NSA-Affäre und die Konsequenzen

Sealed Cloud – wie der Mittelstand sich schützen kann

IT-Sicherheitsexperte und Geschäftsführer der Uniscon GmbH.
Viele Internetdienste speichern Online-Verbindungsdaten der Benutzer in Listen ab – ein gefundenes Fressen für Angreifer, wie nicht nur die NSA-Affäre gezeigt hat. Mit der Basistechnologie Sealed Cloud können auch kleine und mitteständische Unternehmen ihre Metadaten schützen.

Wer wann mit wem und wie lange online verbunden ist – genau das verraten die Metadaten. Über Jahre hinaus gespeichert, lassen sich daraus zu Spionagezwecken mehr Schlüsse ziehen, als den Anwendern lieb sein kann, zumal die Listen oft sogar unverschlüsselt auf den Servern liegen. Die Brisanz dieses Problems wurde durch die Spionageaffäre um den Geheimdienst National Security Agency (NSA) erst richtig deutlich. Kurz nachdem der Abhörskandal durch die Dokumente des Whistleblowers Edward Snowden publik geworden war, versuchte US-Präsident Barack Obama besorgte Mitbürger zu beruhigen: „Niemand hört Telefonate ab.

Wie das Sealed-Cloud-Konzept im Detail funktioniert, erfahren Sie beim COMPUTERWOCHE-Wettbewerb Best in Cloud am 23. und 24. Oktober in Frankfurt a.M.

Das Programm durchsucht nur die sogenannten Metadaten nach möglichen Spuren zu Terroristen.“ Viele Anwender atmeten erleichtert auf. Sicherheitsexperten und Datenschützer dagegen schnappten nach Luft: Sie wissen: Metadaten geben viel mehr persönliche Daten preis, als man denkt. Die Bürgerrechtsbewegung American Civil Liberty Union (ACLU) reichte deshalb bereits sechs Tage nach der ersten Veröffentlichung von NSA-Dokumenten durch Snowden Klage gegen die US-Regierung ein.

Um ihre Sicht zu untermauern, bat die Organisation den Professor und Computerwissenschaftler Edward Felten von der Princeton University um ein Gerichtsgutachten zur Analyse von Metadaten. Zusammengefasst schreibt Felten, ehemals technischer Direktor der Federal Trade Commission (FTC): Metadaten sind „einmalig einfach zu analysieren – anders als die komplizierten Daten aus einem Anruf selbst, mit all den Variationen in der Sprache, der Stimme und im Konversationsstil.“

Ein Beispiel zur Veranschaulichung: Der Inhaber eines Familienunternehmens ruft die Praxis eines Radiologen an. Tage später ruft er die Neurochirurgie-Abteilung eines Krankenhauses an und schickt ein, zwei Mails an den Oberarzt. Er telefoniert etwa eine Stunde mit seinem Sohn, der sich zurzeit in den USA aufhält. Danach ruft er mehrmals einen Anwalt an. Eine solche Abfolge von Daten verrät, so Felten, „wesentlich mehr als der Inhalt eines einzelnen Anrufs“.

Wie können KMUs ihre Daten schützen?

Damit diese Verbindungsdaten, aus denen sich natürlich auch Unternehmensgeheimnisse herauslesen lassen, Dritten nicht gar so leicht in die Hände fallen, haben die großen deutschen Unternehmen Sicherheitsvorkehrungen getroffen. BMW-Manager lassen zum Beispiel ihre Firmenhandys in München. An deren Stelle erhalten sie Wegwerf-Handys, die sofort nach der Rückkehr als unbrauchbar aussortiert werden. Angestellte im Sicherheitsbereich des Luft- und Raumfahrtkonzerns EADS Group dürfen ihren E-Mail-Verkehr nur in ihren abhörsicheren Büros erledigen. Andere bezahlen Sicherheitsexperten, die sich in ihre Systeme hacken, um Sicherheitslücken aufzudecken. Doch was können die kleinen und mittleren Unternehmen tun, um sich zu schützen? Sie hängen meist von Internetdiensten ab, deren Betreiber nur zu oft Verbindungsdaten unverschlüsselt auf ihren Servern speichern.

Eine Möglichkeit ist, sich persönlich in abhörsicheren Räumen zu treffen, keine E-Mail-Dienste in Anspruch zu nehmen und auch sonst so wenig wie möglich elektronisch unterwegs zu sein. Das ist heute wenig praktikabel. Oder aber man sucht sich einen Internetdienst, der die Verbindungsdaten zumindest verschlüsselt speichert und hofft darauf, dass der Schlüssel nicht missbraucht wird. Auch mit Servern in anderen Ländern, die man stundenweise mieten kann, könnten Unternehmen sich absichern. Diese unterliegen allerdings der Gesetzgebung des jeweiligen Landes und entziehen sich damit auch der Kontrolle der Unternehmen.

All diese Maßnahmen helfen jedoch nicht bei den Verbindungsdaten. Sie bleiben zugänglich und können weiterhin von Analyse-Firmen ausgewertet werden. Für diese Sicherheitslücke hat das Münchner Unternehmen Uniscon GmbH für seinen Internetdienst das Problem erkannt und mit der Basistechnologie „Sealed Cloud“ eine Lösung entwickelt. Heute wird die Sealed Cloud im Rahmen des Trusted-Cloud-Projektes des Bundeswirtschaftsministeriums (BMWI) gemeinsam mit der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) und dem Unternehmen SecureNet weiterentwickelt.

Inhalt dieses Artikels