Auf praktisch jedem Gerät, das Anwender heute für Ihre täglichen Arbeit, aber auch in ihrer Freizeit benutzen, entstehen Daten und Dateien, die sensitive Informationen enthalten. War das klassische Arbeitsgerät noch vor wenig mehr als zehn Jahren der heimische PC oder das Gerät am Arbeitsplatz, so entstehen heute schützenswerte Informationen auch auf mobilen Geräten, wie Mobiltelefonen, Tablets oder Notebooks. Der Schutz dieser Informationen vor der unerwünschten Einsichtnahme nicht berechtigter Dritter ist eine stetige und konkrete Herausforderung für jeden Anwender moderner IT-Systeme im privaten wie im beruflichen Kontext.
Foto: Macrovector - Shutterstock.com
Gewachsener Markt
Verschlüsselungsverfahren und das Verlangen staatlicher Stellen nach Hintertüren und Nachschlüsseln etwa in den Vereinigten Staaten (Stichwort: Apple gegen FBI) oder in Großbritannien (Stichwort: Investigatory Powers Bill) sind tagesaktuelle Themen und sind damit auch Grundlage von Schlagzeilen auf politischer wie technischer Ebene. Doch parallel hierzu ist die Kryptographie schon weitgehend in der Praxis angekommen. Viele Nutzerkreise von Unternehmen und Behörden bis zur interessierten Privatperson haben heute schon die Notwendigkeit und das Recht auf Sicherheit und Privatsphäre erkannt.
Das Verlangen nach einer vertrauenswürdigen und sicheren Speicherung vertraulicher, geheimer oder aus sonstigen Gründen schützenswerter Daten und Dateien hat zu einer Vielzahl von Lösungen geführt, mit denen Anwender und Anwenderinnen unterschiedliche Aspekte ihrer persönlichen Sicherheit und Privatsphäre schützen können. Die Verschlüsselung ganzer Festplatten ist heute, etwa mit Microsofts Bitlocker oder Apples FileVault in modernen Betriebssystemen vorgesehen. Für interessierte Anwender existieren Ende-zu-Ende-verschlüsselte Nachrichtensysteme wie Signal und auch die Inhalte der klassischen E-Mail sind heute mit vertretbarem Aufwand via S/MIME oder GPG (Gnu Privacy Guard) zu verschlüsseln, auch wenn hier noch viel Nachbesserungsbedarf mit Blick auf die Anwenderfreundlichkeit und den Schutz von Metadaten besteht, insbesondere der Mailheader.
- Outlook E-Mails mit PGP verschlüsseln
Gpg4Win besteht aus einer Reihe einzelner Komponenten.
Bei der Auswahl des jeweiligen Werkzeuges ist mit Sicherheit auch als entscheidender Aspekt zu berücksichtigen, ob die verwendete Software als kommerzielle Lösung und insbesondere als closed source entstanden ist oder ob sie auf der Implementation offener Standards beruht, in ihren Schlüsselkomponenten offengelegt und damit unabhängig validierbar ist, etwa als Open Source. Berichte haben in der Vergangenheit schon die Annahme nahegelegt, dass auch kommerzielle Produkte durch Einflussnahme Dritter in ihre Sicherheit durchaus absichtlich geschwächt worden sein könnten. Bei der Auswahl und Beurteilung von möglichen Lösungsalternativen kann beispielsweise die kontinuierlich gepflegte Website privacytools.io gute Dienste leisten.
Abgesicherter Cloudspeicher als Herausforderung
Gerade für die Anwender mehrerer Endgeräte (Desktop und Tablet, Desktop-PC und Notebook usw.), aber auch als einfacher Mechanismus für ein kontinuierliches Backup entstehender Anwenderdateien, haben sich die oft kostenlosen oder im Einsatz sehr günstigen Cloud-Speicher-Dienste erwiesen. Die Nutzung von Dropbox, Box, Google Drive oder Microsofts OneDrive ist für viele heute schon eine Selbstverständlichkeit. Der grundlegende Zugang zu diesen Systemen kann heute schon vorbildlich über Zweifaktor-Authentifizierung geschützt werden, wobei die Aktivierung dieses zusätzlichen Schutzmechanismus jedem Anwender solcher Dienste nur angeraten werden kann. Ohne weitere Schutzmaßnahmen sind aber die Daten auf den jeweiligen Systemen nicht vor der Einsichtnahme Dritter geschützt. Hier wird dem jeweiligen Anbieter des Dienstes ein großer Vertrauensvorschuss gewährt. Und auch das eigentlich komfortable Feature zum Teilen von Verzeichnissen zur gemeinschaftlichen Nutzung mit vertrauenswürdigen Personenkreisen kann im Zweifelsfall auch schon einmal zu einer ungewollten Veröffentlichung eigentlich privater Dokumente führen.
- Aktuelle Entwicklungen zu Cloud-Security und -Datenschutz
Ob Unternehmensdaten in der Cloud "sicher" sind, hängt davon ab, welchen Datenschutzregeln der jeweilige Anbieter verpflichtet ist. Häufig geht hier es um Europa vs. USA. Die aktuellen Entwicklungen um "Safe Harbor" haben die Debatte neu befeuert. Eine klare Antwort ist immer noch in weiter Ferne. - Marktanteile
Auf die "Großen Vier" Amazon Web Services, Microsoft, IBM / Softlayer und Google entfielen im zweiten Quartal 2015 rund 54 Prozent des weltweiten Umsatzes mit Cloud-Services. Nordamerika ist mit etwa der Hälfte der Umsätze der größte regionale Markt, vor Europa und Asien/Pazifischer Raum. - Standorte
Für deutsche Unternehmen ist laut einer Studie von Bitkom Research und KPMG wichtig, dass ein Cloud Service Provider im deutschen oder EU-Rechtsraum angesiedelt ist oder dort Rechenzentren unterhält. - Erfahrungen der Nutzer
Anwender in Deutschland haben bessere Erfahrungen mit Private Clouds gemacht als mit IT-Diensten, die sie über Public Clouds beziehen. - Transformation als Treiber
Cloud Computing hat bei vielen deutschen Unternehmen einen hohen Stellenwert, wenn es um die strategische Ausrichtung der IT-Umgebung geht. Daran ändern auch Debatten um den Datenschutz nichts. - Public Cloud Provider
Alle führenden amerikanischen Anbieter von Public Cloud Services haben mittlerweile Rechenzentren in EU-Mitgliedsstaaten oder Deutschland aufgebaut. Damit tragen sie dem Wunsch von Unternehmen Rechnung, die Daten nicht in Datacentern lagern wollen, die in anderen Rechtsräumen angesiedelt sind. - Google
Google hat sich mit einer gewissen Verspätung als Cloud-Service-Provider positioniert. Mittlerweile bietet das Unternehmen nach dem Baukastenprinzip eine Palette von Cloud-Services an. - Verschlüsselungslösungen
Für die Verschlüsselung und Schlüsselverwaltung setzen Microsoft und andere Cloud-Service-Provider besonders sichere HSMs (Hardware Security Modules) ein. Microsoft nutzt bei Azure HSM-Systeme von Thales. Andere Anbieter von HSM, die in Cloud-Umgebungen zum Zuge kommen, sind Utimaco und Gemalto (SafeNet). - Microsoft-Prozess
Microsoft gegen die Vereinigten Staaten von Amerika: In dem Berufungsverfahren will Microsoft die Herausgabe von E-Mail-Daten an ein US-Gericht verhindern, die auf Servern im Cloud-Datacenter in Irland gespeichert sind. - SAP-Sicherheitsarchitektur
Die Grundlage für Cloud-Services, die den Anforderungen von Compliance- und Datenschutzregeln genügen, sind umfassende Sicherheitsmaßnahmen in Cloud-Datacentern. Eine Schlüsselrolle spielen dabei Verschlüsselungs- und Authentifizierungsmaßnahmen. - Constantin Gonzalez, AWS
Constantin Gonzalez, Solutions Architect bei Amazon Web Services: "Amazon Web Services bietet Anwender eine Art ferngesteuerte Hardware. Für die Kontroller der Daten ist der Nutzer selbst verantwortlich." - Speicherorte
Laut einer Analyse von Skyhigh Networks entsprechen zwei Drittel der Cloud-Services, die in Europa zur Verfügung stehen und von Firmen in dieser Region genutzt werden, nicht den EU-Datenschutzregelungen. - Khaled Chaar, Pironet NDH
Khaled Chaar, Managing Director Business Strategy bei der Cancom-Tochter Pironet NDH: "Bei der Debatte um die Sicherheit von Daten in der Cloud sollte ein weiterer Aspekt berücksichtigt werden: Cloud-Rechenzentren verfügen in der Regel über deutlich bessere Sicherheitsvorkehrungen als Data Center von Unternehmen. Denn für die meisten Firmen gehört der Aufbau sicherer Rechenzentrums-Strukturen nicht zum Kerngeschäft und ist schlichtweg zu aufwändig, insbesondere aufgrund der stetig wachsenden Sicherheitsanforderungen." - Hartmut Thomsen, SAP
Hartmut Thomsen, Managing Director der SAP Deutschland SE & Co. KG: "SAP befolgt die rechtlichen Rahmenbedingungen in den Ländern, in denen das Unternehmen geschäftlich tätig ist. Ebenso wichtig sind für uns die Wünsche unserer Kunden. Für diese besteht deshalb – abhängig vom jeweiligen Cloud-Produkt – die Möglichkeit, sich für Cloud-Dienstleistungen zu entscheiden, die SAP innerhalb der EU bereitstellt." - René Büst, Crisp Research
René Buest, Senior Analyst und Cloud Practice Lead bei dem Marktforschungs- und Beratungsunternehmen Crisp Research: "Für international tätige Unternehmen ist es schlichtweg unverzichtbar, einen Cloud-Service-Provider mit einer Präsenz in vielen Regionen der Welt auszuwählen." - Geteilte Verantwortung in der Public Cloud
In der Public Cloud gehorchen die Services verschiedenen Herren: Management und Sicherheit von Infrastruktur wie Storage, Netzwerk, Datenbank und Rechenpower auf der einen Seite, Verwantwortung für VMs, Anwendungen und Daten auf der anderen Seite. - Rechtslage in Deutschland
Gerade die Angst vor Angriffen und Datenverlusten schreckt viele Anwender nach wie vor vor der Cloud ab. - Compliance-Sorgen
Auch die Sorge, Compliance-Bestimmungen in der Cloud nicht einhalten zu können, treibt viele Anwender um. - CASB - das Geschäft mit dem Cloud-Zugang
Durch sogenannte CASB (Cloud Access Security Broker) soll der gesicherte Zugang zu Cloud-Diensten sichergestellt werden. Hier entwickelt sich zunehmend ein eigener Markt.
Zero-Knowledge: Ich weiß von nichts
Um dem entgegenzuwirken, haben sich alternative Dienste und ergänzende Zusatzwerkzeuge etabliert, die einen sicheren Speicherort in der Cloud ermöglichen. Gemeinsam ist diesen Werkzeugen, dass sie dafür sorgen, dass die Daten auf dem Gerät des Anwenders erst verschlüsselt werden, bevor sie auf dem Speicherdienst hochgeladen werden. Ver- und Entschlüsselung sind damit client-seitig. Die Verwaltung der notwendigen Geheiminformationen in Form von Passwörtern (als Basis der Erstellung der notwendigen Schlüssel) obliegt dem Anwender selbst. Der Cloud-Speicherdienst kennt damit weder die unverschlüsselten Daten noch den Schlüssel oder das Passwort.
Zieht man die Analogie zu der derzeit laufenden Diskussion bezüglich der Entschlüsselung eines iPhones durch Apple auf Anforderung durch das FBI, erübrigt sich durch die eingesetzte Technik der Weg zum Cloud-Provider zur Herausgabe entschlüsselter Daten: Diesem liegen die Schlüssel zu keinem Zeitpunkt vor, kann also nur verschlüsselte Daten herausgeben. Dieses Prinzip wird auch als Zero-Knowledge bezeichnet, ein Begriff der anteilig auch von Edward Snowden geprägt wurde. Die Umsetzung dieses Prinzip sorgt dafür, dass selbst ein böswilliger Systemadministrator auf der Seite der Cloud-Plattform keinen Zugriff auf unverschlüsselte Daten und damit eine Chance zur Verletzung der Privatsphäre der Anwender hat. Als vollständige Alternative und eigenständiger Cloud-Dienst hat sich beispielsweise Spideroak etabliert, das eine kommerzielle, verschlüsselte Cloud-Speicherplattform anbietet (kostenpflichtig nach 60 Tagen Test).
Will man aber bei seinen traditionellen Speicherdiensten wie Google Drive oder Dropbox bleiben, bieten sich Zusatzwerkzeuge an. Diese werden zusätzlich auf den Endgeräten installiert, werden mit den unterschiedlichen Speicherdiensten verknüpft und sorgen dann für eine transparente Verschlüsselung mittels starker und erprobter Algorithmen (etwa AES-256). Anders als bei Truecrypt-basierten "do-it-yourself"-Lösungen werden hier einzelne Dateien transportiert und nicht alles in einer potentielle sehr großen Container Datei gespeichert, was eine effiziente Synchronisierung ermöglicht. Hier hat sich Boxcryptor erfolgreich als eine grundsätzlich kommerzielle Lösung positioniert. Für Privatanwender bieten sie einen kostenlosen, aber funktional und in der Anzahl der nutzbaren Cloudservices und Endgeräte eingeschränkten Account an, der aber in vielen Einsatzszenarien ausreichen sollte.