SSL, Server-seitig, Client-seitig

Cloud-Daten sicher verschlüsseln

Dr. Dieter Steiner ist Geschäftsführer/CEO der SSP Europe GmbH. Der Ingenieur und promovierte Wirtschaftsinformatiker entwarf das Security-Service-Providing-Konzept von SSP Europe und setzte es mit einem Team von Technikern und Ingenieuren als geschäftsführender Gesellschafter der A.P.E. GmbH IT-Security um. Die Entwicklung des Modells begann 2004, Anfang 2008 gründete Dr. Dieter Steiner die strategische Geschäftseinheit in die SSP Europe GmbH aus. In seiner 1993 in der IT-Branche begonnenen Laufbahn hat Dieter Steiner unter anderem zwei IT-Systemhäuser erfolgreich am Markt eingeführt und eine Vielzahl an Großprojekten mit renommierten Kunden realisiert.
Wer auf ein Mindestmaß an Sicherheit bei der Nutzung von Cloud-Speicherdiensten setzt, kommt an einer Datenverschlüsselung nicht vorbei. Doch Vorsicht: Es gibt solche und solche Wege, und nicht alle sind gleich empfehlenswert.

In vielen Unternehmen gibt es keine zentrale Lösung für den Dateiaustausch mit Dritten. Das hat zur Folge, dass sich die Mitarbeiter selbstständig frei verfügbare Alternativen wie Dropbox, Box und Co. suchen. Insbesondere auf Smartphones und Tablets werden oft ohne Hintergedanken Cloud-Speicher wie iCloud oder Google Drive eingesetzt. Das Problem für die Unternehmen: Sensible Informationen wie Kundenkarteien, Dienstpläne oder Umsatzzahlen befinden sich schnell unverschlüsselt außerhalb des eigenen Zugriffsbereichs. Ohne es zu wissen, begeben sich die Firmeninhaber so in eine gefährliche Situation, da sie keine Kontrolle - insbesondere über die laut Bundesdatenschutzgesetz zu schützende personenbezogenen Daten - mehr haben.

Kritik an diesen Zuständen äußern auch die Forscher des Fraunhofer-Instituts für sichere Informationstechnologie: In der Studie "On the Security of Cloud Storage Devices" bemängeln sie, dass die Sicherheitsmechanismen - insbesondere die Verschlüsselung - bekannter Cloud-Speicher-Anbieter wie Dropbox, CloudMe und Team Drive nicht ausreichten.

So werden Unternehmensdaten zwar oft verschlüsselt übertragen, liegen dann aber unverschlüsselt und für jeden Netzwerkadministrator zugänglich auf den Servern des Anbieters. Bei US-Providern kommen weitere Datenschutzbedenken hinzu - in aller Munde ist in diesen Wochen der "Patriot Act", der US-Behörden unter bestimmten Voraussetzungen umfangreichen Zugriff auf die gespeicherten Daten erlaubt.

Ein Ausweg aus diesem Dilemma stellt die dauerhafte Verschlüsselung der Cloud-Daten dar. Wichtiger als der eingesetzte Algorithmus ist dabei aber die Frage, ob die Daten bereits auf Client- oder erst auf Server-Seite verschlüsselt werden. Zudem geht es darum, wer Zugriff auf die verwendeten Schlüssel hat. Grundsätzlich gibt es vier verschiedene Methoden zur Übertragung, Speicherung und Verschlüsselung von Daten in der Cloud, die wir im Folgenden erläutern werden.

1. Keine Verschlüsselung

Die Daten werden nicht verschlüsselt und vollständig transparent in den Speicher gesendet. Somit sind die Daten nicht nur den Netzwerkadministratoren auf der Seite des Cloud-Anbieters zugänglich, sondern auch jedem informationstechnisch versierten Internet-Anwender.

2. Verschlüsselte Verbindung (SSL etc.)

Bei dieser Methode wird eine sichere Verbindung zwischen dem Computer und dem Speicher-Anbieter aufgebaut, bevor die Daten übertragen werden. Diese Methode bietet eine derzeit als sicher zu bezeichnende Methode zur Übertragung der Daten in den Cloud-Speicher. Einmal dort angekommen, stehen die Daten wieder jedem Benutzer mit Zugriff auf die entsprechenden Bereiche des Netzwerkes im Klartext zur Verfügung. Nahezu alle seriösen Anbieter von Online-Speichern haben mindestens diesen Standard für die Datenübertragung implementiert.

3. Verschlüsselung auf Server-Seite

Diese Methode sieht die Verschlüsselung der Daten auf der Server-Seite direkt nach der Übertragung vor. Die Unternehmensdaten werden in Form eines Streams empfangen und während der Übertragung sofort paketweise verschlüsselt. Alle Daten liegen somit auf dem Server in verschlüsselter Form vor. Um Daten auf der Server-Seite verschlüsseln zu können, müssen dem Server die Schlüssel bekannt sein.

Nach Ansicht der Fraunhofer-Forscher bieten viele Cloud-Dienste diesen Service zwar an, verbessern die Datensicherheit so aber nur bedingt, da die Anbieter selbst den Verschlüsselungs-Key generieren und bei sich speichern. Dieser kann zwar in hardwarebasierten Schlüsselspeichern sicher aufbewahrt werden, Administratoren mit genug Hintergrundwissen werden aber immer in der Lage sein, die Schlüssel zur Entschlüsselung der Daten zu nutzen.

4. Verschlüsselung auf Client-Seite

Eine letzte Möglichkeit ist die Verschlüsselung der Daten bereits auf dem Endgerät, bevor diese in die Cloud wandern. Im Idealfall ist der Schlüssel dem Provider nicht bekannt. Der "Secure Data Space" von SSP Europe beispielsweise generiert für jeden Anwender ein eigenes Schlüsselpaar innerhalb der Gerätesoftware. Der öffentliche Schlüssel wird auf dem Server gespeichert, der private mit einem persönlichen Kennwort verschlüsselt und so codiert ebenfalls auf den Server übertragen. Mit dem öffentlichen Schlüssel lassen sich Daten deshalb zwar ver-, nicht aber entschlüsseln. Seinen privaten Schlüssel kann der Anwender anschließend von beliebigen Geräten aus abrufen und zur lokalen Entschlüsselung von gespeicherten Cloud-Daten verwenden - der Cloud-Provider kann damit hingegen nichts anfangen, weil er das persönliche Kennwort des Anwenders nicht kennt. Wie das im Einzelnen funktioniert, sehen Sie in dieser Bilderstrecke am Beispiel des "Secure Data Space":

Fazit

An dem Thema Cloud-Speicher kommen Unternehmen kaum vorbei. Die große Herausforderung sind die Anbieterwahl und die aufzusetzenden Verträge. Anwender sollten sich einen auf Unternehmenskunden spezialisierten Dienste-Anbieter aussuchen, weil Cloud-Services in den meisten Fällen noch in die bereits vorhandene IT-Infrastruktur (mit beispielsweise Active Directory) eingebaut werden müssen. Um auch juristisch auf Nummer sicher zu gehen, ist ein Provider im europäischen oder noch besser deutschen Rechtsraum anzuraten. Das Vertragsverhältnis sollte variabel gestalten werden, um auch nachträglich weitere Lizenzen hinzubuchen zu können.

Da das Thema Datensicherheit zum K.O.-Auswahlkriterium werden kann, ist eine sorgfältige Prüfung der vom Cloud-Provider angebotenen Verschlüsselungsmethoden anzuraten. Datenverlust oder -diebstahl führen nicht nur zum Imageverlust, sondern auch zu Rechtsstreitigkeiten und kaum abzuschätzenden wirtschaftlichen Einbußen. (sh)