Verschlüsselung in der Cloud
Gehen wir noch einen Schritt weiter: Möchte man seine Dateien sicher in der Cloud speichern, ist man natürlich ebenso auf die Zauberkraft der Kryptographie angewiesen: nur mit Hilfe modernster Verschlüsselungstechnik kann gewährleistet werden, dass niemand heimlich Einsicht in die Daten nehmen kann, egal ob während der Datenübertragung oder direkt im Cloud-Speicher. Dabei kommen heutzutage bewährte HTTPS-Verbindungen zum Einsatz, die bereits die vollständige Übertragungsstrecke absichern. Gleichwohl ist es sinnvoll, zusätzlich alle Informationen auf den Cloud-Servern verschlüsselt abzulegen. Nur so lässt sich verhindern, dass ein Datendieb, dem das Eindringen in die Cloud geglückt ist, Informationen extrahieren und damit für sich nutzen kann.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services. - Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers. - Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software. - Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Der Weisheit letzter Schluss ist es jedoch nicht, denn hat der Angreifer Zugriff zum Arbeitsspeicher des Servers erlangt, könnte er wiederum vor der Verschlüsselung auf dem Server die Daten abgreifen.
"Den wichtigsten Punkt bildet die clientseitige Verschlüsselung. Dabei werden alle Dateien bereits am Rechner des Benutzers verschlüsselt und können erst nach dem Herunterladen durch eine andere Person von dieser wieder entschlüsselt werden", erklärt Dieter Steiner, CEO des Cloud- und IT-Security-Anbieters SSP Europe. Selbst dem Cloud-Betreiber bleiben so die technischen Möglichkeiten versagt, einen Blick auf die Dateien zu werfen und ebenso einem Angreifer, der sich die Hoheit eines Serversystems bis auf Datei- und Arbeitsspeicherebene ergattert hat.
Foto: SSP Europe
Damit das funktionieren kann, muss jeder, der an dem Datenaustausch teilnehmen möchte, ein asymmetrisches Schlüsselpaar erzeugen und den öffentlichen Schlüssel auf der Austauschplattform bereitstellen. Ein Benutzer, der eine Datei für eine Gruppe von Personen hochladen möchte, holt sich zunächst die öffentlichen Schlüssel der Empfänger. Anschließend erzeugt er für sich einen symmetrischen Schlüssel, mit dem er die Datei codiert. Von diesem symmetrischen Schlüssel legt er nun für jeden Empfänger eine Kopie an und verschlüsselt diese mit den jeweiligen öffentlichen Schlüsseln. Zu guter Letzt überträgt er die codierten Kopien des symmetrischen Schlüssels zusammen mit der verschlüsselten Datei an den Server und speichert sie dort.
Möchte ein anderer Benutzer die Datei herunterladen, holt er sich diese in der verschlüsselten Form zusammen mit der für ihn codierten Kopie des symmetrischen Schlüssels. Letzteren kann er mit Hilfe seines privaten Schlüssels entschlüsseln und verfügt nun über den symmetrischen Schlüssel, mit dem er die Datei decodieren kann.
Die SSP Europe geht hier noch einen Schritt weiter und hat das Verschlüsselungsverfahren in seiner Secure Data Space Software integriert, was es dem Anwender in der Nutzung besonders einfach macht, da er sich nicht mehr mit der Installation von Zertifikaten auseinandersetzen muss.
Fazit
Die Kryptographie ist von geradezu essenzieller Bedeutung für die Datensicherheit und kommt in allen modernen IT-Systemen zum Einsatz. Die praktische Relevanz dieser Technologie lässt sich nicht zuletzt auch an den Mitteln ablesen, die zu ihrer Erforschung aufgewendet werden. Bei dem amerikanischen Geheimdienst NSA beispielsweise sollen es bis zu 440 Millionen US-Dollar jährlich sein.
So kompliziert die mathematischen Abläufe im Hintergrund auch sein mögen, so einfach sind die Prinzipien ihrer praktischen Anwendung für die Nutzer. Das sind ausgesprochen gute Nachrichten in einer immer komplexer scheinenden Cyber-Welt. Es gibt keinen plausiblen Grund für Berührungsängste mit dieser anspruchsvollen Sicherheits-Technologie. Daher sollte sie jeder einsetzen, der heute wertvolle Daten im Internet übertragen oder in einer Cloud speichern möchte.
Wer noch tiefer in das Thema "Verschlüsselung" einsteigen möchte, sich mit den Folgen der NSA-Affäre und des OpenSSL-Desasters auseinander setzen möchte, dem sei unser PDF-Kompendium "Im Fokus: Verschlüsselung" empfohlen - für kleines Geld im CW-Shop erhältlich und nicht nur IT-Security-Experten ans Herz gelegt! (sh)