Verschlüsselung in der Praxis

Sicherheit für die Datei-Cloud

12.04.2016 von Matthias Reinwarth
Cloud-Speicher sind oft unverschlüsselt. Sicherheitsbewusste Cloud-Nutzer setzen daher auf Verschlüsselungs-Tools - beispielsweise Cryptomator bietet sich als neue deutsche Open-Source-Alternative an.
  • Der Markt für Verschlüsselungslösungen ist unübersichtlich geworden - es gibt Software für Festplattenverschlüsselung, E-Mail-Verschlüsselung und und und...
  • Für populäre Cloud-Speicher wie Google Drive oder Dropbox sind Zusatztools vonnöten - wie das kommerzielle Boxcryptor.
  • Aber auch aus dem Open-Source-Lager gibt es eine neue Alternative - Cryptomator von SetLabs aus Bonn. Die Software ermöglicht die Erstellung von beliebig vielen als Tresoren bezeichneten Containern, die derzeit an beliebiger Stelle auf Desktopsystemen erstellt werden können und via OneDrive, Google Drive, Dropbox und iCloud synchronisiert werden können.

Auf praktisch jedem Gerät, das Anwender heute für Ihre täglichen Arbeit, aber auch in ihrer Freizeit benutzen, entstehen Daten und Dateien, die sensitive Informationen enthalten. War das klassische Arbeitsgerät noch vor wenig mehr als zehn Jahren der heimische PC oder das Gerät am Arbeitsplatz, so entstehen heute schützenswerte Informationen auch auf mobilen Geräten, wie Mobiltelefonen, Tablets oder Notebooks. Der Schutz dieser Informationen vor der unerwünschten Einsichtnahme nicht berechtigter Dritter ist eine stetige und konkrete Herausforderung für jeden Anwender moderner IT-Systeme im privaten wie im beruflichen Kontext.

Sicherheitsbewusste Cloud-Nutzer setzen auf Verschlüsselungs-Tools.
Foto: Macrovector - Shutterstock.com

Gewachsener Markt

Verschlüsselungsverfahren und das Verlangen staatlicher Stellen nach Hintertüren und Nachschlüsseln etwa in den Vereinigten Staaten (Stichwort: Apple gegen FBI) oder in Großbritannien (Stichwort: Investigatory Powers Bill) sind tagesaktuelle Themen und sind damit auch Grundlage von Schlagzeilen auf politischer wie technischer Ebene. Doch parallel hierzu ist die Kryptographie schon weitgehend in der Praxis angekommen. Viele Nutzerkreise von Unternehmen und Behörden bis zur interessierten Privatperson haben heute schon die Notwendigkeit und das Recht auf Sicherheit und Privatsphäre erkannt.

Das Verlangen nach einer vertrauenswürdigen und sicheren Speicherung vertraulicher, geheimer oder aus sonstigen Gründen schützenswerter Daten und Dateien hat zu einer Vielzahl von Lösungen geführt, mit denen Anwender und Anwenderinnen unterschiedliche Aspekte ihrer persönlichen Sicherheit und Privatsphäre schützen können. Die Verschlüsselung ganzer Festplatten ist heute, etwa mit Microsofts Bitlocker oder Apples FileVault in modernen Betriebssystemen vorgesehen. Für interessierte Anwender existieren Ende-zu-Ende-verschlüsselte Nachrichtensysteme wie Signal und auch die Inhalte der klassischen E-Mail sind heute mit vertretbarem Aufwand via S/MIME oder GPG (Gnu Privacy Guard) zu verschlüsseln, auch wenn hier noch viel Nachbesserungsbedarf mit Blick auf die Anwenderfreundlichkeit und den Schutz von Metadaten besteht, insbesondere der Mailheader.

Outlook E-Mails verschlüsseln
Outlook E-Mails mit PGP verschlüsseln
Gpg4Win besteht aus einer Reihe einzelner Komponenten.

Bei der Auswahl des jeweiligen Werkzeuges ist mit Sicherheit auch als entscheidender Aspekt zu berücksichtigen, ob die verwendete Software als kommerzielle Lösung und insbesondere als closed source entstanden ist oder ob sie auf der Implementation offener Standards beruht, in ihren Schlüsselkomponenten offengelegt und damit unabhängig validierbar ist, etwa als Open Source. Berichte haben in der Vergangenheit schon die Annahme nahegelegt, dass auch kommerzielle Produkte durch Einflussnahme Dritter in ihre Sicherheit durchaus absichtlich geschwächt worden sein könnten. Bei der Auswahl und Beurteilung von möglichen Lösungsalternativen kann beispielsweise die kontinuierlich gepflegte Website privacytools.io gute Dienste leisten.

Abgesicherter Cloudspeicher als Herausforderung

Gerade für die Anwender mehrerer Endgeräte (Desktop und Tablet, Desktop-PC und Notebook usw.), aber auch als einfacher Mechanismus für ein kontinuierliches Backup entstehender Anwenderdateien, haben sich die oft kostenlosen oder im Einsatz sehr günstigen Cloud-Speicher-Dienste erwiesen. Die Nutzung von Dropbox, Box, Google Drive oder Microsofts OneDrive ist für viele heute schon eine Selbstverständlichkeit. Der grundlegende Zugang zu diesen Systemen kann heute schon vorbildlich über Zweifaktor-Authentifizierung geschützt werden, wobei die Aktivierung dieses zusätzlichen Schutzmechanismus jedem Anwender solcher Dienste nur angeraten werden kann. Ohne weitere Schutzmaßnahmen sind aber die Daten auf den jeweiligen Systemen nicht vor der Einsichtnahme Dritter geschützt. Hier wird dem jeweiligen Anbieter des Dienstes ein großer Vertrauensvorschuss gewährt. Und auch das eigentlich komfortable Feature zum Teilen von Verzeichnissen zur gemeinschaftlichen Nutzung mit vertrauenswürdigen Personenkreisen kann im Zweifelsfall auch schon einmal zu einer ungewollten Veröffentlichung eigentlich privater Dokumente führen.

Wie die Cloud zum Datentresor werden soll
Aktuelle Entwicklungen zu Cloud-Security und -Datenschutz
Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Die aktuellen Entwicklungen um "Safe Harbor" haben die Debatte neu befeuert. Eine klare Antwort ist immer noch in weiter Ferne.
Marktanteile
Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum.
Standorte
Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält.
Erfahrungen der Nutzer
Anwender in Deutschland haben bessere Erfahrungen mit Private Clouds gemacht als mit IT-Diensten, die sie über Public Clouds beziehen.
Transformation als Treiber
Cloud Computing hat bei vielen deutschen Unternehmen einen hohen Stellenwert, wenn es um die strategische Ausrichtung der IT-Umgebung geht. Daran ändern auch Debatten um den Datenschutz nichts.
Public Cloud Provider
Alle führenden amerikanischen Anbieter von Public Cloud Services haben mittlerweile Rechenzentren in EU-Mitgliedsstaaten oder Deutschland aufgebaut. Damit tragen sie dem Wunsch von Unternehmen Rechnung, die Daten nicht in Datacentern lagern wollen, die in anderen Rechtsräumen angesiedelt sind.
Google
Google hat sich mit einer gewissen Verspätung als Cloud-Service-Provider positioniert. Mittlerweile bietet das Unternehmen nach dem Baukastenprinzip eine Palette von Cloud-Services an.
Verschlüsselungslösungen
Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet).
Microsoft-Prozess
Microsoft gegen die Vereinigten Staaten von Amerika: In dem Berufungsverfahren will Microsoft die Herausgabe von E-Mail-Daten an ein US-Gericht verhindern, die auf Servern im Cloud-Datacenter in Irland gespeichert sind.
SAP-Sicherheitsarchitektur
Die Grundlage für Cloud-Services, die den Anforderungen von Compliance- und Datenschutzregeln genügen, sind umfassende Sicherheitsmaßnahmen in Cloud-Datacentern. Eine Schlüsselrolle spielen dabei Verschlüsselungs- und Authentifizierungsmaßnahmen.
Constantin Gonzalez, AWS
Constantin Gonzalez, Solutions Architect bei Amazon Web Services: "Amazon Web Services bietet Anwender eine Art ferngesteuerte Hardware. Für die Kontroller der Daten ist der Nutzer selbst verantwortlich."
Speicherorte
Laut einer Analyse von Skyhigh Networks entsprechen zwei Drittel der Cloud-Services, die in Europa zur Verfügung stehen und von Firmen in dieser Region genutzt werden, nicht den EU-Datenschutzregelungen.
Khaled Chaar, Pironet NDH
Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei der Debatte um die Sicherheit von Daten in der Cloud sollte ein weiterer Aspekt berücksichtigt werden: Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrums-Strukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwändig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen."
Hartmut Thomsen, SAP
Hartmut Thomsen, Managing Director der SAP Deutschland SE & Co. KG: "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb – abhängig vom jeweiligen Cloud-Produkt – die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU bereitstellt."
René Büst, Crisp Research
René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research: "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen."
Geteilte Verantwortung in der Public Cloud
In der Public Cloud gehorchen die Services verschiedenen Herren: Management und Sicherheit von Infrastruktur wie Storage, Netzwerk, Datenbank und Rechenpower auf der einen Seite, Verwantwortung für VMs, Anwendungen und Daten auf der anderen Seite.
Rechtslage in Deutschland
Gerade die Angst vor Angriffen und Datenverlusten schreckt viele Anwender nach wie vor vor der Cloud ab.
Compliance-Sorgen
Auch die Sorge, Compliance-Bestimmungen in der Cloud nicht einhalten zu können, treibt viele Anwender um.
CASB - das Geschäft mit dem Cloud-Zugang
Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.

Zero-Knowledge: Ich weiß von nichts

Um dem entgegenzuwirken, haben sich alternative Dienste und ergänzende Zusatzwerkzeuge etabliert, die einen sicheren Speicherort in der Cloud ermöglichen. Gemeinsam ist diesen Werkzeugen, dass sie dafür sorgen, dass die Daten auf dem Gerät des Anwenders erst verschlüsselt werden, bevor sie auf dem Speicherdienst hochgeladen werden. Ver- und Entschlüsselung sind damit client-seitig. Die Verwaltung der notwendigen Geheiminformationen in Form von Passwörtern (als Basis der Erstellung der notwendigen Schlüssel) obliegt dem Anwender selbst. Der Cloud-Speicherdienst kennt damit weder die unverschlüsselten Daten noch den Schlüssel oder das Passwort.

Zieht man die Analogie zu der derzeit laufenden Diskussion bezüglich der Entschlüsselung eines iPhones durch Apple auf Anforderung durch das FBI, erübrigt sich durch die eingesetzte Technik der Weg zum Cloud-Provider zur Herausgabe entschlüsselter Daten: Diesem liegen die Schlüssel zu keinem Zeitpunkt vor, kann also nur verschlüsselte Daten herausgeben. Dieses Prinzip wird auch als Zero-Knowledge bezeichnet, ein Begriff der anteilig auch von Edward Snowden geprägt wurde. Die Umsetzung dieses Prinzip sorgt dafür, dass selbst ein böswilliger Systemadministrator auf der Seite der Cloud-Plattform keinen Zugriff auf unverschlüsselte Daten und damit eine Chance zur Verletzung der Privatsphäre der Anwender hat. Als vollständige Alternative und eigenständiger Cloud-Dienst hat sich beispielsweise Spideroak etabliert, das eine kommerzielle, verschlüsselte Cloud-Speicherplattform anbietet (kostenpflichtig nach 60 Tagen Test).

Will man aber bei seinen traditionellen Speicherdiensten wie Google Drive oder Dropbox bleiben, bieten sich Zusatzwerkzeuge an. Diese werden zusätzlich auf den Endgeräten installiert, werden mit den unterschiedlichen Speicherdiensten verknüpft und sorgen dann für eine transparente Verschlüsselung mittels starker und erprobter Algorithmen (etwa AES-256). Anders als bei Truecrypt-basierten "do-it-yourself"-Lösungen werden hier einzelne Dateien transportiert und nicht alles in einer potentielle sehr großen Container Datei gespeichert, was eine effiziente Synchronisierung ermöglicht. Hier hat sich Boxcryptor erfolgreich als eine grundsätzlich kommerzielle Lösung positioniert. Für Privatanwender bieten sie einen kostenlosen, aber funktional und in der Anzahl der nutzbaren Cloudservices und Endgeräte eingeschränkten Account an, der aber in vielen Einsatzszenarien ausreichen sollte.

Cryptomator als Open-Source-Alternative

Als spannende Alternative in diesem Bereich ist etwa seit der CeBIT 2016 das Bonner Unternehmen setoLabs mit seiner Lösung Cryptomator angetreten. Auch hier greift das Zero-Knowledge-Prinzip. Ein klares Alleinstellungsmerkmal ist die Tatsache, dass die Software als Open Source entwickelt wird und der Quelltext auf GitHub bereitgestellt ist. Damit ist insbesondere die Möglichkeit zum Code Review gegeben, so dass interessierte Anwender die Korrektheit der Software und das Nichtvorhandensein von Backdoors überprüfen können können.

Cryptomator bietet sich als deutsche Open-Source-Alternative zu bekannter Verschlüsselungssoftware an.

Die Software ermöglicht die Erstellung von beliebig vielen als Tresoren bezeichneten Containern, die derzeit an beliebiger Stelle auf Desktopsystemen erstellt werden können und via OneDrive, Google Drive, Dropbox und iCloud synchronisiert werden können. Jeder Tresor findet sich als Unterverzeichnis auf dem jeweiligen Cloud-Dienst wieder, durch die Clientkomponente wird er bei Freischaltung als Laufwerk bereitgestellt (loop-back WebDAV, nur lokal). Das dokumentierte Sicherheitskonzept bietet neben der Kernfunktionalität "Verschlüsselung" weitere Schutzmechanismen für die Inhalte der Daten während der Speicherung in der Cloud: Um eine mögliche Einsichtnahme in Metadaten zu verhindern wird auch der Dateiname verschlüsselt und die Dateigröße der entstehenden Dateien wird verändert. Somit werden auch Rückschlüsse über die Art und den Inhalt der Dateien auf dem Speichersystem erschwert.

Einsatz in der Praxis

Neben der Notwendigkeit eines Cloud-Accounts für die Synchronisation zwischen Geräten ist eine Registrierung oder ein Account bei Cryptomator natürlich weder notwendig noch sinnvoll. Mit dem Download und der Installation der Software liegt die Verantwortung für die Nutzung und Einrichtung beim Anwender selbst. In folgender Galerie zeigen wir, wie Cryptomator funktioniert:

Cryptomator
Cryptomator
Das Einrichten eines Tresors ist eine einfache Aufgabe. Auf einem Cloud-Speicher wird ein Tresor definiert, der dann mit einem Passwort versehen wird, das Passwort wird für die Ermittlung des notwendigen Schlüssels benötigt. Wie bei allen Passwort-basierten Systemen ist die Wahl eines sicheren Passwortes besonders wichtig. ?
Einfaches Einbinden
Die Nutzung des Tresors erfolgt dann als normales Laufwerk, etwa im Finder unter Mac OS X.
Transparenz
Die Synchronisation der verschlüsselten Datei zum Beispiel zum mobilen Gerät (hier iOS) erfolgt transparent über den ausgewählten Cloud-Dienst (im Beispiel Google Drive).
Keine Rückschlüsse möglich
Die verschlüsselte Variante, also die Informationen, die über die Cloud verteilt werden, bietet auf den ersten Blick keinerlei Rückschlüsse auf die unverschlüsselten Inhalte.

Die Software ist derzeit für Microsoft Windows, Apple OS X, iOS, Linux und als Java JAR-File verfügbar, eine Version für Android ist für später in diesem Jahr in Aussicht gestellt. Die Desktop-Versionen sind als Download auf der Projekt-Website verfügbar, das Projekt kann durch eine Pay-What-You-Want-Option unterstützt werden, die iOS-Variante ist für wenige Euro im iOS-AppStore verfügbar.

Der Markt bietet sicherheitsbewussten Anwendern heute viele Möglichkeiten, Dateien, die in öffentlichen Cloud-Speichern abgelegt werden sollen, vor der Einsichtnahme durch unberechtigte Dritte, auch beim Provider, zu schützen. Die in diesem Artikel genannten Systeme sollen nur als Beispiel dienen, die verfügbare Palette an Lösungen ist deutlich größer. Implementations-Alternativen für die jeweiligen Verschlüsselungsszenarien gibt es viele, nur "Nicht-Verschlüsseln" darf für informierte Anwender keine Alternative mehr sein. (sh)