Cloud-Sicherheit
Endet der Datenschutz an der Grenze?
Fortsetzung des Artikels von Teil 2
Die Methoden sind gleich geblieben
Das Problem von SSL liegt – wie schon in den vergangenen Jahren – meist in gefälschten Zertifikat-Autoritäten, nicht in der geknackten Technologie. SSL-Zertifikate erfüllen zweierlei Aufgaben: Auf Webservern installiert, liefern sie einerseits das nötige Schlüsselmaterial, damit Besucher der Webseiten überhaupt verschlüsselte Verbindungen zu dieser Seite aufbauen können. Zum anderen bieten sie den Nutzern einer Webseite die Möglichkeit, zu überprüfen, ob es sich bei der besuchten Seite tatsächlich um den entsprechenden Anbieter handelt. Sie schützen so beispielsweise vor Phishing-Angriffen oder vor Betrug. Die in den Browsern hinterlegten Certificate-Authorities (CA) stellen solche Zertifikate an die Betreiber von Webseiten nur dann aus, wenn die Identität des Anbieters überprüft wurde.
Eines der Probleme ist, dass die Integrität einer CA nicht überprüfbar ist. Hat jemand Zugriff auf eine der weltweit zirka 600 öffentlichen CAs und dort gefälschte Zertifikate ausgestellt, werden diese ohne Warnung akzeptiert. Entsprechende Vorfälle hat es im Zusammenhang mit
Phishing-Angriffen auch im Kontext mit Spionage bereits gegeben.
Wenn niemand mitlesen soll, hilft nur Verschlüsselung. Das betrifft E-Mails genauso wie VPNs oder Datenspeicher. Allerdings unterscheidet sich die Sicherheit der Verfahren wesentlich. Während symmetrische Verfahren in der Regel schneller sind, erhöhen viel aufwändigere, asymmetrische Verfahren abhängig von Algorithmus und Schlüssellänge die Sicherheit wesentlich (siehe Abbildung). Wichtige Verfahren zur E-Mail-Verschlüsselung basieren darauf genauso wie IP-Sec.
Generell unterliegt der Datenverkehr immer den Datenschutzbestimmungen des jeweiligen Landes, durch den er gerade fließt. Gleichzeitig ist für den Nutzer in der Regel nicht ersichtlich, welche Strecke die gesendeten Datenpakete nehmen. Telefonieren zwei Geschäftspartner beispielsweise via VoIP zwischen München und Frankfurt, kann es gut sein, dass dieses Gespräch über Großbritannien oder die USA läuft. Diese Datenführung liegt in der Natur des Internets. Generell weiß man im Internet in der Regel nicht, welchen Weg die Kommunikation geht und welche Gesetzgebungen für die jeweilige Route gelten.
Im Inland ist die Bedrohung also weniger durch einen Datenschutz-Wirrwarr gegeben als durch unrechtmäßige Zugriffe und Hacker-Angriffe. Letztlich helfen nur Verschlüsselungen, um Inhalte zu schützen. Ein weiterer Knackpunkt, denn längst nicht alle Staaten erlauben verschlüsselten Datenverkehr. Einige lassen auch nur ganz bestimmte Algorithmen zu. Den Schutz von Verbindungsdaten in jedem Fall zu gewährleisten, bleibt eine Utopie.
Unternehmen, die mit internationalen Standorten kommunizieren oder internationale Cloud-Services nutzen wollen, sollten sich im Vorfeld genau informieren, auf welche Datenschutzbestimmungen sie treffen, und die Risiken abwägen. Nützlich ist es in diesem Zusammenhang, die Daten zu klassifizieren.
Fazit: Für Vorsichtsmaßnahmen sorgen!
Normale E-Mail-Kommunikation hat beispielsweise eine ganz andere Sicherheitsstufe als vertrauliche Baupläne oder Konstruktionszeichnungen. Je nach Datenart sind dann auch die Transferwege und Speicherorte zu bestimmen. Das bedeutet im Zweifel: personenbezogene Daten in jedem Fall bei sich behalten und nicht nach außen oder in die Cloud geben! Aus Sicherheitsaspekten sollten vertrauliche Dokumente verschlüsselt transportiert und gespeichert werden.
In Anbetracht dessen, dass technologiegetriebene Konzerne in Deutschland tagtäglich von Hackern angegriffen werden, scheint die Tragweite des NSA-Skandals für Unternehmen eher nebensächlich. Das Positive am derzeitigen Skandal ist, dass die Themen Informationssicherheit und Datenschutz bei IT-Verantwortlichen so präsent sind wie nie. Das Internet bringt eine Vielzahl an Gefahren, die im Business-Kontext sehr großen Schaden anrichten können – angefangen bei Datendiebstahl über Betrug bis hin zu Erpressung. Die Gegner sind rivalisierende Länder genauso wie Cyberkriminelle oder konkurrierende Unternehmen. Der einzige Unterschied im „Club der Bösewichte“ sind die Möglichkeiten: Staatlich getriebene Aktionen verfügen selbstverständlich über viel größere Ressourcen als Hacker-Angriffe.
Absolute Sicherheit lässt sich niemals darstellen. Je wertvoller die Information, desto begehrter ist sie auch bei Cyber-Kriminellen. Es geht vielmehr darum, die Sicherheitshürden so hoch zu schrauben, dass der Beschaffungsaufwand den Wert der Information übersteigt. Cloud-Services mit höheren Sicherheitsmechanismen können unter Umständen sogar helfen, wenn sie von deutschen Unternehmen im Bundesgebiet betrieben werden.
- Endet der Datenschutz an der Grenze?
- Datenschutz weltweit unterschiedlich
- Die Methoden sind gleich geblieben
Lesen Sie mehr zum Thema
