webserver effizient konzipiert sind, können mit den gleichen Ressourcen mehr Abfragen verarbeitet werden. Das schützt auch vor Leistungsengpässen. Solche moderne Lösungen sucht man bei vielen Behörden jedoch vergeblich.
Hier, gezeigt an einem einfachen Beispiel der Bundeskanzlei, ist derzeit allein die Startseite knapp 30MB gross. Zum Vergleich: Das entspricht in etwa der Dateigrösse eines zehnminütigen Videos in geringer Auflösung. Verursacht wird das hier durch ein einzelnes Bild, dass im Hintergrund in einer riesigen Auflösung geladen wird. Bei schnellen Internetverbindungen führt das zu einer entsprechend hohen Auslastung der Bandbreite. Bei einer langsamen Verbindung, wie in diesem Fall, bleibt die Verbindung entsprechend lange belegt. Wären die Bilder optimiert und in einer kleineren Auflösung vorhanden, liesse sich sowohl die Ladezeit als auch die Last auf dem Server reduzieren.
💡 Das hätte auch einen positiven Nebeneffekt auf Besucher:innen der Seite, die keine Datenflatrate haben, sondern pro verbrauchte MBs abgerechnet wird. Das ist im Mobilfunkbereich (insbesondere beim Roaming) auch hierzulande noch weit verbreitet.
Dieses Beispiel steht stellvertretend dafür, dass die Dringlichkeit einer modernen, stabilen IT und das Verständnis dafür politisch vernachlässigt werden.
3. Schwierige Zusammenarbeit
Es ist unverständlich, warum sich die IT von Bund und Kantone nicht stärker in der IT-Netzwerk- und Peering-Community engagieren. Das wäre der Ort, um koordinierte technische und organisatorische Massnahmen gegen Überlasstungsangriffe zu diskutieren.
ℹ️ Als Peering bezeichnet man die Verbindungen zwischen mehreren grossen Netzwerken. Zusammen ergeben sie so das Internet. Aktuell listet die PeeringDB für die Bundes-IT nur drei öffentliche Peerings mit einer Gesamtkapazität von 2.1GBit. Das wäre relativ wenig.
Alles andere als förderlich ist die Eingliederung des NCSC beim VBS. Dort sind Interessenkonflikte vorprogrammiert und man kann es der IT-Community nicht übel nehmen, wenn dadurch eine gewisse Distanz zu den Behörden gehalten wird.
Alternativ zum NCSC gäbe es auch noch die Stiftung SWITCH, die sowohl enge Bezugspunkte zum Bund als auch in die IT-Community und zu den Hochschulen hat. Daneben beheimatet die Schweiz auch das CERN, an dem nicht nur das WWW selbst, sondern auch diverse Cloud-Software entwickelt wurden. Durch die unglaubliche Menge an Forschungsdaten die dort anfallen, haben diese Institute viel Erfahrung auf dem Gebiet der Lastverteilung. Dieses Know-How könnte auch dem Bund weiter helfen.
4. Dezentrale Netzwerke
Um für das zukünftige Datenaufkommen gewappnet und resilienter gegen diese Art von Angriffe zu sein, muss man sich von zentralisierten Infrastrukturen verabschieden. Öffentliche Daten, Informationen und Medienmitteilungen, die lediglich abrufbar sein müssen und keine Interaktion erfordern, lassen sich sehr einfach in dezentrale Netze verteilen. Kryptografische Signaturen können die Echtheit dieser Informationen jederzeit bestätigen und gleichzeitig uneingeschränkt repliziert werden.
Apropos dezentral: Zyniker würden nun behaupten «Mit IPv6 wäre das [der DDoS] nicht passiert!» und die Statistiken geben dem teilweise recht, aber die Migration von IPv4 auf IPv6 ist ein notorisches Problem, das von ganz vielen gekonnt ignoriert wird, darum wollen wir hier nicht auch noch den Finger auf die Wunde legen. 😉
Unsere politischen Forderungen
Die Piraten beschäftigen sich seit ihrer Gründung mit den dringlichsten Herausforderungen der Digitalisierung. Bund und Kantone dürfen ihre digitalen Kompetenzen nicht einfach auslagern, sondern müssen diese selber aufbauen um für diese Herausforderungen gewappnet zu sein. Selbst wenn Dienste ausgelagert werden, braucht es trotzdem das Fachwissen, um diese richtig verwalten zu können. Dort wo diese Kompetenzen kurzfristig nicht verfügbar sind, darf dies nicht überhastet und zu lasten des Datenschutzes geschehen. Um Digitalisierungsprojekte überhaupt diskutieren zu können, müssen wir uns auf die grundlegenden Infrastrukturen verlassen können.