Verschlüsselung in der Praxis

Sicherheit für die Datei-Cloud

Matthias Reinwarth ist Senior Analyst bei KuppingerCole mit Schwerpunkt auf Identity und Access Management, Governance und Compliance. Er ist im Identity Management-Sektor seit 1993 beratend tätig. Er ist außerdem Co-Autor des ersten deutschen Buches über Verzeichnisdienste im Jahr 1999. Des Weiteren deckt er mit seinen Fachgebieten alle wichtigen Aspekte der IAM einschließlich Technologie und Infrastruktur, Daten- und Berechtigungsmodellierung sowie IAM Prozesse und Governance ab.
Cloud-Speicher sind oft unverschlüsselt. Sicherheitsbewusste Cloud-Nutzer setzen daher auf Verschlüsselungs-Tools - beispielsweise Cryptomator bietet sich als neue deutsche Open-Source-Alternative an.

Auf praktisch jedem Gerät, das Anwender heute für Ihre täglichen Arbeit, aber auch in ihrer Freizeit benutzen, entstehen Daten und Dateien, die sensitive Informationen enthalten. War das klassische Arbeitsgerät noch vor wenig mehr als zehn Jahren der heimische PC oder das Gerät am Arbeitsplatz, so entstehen heute schützenswerte Informationen auch auf mobilen Geräten, wie Mobiltelefonen, Tablets oder Notebooks. Der Schutz dieser Informationen vor der unerwünschten Einsichtnahme nicht berechtigter Dritter ist eine stetige und konkrete Herausforderung für jeden Anwender moderner IT-Systeme im privaten wie im beruflichen Kontext.

Sicherheitsbewusste Cloud-Nutzer setzen auf Verschlüsselungs-Tools.
Sicherheitsbewusste Cloud-Nutzer setzen auf Verschlüsselungs-Tools.
Foto: Macrovector - Shutterstock.com

Gewachsener Markt

Verschlüsselungsverfahren und das Verlangen staatlicher Stellen nach Hintertüren und Nachschlüsseln etwa in den Vereinigten Staaten (Stichwort: Apple gegen FBI) oder in Großbritannien (Stichwort: Investigatory Powers Bill) sind tagesaktuelle Themen und sind damit auch Grundlage von Schlagzeilen auf politischer wie technischer Ebene. Doch parallel hierzu ist die Kryptographie schon weitgehend in der Praxis angekommen. Viele Nutzerkreise von Unternehmen und Behörden bis zur interessierten Privatperson haben heute schon die Notwendigkeit und das Recht auf Sicherheit und Privatsphäre erkannt.

Datenzugriff mobil - aber bitte geschützt - Foto: ArtFamily - shutterstock.com

Datenzugriff mobil - aber bitte geschützt

Das Verlangen nach einer vertrauenswürdigen und sicheren Speicherung vertraulicher, geheimer oder aus sonstigen Gründen schützenswerter Daten und Dateien hat zu einer Vielzahl von Lösungen geführt, mit denen Anwender und Anwenderinnen unterschiedliche Aspekte ihrer persönlichen Sicherheit und Privatsphäre schützen können. Die Verschlüsselung ganzer Festplatten ist heute, etwa mit Microsofts Bitlocker oder Apples FileVault in modernen Betriebssystemen vorgesehen. Für interessierte Anwender existieren Ende-zu-Ende-verschlüsselte Nachrichtensysteme wie Signal und auch die Inhalte der klassischen E-Mail sind heute mit vertretbarem Aufwand via S/MIME oder GPG (Gnu Privacy Guard) zu verschlüsseln, auch wenn hier noch viel Nachbesserungsbedarf mit Blick auf die Anwenderfreundlichkeit und den Schutz von Metadaten besteht, insbesondere der Mailheader.

Bei der Auswahl des jeweiligen Werkzeuges ist mit Sicherheit auch als entscheidender Aspekt zu berücksichtigen, ob die verwendete Software als kommerzielle Lösung und insbesondere als closed source entstanden ist oder ob sie auf der Implementation offener Standards beruht, in ihren Schlüsselkomponenten offengelegt und damit unabhängig validierbar ist, etwa als Open Source. Berichte haben in der Vergangenheit schon die Annahme nahegelegt, dass auch kommerzielle Produkte durch Einflussnahme Dritter in ihre Sicherheit durchaus absichtlich geschwächt worden sein könnten. Bei der Auswahl und Beurteilung von möglichen Lösungsalternativen kann beispielsweise die kontinuierlich gepflegte Website privacytools.io gute Dienste leisten.

Abgesicherter Cloudspeicher als Herausforderung

Gerade für die Anwender mehrerer Endgeräte (Desktop und Tablet, Desktop-PC und Notebook usw.), aber auch als einfacher Mechanismus für ein kontinuierliches Backup entstehender Anwenderdateien, haben sich die oft kostenlosen oder im Einsatz sehr günstigen Cloud-Speicher-Dienste erwiesen. Die Nutzung von Dropbox, Box, Google Drive oder Microsofts OneDrive ist für viele heute schon eine Selbstverständlichkeit. Der grundlegende Zugang zu diesen Systemen kann heute schon vorbildlich über Zweifaktor-Authentifizierung geschützt werden, wobei die Aktivierung dieses zusätzlichen Schutzmechanismus jedem Anwender solcher Dienste nur angeraten werden kann. Ohne weitere Schutzmaßnahmen sind aber die Daten auf den jeweiligen Systemen nicht vor der Einsichtnahme Dritter geschützt. Hier wird dem jeweiligen Anbieter des Dienstes ein großer Vertrauensvorschuss gewährt. Und auch das eigentlich komfortable Feature zum Teilen von Verzeichnissen zur gemeinschaftlichen Nutzung mit vertrauenswürdigen Personenkreisen kann im Zweifelsfall auch schon einmal zu einer ungewollten Veröffentlichung eigentlich privater Dokumente führen.

Zero-Knowledge: Ich weiß von nichts

Um dem entgegenzuwirken, haben sich alternative Dienste und ergänzende Zusatzwerkzeuge etabliert, die einen sicheren Speicherort in der Cloud ermöglichen. Gemeinsam ist diesen Werkzeugen, dass sie dafür sorgen, dass die Daten auf dem Gerät des Anwenders erst verschlüsselt werden, bevor sie auf dem Speicherdienst hochgeladen werden. Ver- und Entschlüsselung sind damit client-seitig. Die Verwaltung der notwendigen Geheiminformationen in Form von Passwörtern (als Basis der Erstellung der notwendigen Schlüssel) obliegt dem Anwender selbst. Der Cloud-Speicherdienst kennt damit weder die unverschlüsselten Daten noch den Schlüssel oder das Passwort.

Zieht man die Analogie zu der derzeit laufenden Diskussion bezüglich der Entschlüsselung eines iPhones durch Apple auf Anforderung durch das FBI, erübrigt sich durch die eingesetzte Technik der Weg zum Cloud-Provider zur Herausgabe entschlüsselter Daten: Diesem liegen die Schlüssel zu keinem Zeitpunkt vor, kann also nur verschlüsselte Daten herausgeben. Dieses Prinzip wird auch als Zero-Knowledge bezeichnet, ein Begriff der anteilig auch von Edward Snowden geprägt wurde. Die Umsetzung dieses Prinzip sorgt dafür, dass selbst ein böswilliger Systemadministrator auf der Seite der Cloud-Plattform keinen Zugriff auf unverschlüsselte Daten und damit eine Chance zur Verletzung der Privatsphäre der Anwender hat. Als vollständige Alternative und eigenständiger Cloud-Dienst hat sich beispielsweise Spideroak etabliert, das eine kommerzielle, verschlüsselte Cloud-Speicherplattform anbietet (kostenpflichtig nach 60 Tagen Test).

Will man aber bei seinen traditionellen Speicherdiensten wie Google Drive oder Dropbox bleiben, bieten sich Zusatzwerkzeuge an. Diese werden zusätzlich auf den Endgeräten installiert, werden mit den unterschiedlichen Speicherdiensten verknüpft und sorgen dann für eine transparente Verschlüsselung mittels starker und erprobter Algorithmen (etwa AES-256). Anders als bei Truecrypt-basierten "do-it-yourself"-Lösungen werden hier einzelne Dateien transportiert und nicht alles in einer potentielle sehr großen Container Datei gespeichert, was eine effiziente Synchronisierung ermöglicht. Hier hat sich Boxcryptor erfolgreich als eine grundsätzlich kommerzielle Lösung positioniert. Für Privatanwender bieten sie einen kostenlosen, aber funktional und in der Anzahl der nutzbaren Cloudservices und Endgeräte eingeschränkten Account an, der aber in vielen Einsatzszenarien ausreichen sollte.

Inhalt dieses Artikels