Verschlüsselung
Die Zukunft der Kryptographie im Zeitalter der Quantencomputer
Fortsetzung des Artikels von Teil 1
Cloud Services in Gefahr
Cloud-Services erfreuen sich aufgrund ihrer einfachen Handhabung, der schnellen Verfügbarkeit und des zumeist günstigen Kosten/Nutzen-Verhältnisses einer großen Beliebtheit. Mehr und mehr Unternehmen erkennen nun auch die Flexibilisierungs- und Kosten-Vorteile und bauen eigene Clouds auf, nutzen Hybrid-Modelle oder die Infrastruktur von externen Partnern. Mittelständische Unternehmen aus Deutschland sind oft “Hidden Champions” in ihrem Bereich, die Innovationen anführen und global vernetzen. Gerade für sie muss es deshalb auch einfach sein, Innovationen aus der Cloud nutzen zu können. Wollen mittelständische Unternehmen aus Deutschland ihre führende Rolle im globalen Umfeld behalten, müssen sie wettbewerbsfähig bleiben und die Möglichkeit haben, sich auf ihre jeweiligen Stärken zu fokussieren.
In anderen Ländern haben viele Firmen dies bereits erkannt und nutzen die professionellen Services der Cloud-Anbieter. Speziell in Cloud-Services abgelegte Daten sollten mit einer starken Verschlüsselung vor externen Zugriffen gesichert werden. Prof. Buchmann empfiehlt daher: „Unternehmen sollten schauen, welche Informationen lange vertraulich bleiben sollen. Darunter fallen insbesondere sicherheitskritische und personenbezogene Daten. Sie sollten dann die entsprechende Kryptographie aktualisieren, und zwar möglichst bald. Unternehmen sollten außerdem ihr gesamtes System analysieren, um die Abhängigkeit von der traditionellen Public-Key-Kryptographie herauszufinden und eine Transformationsstrategie entwickeln. Spätestens mit dem Inkrafttreten der europäischen Grundschutzverordnung (EU-DSGVO) kann schnelles Handeln geboten sein, um der Verordnung zu entsprechen.“
Elmar Eperiesi-Beck, CEO und Gründer von Eperi sowie Kooperationspartner der Technischen Universität Darmstadt und der T-Systems Business Unit Telekom Security erklärt: „Die Notwendigkeit zur Verschlüsselung von personenbezogenen Daten ist gerade bei cloudbasierten Services besonders gegeben. Nehmen Sie zum Beispiel Anwendungen von Personalabteilungen oder Anwendungen für das Kundenmanagement, die laufen heutzutage fast alle nur noch in der Cloud. Ein Großteil der dort gespeicherten und verarbeiteten Informationen besteht aus personenbezogenen Daten. Ein Unternehmen, das Cloud Services nutzt, trägt weiterhin die alleinige Verantwortung dafür, dass die Daten zu jedem Zeitpunkt gut geschützt sind. Obwohl das Unternehmen die Verantwortung hierfür gar nicht leben kann, weil es keinen Zugriff auf die Technologie des Cloud Anbieters hat. Der einzige Weg ist hier die Verschlüsselung der personenbezogenen Daten.“
Cloud Services sind nicht gefährdeter als andere Services - in der Regel sind sie sogar besser geschützt als die IT in den Rechenzentren der durchschnittlichen deutschen Unternehmen. Es geht auch mehr um die Verantwortung der Unternehmen. Jedem Manager eines Unternehmens muss klar sein, dass er die gesetzliche Verantwortung für den Schutz der personenbezogenen Daten nicht delegieren kann – weder intern und schon gar nicht an Externe. Die Frage ist also: Wie komme ich meiner Verpflichtung als Verantwortlicher nach, wenn ich die externen Cloud-Services nicht kontrollieren kann? Manchen Firmen reichen hier die Zertifizierungen der Cloud-Anbieter, andere gehen davon aus, dass schon nichts passieren wird.
Datenschutz in Zeiten der DSGVO
Viele Unternehmen wollen selbst die Kontrolle behalten bzw. sehen die stichpunktbezogene Zertifizierung eines Cloud Anbieters als nicht ausreichend an. Genau für diese Fälle bietet sich die Verschlüsselung an. Denn niemand kann verhindern, dass Daten gestohlen werden, aber mit einer Pseudonymisierung der Daten lässt sich verhindern, dass jemand die erbeuteten Daten nutzen kann. Und dies sieht auch die europäische Datenschutz-Grundverordnung (DSGVO) so vor, die unter anderem Strafen von bis zu 4 Prozent des Jahresumsatzes oder höchstens 20 Millionen Euro vorsieht. Es gibt aber einen einfachen Ansatz, um beide Probleme zu lösen - das ist in der DSGVO als Richtlinie „Privacy by Design“ verankert. Ein weiterer zentraler Punkt in der DSGVO lautet: „Zentralisierung“. Dabei geht es darum, einen zentralen Kontrollpunkt in der Unternehmensarchitektur des für den Datenschutz Hauptverantwortlichen einzurichten. Wenn alle Daten des Unternehmens erst diesen zentralen Kontrollpunkt passieren müssen, kann der Anbieter sicherstellen, dass personenbezogene und sonstige sensitive Daten verschlüsselt und pseudonymisiert werden, bevor sie an die jeweilige Geschäftsanwendung übermittelt werden - egal ob in der Cloud oder On-Premise. Gerade die Pseudonymisierung kann sicherstellen, dass der Geltungsbereich der DSGVO nur im Unternehmen bleibt und nicht – wie sonst – auf den Cloud-Provider ausgedehnt wird. Damit können Haftungs- und Meldepflichten entfallen. Hier behält der Kunde die alleinige und volle Kontrolle über die kryptographischen Schlüssel und die Verschlüsselung: Er muss kein Stück von der Kontrolle abgeben, wie es manchmal die Cloud Anbieter verlangen, damit sie ihren Dienst erbringen können. Zu keinem Zeitpunkt hat der Cloud Anbieter – auch nicht nur im Speicher seiner Systeme – potentiell Zugriff auf unverschlüsselte Daten. Und damit bleiben die Daten unter der vollen Kontrolle des Unternehmens zu jeder Zeit. Unternehmen sollten die Chancen, die sich mit den Anforderungen der DSGVO ergeben, nutzen, um die verwendeten kryptographischen Verfahren fit für die Zukunft zu machen.
Um Unternehmen hier zu unterstützten, entwickelten die Mitarbeiter der T-Systems Business Unit Telekom Security zusammen mit den Wissenschaftlern der Universität Darmstadt und dem Hersteller eperi die Lösung Cloud Data Protection mit einem speziellen verschlüsselnden Gateway als zentralen Baustein. Mit diesem Element ermöglichen die Kooperationspartner den Unternehmen, als Hauptverantwortliche für den Datenschutz die alleinige Kontrolle über die kryptographischen Schlüssel zu behalten. Nur sie sind in der Lage die verschlüsselten Informationen wieder lesbar zu machen. Herzstück der Lösung ist das BSI-zertifizierte secRT. Hierbei handelt es sich um eine Open-Source-Security-Plattform, die Entwicklern ein Development-Framework bereitstellt, das eine Reihe von wichtigen Funktionen für die Implementierung von fortschrittlichen Schlüsselmanagement- und Verschlüsselungstechniken enthält. Für eine Verschlüsselungslösung ist wichtig, dass sie auf bewährte Standard-Verschlüsselungsverfahren zurückgreift, die mathematisch korrekt sowie vollständig implementiert sind und keine Hintertüren beinhalten – und das muss für jeden Anwender nachprüfbar sein. Das lässt sich über proprietäre Verschlüsselungslösungen nicht gerade behaupten. Die Lösung zeichnet sich dadurch aus, dass sie Flexibilität bei der Wahl der Verschlüsselungsverfahren zulässt, die auch Quantencomputer-resistente kryptographische Verfahren einbezieht. Bereits letztes Jahr hat die Deutsche Telekom gemeinsam mit dem Lehrstuhl von Prof. Buchmann der TU Darmstadt sichergestellt, dass alle ihre Kunden bereits Quantencomputer-resistente Algorithmen im Standardprodukt einsetzen können.
Denn die Zeit drängt, wie die Wissenschaftler Prof. Buchmann und Dr. El Bansarkhani mahnen. Die Entwicklung der Quantencomputer macht Fortschritte. Gerade in den letzten Jahren. Es ist heute schon nötig, sich mit Alternativen zu beschäftigen. Einerseits dauert die Entwicklung neuer kryptographischer Verfahren von der Grundlagenforschung bis zur Integration in Anwendungen viele Jahre. Wer also darauf vorbereitet sein will, dass innerhalb von 15 Jahren vielleicht leistungsfähige Quantencomputer existieren, muss heute beginnen. Im Bereich der Verschlüsselung gilt noch ein zusätzliches Argument: Alles, was heute mit traditioneller Kryptographie verschlüsselt wird, kann später mit Quantencomputern entschlüsselt werden. Möchte man also, dass Informationen lange geheim bleiben, muss so schnell wie möglich neue Verschlüsselungsverfahren einsetzen, die später auch gegen Quantencomputer resistent sind. Post-Quanten Kryptografie bietet aber auch andere Vorteile, wie höhere Effizienz in verschiedenen Bereichen und funktionale Eigenschaften, die einen Wechsel zusätzlich begünstigen können.
Fazit
Wir werden die Entwicklung vieler anderer aussichtsreicher Verschlüsselungs-Verfahren sehen. Außerdem wird es viele neue Standards geben. Und wir werden in nächster Zeit den Bedarf sehen, die flächendeckende Transformation zur Post-Quanten-Kryptographie vorzubereiten. Wie bei den klassischen Rechnern werden mit der Entwicklung von Quantencomputern sicherlich fundamental neue Konzepte entstehen, die die Gesetze der Quantenmechanik vollständig ausnutzen. Mit Cloud Data Protection hat T-Systems mit dem Anbieter eperi und der TU Darmstadt eine erste Lösung mit Quantencomputer-resistenten Algorithmen entwickelt. Unternehmen können das Produkt ab sofort zur Verschlüsselung von sensiblen Personen- und Geschäftskritischen Daten einsetzen.
Tim Schneider ist Experte für Kryptographie bei Telekom Security
- Die Zukunft der Kryptographie im Zeitalter der Quantencomputer
- Cloud Services in Gefahr
- Hintrgrund: TU Darmstadt und Post-Quanten-Kryptographie
Lesen Sie mehr zum Thema
