Verschlüsselung in der Cloud
Besser sicher als verunsichert
Im Zusammenhang mit Cloud-Diensten und -Speicherung müssen viele unterschiedliche Aspekte berücksichtigt werden. Dabei fällt das Thema „Datenverschlüsselung“ häufig unter den Tisch. Verschiedene Seiten der Datenverschlüsselung sind dabei für Übertragung und Speicherung von Daten in der Cloud besonders kritisch.
Die erste relevante Frage ist, ob Daten bereits verschlüsselt sind und ob sie überhaupt verschlüsselt werden sollten oder müssen. Denn nicht alle Daten müssen verschlüsselt werden. Dies ist insbesondere angesichts der mit der Verschlüsselung von Daten verbundenen Verarbeitungs- und Übertragungslast wichtig. So ist es zum Beispiel nicht notwendig, Musikdateien, Archivfotos oder andere allgemein verfügbare Dateien zu verschlüsseln.
Andere Daten dagegen müssen verschlüsselt werden. Bestimmte Compliance-Anforderungen, zum Beispiel HIPAA oder PCI, verlangen ausdrücklich eine Kontrolle des Datenzugriffs. Dabei lässt sich der unautorisierte Zugriff auf Daten, die sich unter der physischen Obhut eines Dienstanbieters befinden, nur garantiert verhindern, wenn sie verschlüsselt werden.
Wo werden die Daten verschlüsselt?
Nach der Entscheidung für eine Verschlüsselung, ist die nächste Frage, wo die Daten verschlüsselt werden. Denn viele Cloud-Dienste bieten zwar bereits Verschlüsselung an, diese erfolgt jedoch nur innerhalb der Cloud. Außerhalb der Speicherumgebung sind die Daten nicht verschlüsselt.
Ein einfaches Beispiel: Ein USB-Stick ist an einen PC angeschlossen und über die Verschlüsselung „BitLocker“ gesichert. Dabei werden die Daten verschlüsselt, sobald sie auf den USB-Stick geschrieben werden. Der Besitzer des USB-Sticks hat den Schlüssel, um die Verschlüsselungssperre aufzuheben. Speichert man nun etwa Daten eines Kollegen auf dem USB-Stick, werden diese Daten natürlich verschlüsselt, aber wer hat tatsächlich die Kontrolle über den Zugriff auf die Datei?
Denn der Ort der Datenverschlüsselung bestimmt, wer Zugriff auf die Daten hat. Wenn ein Anbieter die Verschlüsselung übernimmt, hat er auch die Möglichkeit, auf die Daten zuzugreifen. Bereits bei oberflächlicher Betrachtung ist dies wichtig, weil unbekannte Personen potenziellen Zugriff auf die Daten haben. Darüber hinaus stellt sich die Frage des Datendiebstahls aus der Speicherumgebung des Anbieters. In den Nachrichten finden sich genügend Beispiele dafür. Wenn es um den Schutz der Daten geht, sollten die Überlegung nicht sein, ob es zu Eindring-/Kompromittierungs-Versuchen kommt, sondern wann. Dabei darf man auch keinesfalls den autorisierten behördlichen Zugriff vergessen, sei es durch legitime Gerichtsurteile wie Auskunftsanordnungen und Durchsuchungsbefehle oder durch verdeckte Aktionen wie durch Geheimdienste oder den berühmt-berüchtigten Bundestrojaner.
Daher sollten die Daten im eigenen System verschlüsselt werden, bevor sie zur Speicherung ausgelagert werden. Das ist allerdings kein neues Konzept: Das Prinzip gilt schon seit Ewigkeiten für Offsite-Sicherungen. Niemand würde beispeilsweise ein Band mit unverschlüsselten Daten an einen Storage-Spezialisten senden.
- Besser sicher als verunsichert
- Welche Technologien gibt es?
Lesen Sie mehr zum Thema
