Verschlüsselungsstandards sind zu niedrig

Cloud-Anbieter haben Nachholbedarf beim Thema Sicherheit

15.11.2016
Von 
Malte Pollmann ist seit 2008 Mitglied des Management Boards von Utimaco und war von 2011 bis einschließlich 2018 CEO der Utimaco-Gruppe. Anfang Janar 2019 wechselte er die Position zum CSO (Chief Strategy Officer). Zuvor war er Product Director und Geschäftsbereichsleiter bei Lycos Europe NV. Pollmann studierte Physik an den Universitäten Paderborn und Kaiserslautern und absolvierte eine Ausbildung in General Management bei INSEAD in Fontainebleau. Er ist Aufsichtsratsmitglied der International School of IT-Security (isits AG) in Bochum.
Obwohl immer mehr Anwendungen in die Cloud wandern, ist der Verschlüsselungsstandard dort noch längst nicht auf dem Niveau von On-Premise-Lösungen. Höchste Zeit, das zu ändern – zumal die passenden Tools bereits auf dem Markt sind.

Der aktuelle Trend zu Cloud-Anwendungen ist ein klarer Rückschritt in Sachen Datensicherheit. Denn bei der Migration in die Wolke bleiben meist bisherige Sicherungsmechanismen auf der Strecke. Ein Beispiel ist die Ende-zu-Ende-Verschlüsselung mit Hardware-Sicherheitsmodulen (HSM), die sich in kritischen Anwendungen wie etwa beim Zahlungsverkehr längst etabliert haben. Die dedizierten Geräte in der IT-Infrastruktur haben die Aufgabe, sichere Schlüssel via Zufallszahlengenerator zu erzeugen und diese auch zu verwalten. Damit lassen sich unautorisierte Zugriffe von Cyberkriminellen oder neugierigen Regierungen ausschließen.

Nur wenige Cloud-Provider bieten eine Ende-zu-Ende-Verschlüsselung mit Hardware-Sicherheitsmodulen.
Nur wenige Cloud-Provider bieten eine Ende-zu-Ende-Verschlüsselung mit Hardware-Sicherheitsmodulen.
Foto: dolphfyn - shutterstock.com

Nur zwei Anbieter, nämlich Microsoft mit Azure und Amazon mit Amazon Web Services, bieten bis heute HSM-Funktionen in der Cloud an. Doch auch diese Angebote haben Einschränkungen: So kann der Anwender die angebotene HSM-Funktion zwar gut mit dem Cloud-Angebot des jeweiligen Anbieters einsetzen. Möchte er aber einen anderen Service nutzen und hierfür das HSM anbinden, ist dies nicht möglich.

Umdenken, bevor es zu spät ist

Die Aufgabe der Cloud-Anbieter ist es also umzudenken, bevor sie mit altbekannten Problemen konfrontiert werden, an deren Lösung wir eigentlich schon sei etwa zehn Jahren arbeiten: kompromittierte Schlüsseldaten, unbefugt veröffentlichte Anwenderdaten, Transaktionsmissbrauch im Zahlungsverkehr, Angriffe auf Unternehmensinfrastrukturen über vermeintlich gesicherte Ports - die Liste ließe sich beliebig forsetzen.

Die Risiken potenzieren sich außerdem mit der zunehmenden Vernetzung. Wie schnell diese voranschreitet, zeigt eine aktuelle Prognose von Gartner. Demnach wird sich die Fertigung neuer Fahrzeuge, die durch ein integriertes Kommunikationsmodul oder ein mobiles Endgerät über eine Datenverbindung verfügen, im Jahr 2016 voraussichtlich auf 12,4 Millionen belaufen. Bis 2020 soll die Zahl auf 61 Millionen ansteigen. Eine ähnliche Entwicklung ist auch in anderen Branchen zu erwarten. Gar nicht auszudenken, welches Ausmaß die oben genannten Sicherheitsvorfälle dann hätten.

Idealerweise sieht die Lösung so aus, dass Cloud-Provider zukünftig neben dem Bereitstellen und dem Betrieb auch die Administration von Hardware-Sicherheitsmodulen anbieten. Konsequent eingesetzt, würden Cloud-Anwender also nicht nur von Vorteilen wie hoher Skalierbarkeit, Flexibilität und Verfügbarkeit profitieren, sondern könnten auch die Verwaltung eines HSM nach Bedarf in Anspruch nehmen. Und das Beste: Sie hätten das gute Gefühl, dass ihre Daten auch in der Cloud sicher aufgehoben sind. (haf)