Verschlüsselung statt Standortdiskussion
Cloud-Daten in Sichtweite
Nach den Enthüllung von Edward Snowden wuchsen die Zweifel gegenüber ausländischen IT-Anbietern - vor allem gegenüber US-amerikanischen Cloud-Diensten. Mit der "Cloud Made in Germany" will man Sicherheit durch lokale Standortwahl schaffen. Doch wichtiger als die Frage des RZ-Standorts ist das Thema Verschlüsselung - und dass der Anwender die Kontrolle über Inhalte wie auch Schlüssel behält.
Innerhalb des eigenen Netzwerks verfügen viele Unternehmen bereits über gute Sicherheitsarchitekturen für den Datentausch. Solange Informationen und Dokumente innerhalb dieser Perimeter bleiben, behält die IT-Abteilung die Kontrolle. Sobald Mitarbeiter jedoch Daten zwischen Filialen des Unternehmens oder mit externen Einrichtungen und Geschäftspartnern über die Firewall-Grenzen hinweg austauschen, erfolgt eine "De-Perimeterisation": Die Daten verlassen den abgesicherten und kontrollierbaren Bereich.
Cloud und Standort
Da Unternehmen immer weniger umhinkommen, sich auf Cloud-Lösungen zu verlassen, beschäftigen sie sich mit den Auswirkungen der Technik und den Ängsten, die sie mit sich bringt. In der Post-Snowden-Ära regiert vor allem die Angst vor dem Kontrollverlust: Was passiert, wenn Dritte meine Daten einsehen? Wie kann ich mich gegen Industriespionage wehren? Aber auch die Sorge vor Rechtsbrüchen beschäftigt viele Unternehmen, gerade in Deutschland: Was passiert, wenn meine Daten in anderen Ländern gespeichert werden, in denen kein deutsches oder europäisches Recht gilt? Wie kann ich dann die Sicherheit meiner Daten garantieren? Der naheliegende Schluss: Daten und Cloud müssen vor Ort bleiben, am besten in Sichtweite.
Leider stellt dies das Konzept der Cloud auf den Kopf. So verlockend vor Ort installierte ("On-Premise"-) Lösungen auch sein mögen - eine rein lokale Cloud, sozusagen die Cloud im Schuhkarton, ist komplett widersinnig. Der Nutzen des Cloud Computings besteht neben Skalierbarkeit und gesenkten Kosten in der ständigen Verfügbarkeit und Standortunabhängigkeit. Um diesen Zweck zu erfüllen, müssen die Daten um den Globus sausen - wo sie sich nachts ausruhen, ist sekundär.
Falsche Annahmen
Ein Blick auf nationale und internationale Gesetze zeigt, dass sich die Staaten der Welt bereits seit Jahren explizit mit den Rechten und Pflichten im Bereich Datentransfer beschäftigen. Die Gleichung "Standort des Rechenzentrums = Gerichtsbarkeit zu Daten" ist schlichtweg falsch. Unternehmen müssen verstehen, dass auch ein Tochterunternehmen in Mexiko Grund genug sein kann, um dem mexikanischen Staat unter Umständen Zugriff zu den eigenen Daten gewähren zu müssen. Die Daten müssen sich noch nicht einmal dort "niederlassen": Allein der Transit von Daten durch ein Staatsgebiet kann bereits für Dateneinsicht ausreichen.
Selbst wenn die Daten weder in einem bestimmten Land liegen, noch das Land im Glasfaserkabel durchlaufen, können die Behörden dieses Landes Zugriff erhalten: Internationale Verträge zur Rechtshilfe (Mutual Legal Assistance Treaty, MLAT) bieten Mechanismen, durch die Ermittler eines Landes ihre Kollegen in einem anderen Land um Zugriff auf Daten bitten können, zu denen sie selbst weder physischen noch legalen Zugang haben.
Die USA, vor den Snowden-Enthüllungen vielerorts als gutmütiger Aufseher des Internets gesehen, haben viel von ihrem positiven Image verloren - der enorme Einfluss ist jedoch geblieben. Als größter Anbieter von IT-Diensten weltweit sind die USA ein absoluter Ausnahmestaat und das Schwergewicht der globalen Informationswirtschaft: Die Mehrheit des weltweiten Datenverkehrs läuft nach wie vor über Switches und Server in den Vereinigten Staaten. Das sogenannte "Fünf-Augen-Abkommen" zwischen den USA, UK, Kanada, Neuseeland und Australien ermöglicht den fünf Ländern Zugriff auf Geheimdienstinformationen im direkten Austausch. Das erklärt auch, warum sie mit ihrem Sonderstatus auf Daten von EU-Bürgern zugreifen können, obwohl sie eigentlich nicht den strikten Standards der europäischen Datensicherheitsdirektive gerecht werden.
Unabhängig davon, wo die Daten gespeichert sind, kann also bereits der Transit zum legalen oder illegalen Abhören führen. Konflikte mit Dritten, die an die Daten gelangen wollen, lassen sich auch durch einen RZ-Standortwechsel nicht vermeiden. Wie also können Unternehmen für eine erhöhte Sicherheit ihrer Daten sorgen?
Verschlüsselung ist nach wie vor ein wirksames Mittel gegen unbefugten Zugriff auf Daten - so wirksam, dass Geheimdienste gerne verschlüsselte Chat-Anwendungen wie Whatsapp verboten sähen. Alle ernstzunehmenden Unternehmen im Sicherheitsbereich bieten daher vollständige Verschlüsselung an. Doch bisher war allein der Anbieter dafür zuständig. Der Ansatz der "Customer-Managed Keys" (CMK) eröffnet hier neue Wege: Damit legt der Anbieter die Kontrolle über die Verschlüsselung in die Hand der Kunden. Sollte ein Anwenderunternehmen kein Vertrauen mehr zu seinem Anbieter haben, genügt ein Knopfdruck, und die sensiblen Daten verwandeln sich für den Provider in "Datenschrott", den allein der Kunde auslesen kann. Mittels CMK ist der Anbieter rein technisch gar nicht mehr in der Lage, Anwenderdaten an Dritte herauszugeben - selbst wenn man ihn dazu zwingen wollte.
Kontrolle über die Schlüssel
Die CMK-Technik funktioniert prinzipiell wie eine sichere Cloud-Plattform - mit einem Twist: Das Anwenderunternehmen selbst erhält ebenfalls einen Teil der Lösung, der aus Soft- und Hardware besteht. Denn die hier verwendete Architektur besteht aus zwei Geräten: Ein HSM (Hardware-Security-Modul) steht beim Unternehmen und sichert dessen direkte Kontrolle über die Verschlüsselung, das andere - genauer: ein Cluster aus vier HSMs, um für Ausfallsicherheit zu sorgen - steht im Rechenzentrum des Anbieters.
Bevor ein Unternehmen einen Dienst wie zum Beispiel eine Collaboration-Plattform in Betrieb nimmt, generiert es mittels seines eigenen HSMs einen Schlüssel. Dieser wird dann in einer geschützten VPN-Verbindung zur Gegenstelle im RZ des Providers übertragen. Dabei fungieren die Module lediglich als Werkzeug, um Dateien zu ver- oder entschlüsseln - können aber niemals selbst einen Schlüssel ausgeben.
Generell gilt: Liegt die Datei erst einmal verschlüsselt auf dem Server, kann auch ein Diebstahl nicht mehr viel anrichten - es sein denn, der Dieb verfügt über die notwendigen Schlüssel. Ein Vorteil der CMK-Technik: Da der Schlüssel auf Seiten des Anwenders konfiguriert wird, kann er selbst den Schlüssel jederzeit deaktivieren oder ändern. Ver- und Entschlüsselung einer Datei erfolgen in drei Schritten. Dabei wird die Datei zuerst mit einem Zufalls-Key verschlüsselt. Das Ergebnis durchläuft das HSM-Cluster, wo es mit dem vom Anwenderunternehmen festgelegten persönlichen Key ein zweites Mal verschlüsselt wird. Bevor die Datei in die Datenbank gelangt, wird sie mittels des Master-Keys ein drittes Mal verschlüsselt. Dieser Master-Key befindet sich in der Kontrolle des Anbieters und wird in einer separaten Datenbank verwahrt.
Dieser Prozess gewährleistet nicht nur die Sicherheit jeder Datei durch Zufallsschlüssel und die getrennt aufbewahrten Master-Keys, sondern garantiert dem Anwenderunternehmen die Kontrolle über den Zugriff auf seine Daten - unabhängig davon, wo die Datenbank liegt. So sorgen neue Techniken wie CMK dafür, dass Anwender selbst in der Cloud die Hoheit über ihre Daten behalten.
Lesen Sie mehr zum Thema
