IT-Sicherheit mit Flexibilität: Cloud-Sicherheit und die Vertrauensfrage

Illustration: Absmeier, TheDigitalArtist

IT-Sicherheit ist ein zentrales Thema in Unternehmen. Nicht zuletzt dank der Kampagnen von IT-Anbietern rund um die Einführung der Europäischen Datenschutzgrundverordnung (EU-DSGVO) sind sich in vielen Fällen nicht nur IT-Verantwortliche, sondern auch das Management im Allgemeinen der Notwendigkeit bewusst, sensible Daten zu schützen. In Zeiten von Cloud Computing heißt das unter anderem, dass eine hohe Nachfrage nach IT-Sicherheitslösungen für Cloud-Anwendungen besteht. Glücklicherweise haben die großen Cloud Provider ebenso wie Anbieter von Cloud-Applikationen entsprechende Technologien im Angebot. So bietet Salesforce seinen Kunden mit Salesforce Shield beispielsweise eine sehr mächtige Lösung zur Verschlüsselung der Daten in der Cloud.

 

Verschlüsselung

Wie viele andere Unternehmen setzt Salesforce dabei auf eine Plattformverschlüsselung am Speicherort (Data at Rest), also in der Cloud, die technisch von der Verschlüsselung der Daten während der Übertragung (Data in Transit) zu unterscheiden ist: Letztere stellt lediglich einen sicheren Kommunikationstunnel zwischen A und B her. Die bekanntesten Protokolle für die Verschlüsselung während der Übertragung sind HTTPS, das vor allem zur Tunnelung des Datenverkehrs mit Websites genutzt wird, und IPSec zum Aufbau von Virtual Private Networks, um zum Beispiel den sicheren Zugang zum Unternehmensnetzwerk zu gewährleisten.

Ein dritter wichtiger Ansatz zur Datenverschlüsselung ist die Gateway-Technologie. Diese kommt zum Einsatz, bevor Daten das Unternehmen verlassen. Diese bleiben somit während ihres gesamten Lebenszyklus außerhalb des Unternehmens gesichert (Data in Use). Dementsprechend kann man die drei genannten Ansätze folgendermaßen klassifizieren:

  • Plattformverschlüsselung: am finalen Speicherort (Beispiel Salesforce: data at rest)
  • Übertragungsverschlüsselung: während der Übertragung
  • Gateway-Verschlüsselung: Daten sind während des gesamten Lebenszyklus geschützt, sobald sie das Gateway passiert haben

Für die Beurteilung verschiedener Herangehensweisen der Nutzung von Cloud-Anwendungen sind vor allem Gateway- und Plattform-Verschlüsselung zu vergleichen. Die Übertragungsverschlüsselung via HTTPS oder IPSec ist heutzutage ohnehin als selbstverständlich vorauszusetzen.

 

Die Vertrauensfrage

Dabei ist zunächst die Vertrauensfrage zu stellen. Grundsätzlich gilt: Wer die Daten verschlüsselt, muss zunächst die unverschlüsselten Daten sehen können. Im Falle der Plattformverschlüsselung durch einen Cloud Provider oder Anbieter einer Cloud-Anwendung ist dies der Anbieter der jeweiligen Cloud beziehungsweise Cloud-Anwendung. Demgegenüber behält das Unternehmen bei der Gateway-Verschlüsselung selbst die Kontrolle über seine Daten – insofern diese das Unternehmen niemals unverschlüsselt verlassen.

Um die Anforderungen der EU-DSGVO zu erfüllen, garantieren mittlerweile auch die meisten US-amerikanischen Anbieter, dass Daten ihrer europäischen Kunden ausschließlich in europäischen Datenzentren verarbeitet und gespeichert werden. Dies mag für all diejenigen genug sein, die ihren Lieferanten mit vollem Vertrauen begegnen. Ein Rest Unsicherheit bleibt aber in jedem Fall. Und die streng regulierten Branchen wie der Finanzsektor, das Gesundheitswesen oder Organisationen der öffentlichen Hand dürfen nicht vertrauensselig sein. Dafür hat schon der Gesetzgeber gesorgt.

 

Wichtige Erwägungen

Drei weitere Faktoren sollten bedacht werden. Zum einen steht es US-Behörden nach wie vor zu, nahezu uneingeschränkt Einsicht in Daten zu nehmen. Diese Möglichkeit kann auch für Daten gelten, die in Europa verarbeitet und gespeichert werden, solange der Cloud-Anbieter der US-amerikanischen Gesetzgebung unterliegt. Die Vertrauensfrage muss also nicht nur den US-Unternehmen gestellt werden, sondern auch den US-Behörden, die gegebenenfalls die Unternehmen zur Datenherausgabe zwingen können. Dass auch deutschen Behörden in dieser Hinsicht nicht zu trauen ist, hat erst jüngst der Skandal um die Schweizer Crypto AG bewiesen.

Zum Zweiten bietet Plattformverschlüsselung auch technisch eine Angriffsfläche. Weil der Provider, wie gesagt, die Daten zunächst in unverschlüsselter Form vorliegen haben muss, sind diese, wenn auch kurzfristig, beim Provider im Klartext einzusehen. Daher könnten die Daten in dieser Phase durch Hacker abgegriffen werden. Diese Art der Cyberattacke erfordert Einiges an technischer Kenntnis. Sind die zu verschlüsselnden Daten aber sensibel genug, werden sich auch Cyberkriminelle mit genug Sachverstand und krimineller Energie finden, die diese Sicherheitslücke ausnutzen wollen. Die meisten Cloud-Anbieter werden diese Möglichkeit nicht ernsthaft bestreiten.

Zum Dritten stellen die Admin-Zugänge beim Cloud-Anbieter eine mögliche Schwachstelle dar. Auch wenn den Admins des Providers keine bösartigen Absichten zu unterstellen sind, bleiben deren Zugänge doch äußerst attraktive Ziele für Cyberkriminelle. In den meisten Fällen erfolgt die Hilfe für Cyberkriminelle nicht vorsätzlich, sondern Mitarbeiter fallen auf Social-Engineering-Techniken herein. Aufgrund ihrer weitreichenden Befugnisse stellen Admins großer Cloud-Installationen naturgemäß besonders attraktive Ziele dar.

 

Praktische Vorteile

Es gilt also: Wirklich sicher sind Daten erst, nachdem sie verschlüsselt wurden. Nur beim Gateway-Ansatz kann sich eine Organisation wirklich sicher fühlen, weil niemals unverschlüsselte sensible Daten das Unternehmen verlassen.

Einen großen praktischen Vorteil kann die Gateway-Kryptografie auch in praktischer Hinsicht bieten, wenn man sie mit einem Template-Ansatz kombiniert. Templates sind prinzipiell unabhängig vom Gateway selbst und erlauben die individuelle Anpassung der Verschlüsselung an die jeweilige Anwendung sowie die Bedürfnisse des Unternehmens.

 

Benutzerdefinierte Felder

Die Plattformverschlüsselung der großen Anbieter ist häufig wenig flexibel. Sie erlaubt lediglich die Verschlüsselung bestimmter Informationen beziehungsweise Felder. Zum einen können so nicht alle Standardfelder einer Anwendung verschlüsselt werden. Zum anderen sind durch den Anwender selbst definierte Felder von der Verschlüsselung ausgeschlossen. Die Verwendung von Templates im Zusammenspiel mit einem Kryptografie-Gateway hingegen erlaubt die Verschlüsselung jedweder selbst definierter Felder.

 

Eingeschränkte Funktionalität

Plattformverschlüsselung führt zudem häufig zur Einschränkung des Funktionsumfangs einer Anwendung. Dies gilt insbesondere für Suchen und Reports: Je nach Anbieter kommt es hier zu großen Unterschieden. Allgemein gilt allerdings, dass Informationen in verschlüsselten Feldern nur begrenzt für Suchen und Indexierung zugänglich sind.

Beim Einsatz von Salesforce Shield beispielsweise können verschlüsselte Felder nicht als Filter für Listenansichten ausgewählt werden. Eine derartige Filtermöglichkeit ist aber in vielen täglichen Situationen erforderlich, etwa wenn der Kundendienst Aufträge nach Zuständigkeitsbereichen filtern will. Auch für Reports stehen verschlüsselte Felder in Salesforce Shield nicht zur Verfügung. Das bedeutet, dass die Aussagekraft von Analyse-Reports empfindlich eingeschränkt ist.

Mit der Kombination aus Gateway-Verschlüsselung und Templates hingegen lassen sich derartige Funktionsbeschränkungen nahezu vollständig vermeiden. Durch die entsprechende Abstimmung der Templates bleiben alle wichtigen Funktionen erhalten.

Diese neue Entwicklung beseitigt auch die früheren Kritikpunkte an Verschlüsselungs-Gateways. Frühe Lösungen schränkten häufig die Funktionalität ein, waren wenig performant und unflexibel. Gerade bei aktuellen Gateways können die Kunden aus einer Vielzahl von Betriebsmodellen, sei es lokal im Unternehmen, selbstbetrieben in der Cloud oder sogar gehostet wählen. Je nach den Anforderungen und Bedürfnissen des Unternehmens.

 

Ideales Zusammenspiel

Die Plattformverschlüsselung stellt eine wichtige Angebotsergänzung der großen Anbieter dar. Nicht zuletzt können Unternehmen durch ihre Nutzung die Vorgaben der EU-DSGVO häufig erfüllen. Ob Plattformverschlüsselung auch die Anforderungen des eigenen Unternehmens an Datensicherheit und Funktionsumfang erfüllt, muss jeder für sich entscheiden.

Die oben genannten Sicherheitsbedenken sind prinzipieller Art und können nicht etwa durch ein technisches Update der Plattformverschlüsselung behoben werden. Mit Plattformverschlüsslung und Gateway-Verschlüsselung stehen sich zwei prinzipiell verschiedene Ansätze gegenüber. Auch bei der Erhaltung des Funktionsumfangs bietet nur die Gateway-Verschlüsselung plus Einsatz von Templates die nötige Anpassungsfähigkeit.

Zu Bedenken gilt aber auch, dass die Sicherheitsplattformen der großen Anbieter oft mehr zu bieten haben als »nur« Verschlüsselung. Salesforce Shield etwa ist auch eine hochskalierbare Plattform für Audits. Letztlich ist die Gateway-Technologie die ideale Ergänzung des Portfolios der großen Anbieter. Zudem lässt sich Gateway-Verschlüsselung mit den Produkten unterschiedlicher Anbieter kombinieren und die wenigsten Unternehmen arbeiten mit lediglich einem Cloud-Anbieter zusammen.

Elmar Eperiesi-Beck, Gründer und Geschäftsführer des deutschen Security-Spezialisten eperi

 

315 Artikel zu „Plattform Verschlüsselung“

Weltweiter Einsatz von Verschlüsselungstechnologien nimmt branchenübergreifend zu

Forschungsergebnisse zeigen: Gesundheitsbezogene Daten werden seltener verschlüsselt, Datenschutz wichtiger als Compliance, Datenidentifikation durch Corona-Situation noch weiter erschwert. Das Ponemon-Institut und nCipher Security, ein Unternehmen von Entrust Datacard und tätig auf dem Gebiet der Hardware-Sicherheitsmodule (HSMs), geben jährlich eine multinationale Studie zum Thema IT-Sicherheit und Verschlüsselung heraus. So untersucht die aktuelle 2020 Global Encryption Trends Study, wie und warum Organisationen…

beA – das besondere elektronische Anwaltspostfach: Ohne Ende-zu-Ende-Verschlüsselung und mit technischen Fehlern keine echte Alternative

Wenn es um Datenschutz und Datensicherheit geht, stehen Anwaltskanzleien und Einrichtungen im juristischen Bereich vor besonderen Herausforderungen. Der Umgang mit sensiblen Informationen über Mandanten gehört zum Tagesgeschäft – egal, ob es sich dabei um Daten zu persönlichen Besitzverhältnissen von Privatpersonen oder Patentanträge von Unternehmen handelt. Denn genau die sind in höchstem Maße schützenswert. Doch wie…

Plattform-Experten sind in den Chefetagen Exoten

Nur fünf Prozent der Manager halten sich selbst für Plattform-Experten. Jeder vierte Manager hat noch nie etwas von digitalen Plattformen gehört. Nur die wenigsten Geschäftsführer und Vorstände in Deutschland kennen sich wirklich gut mit digitalen Plattformen aus – aber dennoch haben sie in der großen Mehrheit die Verantwortung für das Thema an sich gezogen. So…

Zukunftsfähigkeit: Unternehmen brauchen eine flexible IT-Plattform für die Fertigung

Industrie 4.0: Aller Anfang ist einfach mit einer schlüsselfertigen, offenen IT-Plattform. Analyse, Feinplanung, Rückverfolgung – mit vorinstallierte MES Apps schnell profitieren. Warum Alexa, Cortana & Co. jetzt auch Maschinen verstehen.   Die Hannover Messe 2019 hat es gezeigt: Fertigende Unternehmen wünschen heute eine IT-Lösung, die sicherstellt, dass sie auch in Zeiten des industriellen Internets der…

Master Data Management per Open-Source-Plattform: Ein Unternehmen, eine Datenplattform

  Auf dem Weg zur Digitalisierung stehen Unternehmen auch vor der Aufgabe, ihre Stammdaten effizienter zu organisieren. Dafür braucht es ein unternehmensübergreifendes Stammdaten-System, in dem alle Daten in hoher Qualität, einschließlich ihrer Relationen untereinander, hinterlegt und abgerufen werden können. Für die technische Umsetzung bieten sich Open-Source-Plattformen als zukunftsfähige und kostengünstige Lösung an.   Daten werden…

Effiziente und sichere Datenverschlüsselung

Die Verschlüsselung von Daten ist rund um den Globus zu einem zentralen Bestandteil der IT-Sicherheitsstrategie von Unternehmen geworden. Das hat unterschiedliche Gründe. Öffentlich bekannt gewordene Fälle von Datenschutzverletzungen und Datendiebstahl haben Unternehmenslenker für die Folgewirkungen sensibilisiert. Neben rechtlichen Konsequenzen können Datenschutzverletzungen und Datenverluste auch negative Folgen für den Ruf des Unternehmens haben. Und auch Compliance-Anforderungen,…

IoT-Plattformen sind Realität in europäischen Unternehmen

»IoT-Plattformen sind in acht von zehn Unternehmen Thema«. Das hat eine repräsentative Befragung von 553 Industrieunternehmen ab 100 Mitarbeitern im Auftrag des Digitalverbands Bitkom ergeben. Demnach setzen 27 Prozent auf die IoT-Plattform eines externen Providers, kurz: Plattform as a Service – PaaS, 16 Prozent nutzen eine selbst programmierte IoT-Plattform. Weitere 18 Prozent der Unternehmen planen…

Kaspersky Total Security 2017 im Test: Gute Sicherheitsfeatures – aber keine Multiplattform-Suite

Nicht alle Features der AV-Lösung sind unter allen Plattformen verfügbar.   Wenn es um Virenschutz geht, ist Kaspersky Lab einer der Marktführer in Europa. Mit seiner Antiviren-Suite Kaspersky Total Security 2017 verspricht der Entwickler die Privatsphäre, alle persönlichen Daten sowie Finanzen der ganzen Familie auf jeder Plattform zu schützen.   Nun haben sich die IT-Sicherheitsexperten…

Volksverschlüsselung: Endlich sichere E-Mail-Kommunikation?

Benutzerfreundliche Software für jedermann. Ende-zu-Ende-Verschlüsselung ohne Hintertüren. Ende-zu-Ende-Verschlüsselung für alle: Das Fraunhofer-Institut für Sichere Informationstechnologie SIT und die Deutsche Telekom starteten am 29. Juni die Volksverschlüsselung. Sie besteht aus der vom Fraunhofer SIT entwickelten benutzerfreundlichen Software und der dazugehörigen Infrastruktur, die von der Deutschen Telekom in einem Hochsicherheitsrechenzentrum betrieben wird. Mit der Volksverschlüsselung sollen Windows-Nutzer…

Die sechs wichtigsten Faktoren bei der Einführung einer Mobile-Application-Development-Plattform

Wie können Unternehmen die hohe Nachfrage nach mobilen Applikationen bewältigen und auf welche Aspekte sollten sie dabei achten? Die explosionsartige Verbreitung von mobilen Applikationen stellt die IT-Abteilungen in vielen Unternehmen vor beachtliche Herausforderungen. Anwender erwarten qualitativ hochwertige, sichere und zuverlässige Apps, die sie auf ihren Smartphones oder Tablets einsetzen – egal, ob mit iOS, Android…

KeRanger: Erste Plattform-übergreifende Ransomware der Geschichte

Die Erpresser-Software KeRanger hat weltweit für Schlagzeilen gesorgt: als erste voll funktionsfähige Ransomware für Mac OS X und gleichzeitig erster Mac OS X-Schadcode mit einem gültigen Zertifikat eines zugelassenen Entwicklers. Bitdefender hat den Code genau unter die Lupe genommen und eine weitere Sensation entdeckt: KeRanger ist die erste Plattform-übergreifende Ransomware der Geschichte. Hinter KeRanger verbirgt…

Bedarf nach Verschlüsselungslösungen

Datenverschlüsselung erlebt derzeit eine besondere Nachfrage im Kampf gegen Cyberkriminalität. Nicht nur die aktuellen Vorfälle beim Angriff auf das IT-System des Deutschen Bundestages, sondern auch Fachdiskussionen wie bei der 14. IT-Konferenz in Bonn unterstreichen die Bedeutung der Verschlüsselung von Daten. BKA-Präsident Holger Münch hat zu Beginn seiner Amtszeit Technologien zur Datenverschlüsselung als eine der wichtigsten…

Verschlüsselung leicht gemacht: Sicher Mailen ohne S/MIME und PGP

Zu einer sicheren Kommunikation gehören immer Zwei. Doch noch viel zu häufig scheitert der Austausch verschlüsselter E-Mails am Gegenüber: Was tun, wenn der Kommunikationspartner weder S/MIME noch PGP-Verfahren nutzt? Abhilfe schafft hier ein abgesichertes Portal, auf das der Zugriff nur via HTTPS möglich ist. Über eine solche Webseite können Anwender auch mit denjenigen Geschäftspartnern sicher…

Globalisierung und moderne ERP-Systeme – ERP ohne Grenzen

Die Globalisierung treibt viele Unternehmen dazu Werke beziehungsweise Niederlassungen auch international zu betreiben. Die Vereinfachungen des internationalen Warenverkehrs haben für ein Ansteigen des Exports bei Unternehmen geführt. Seither können Großunternehmen in Betracht ziehen ihre Kosten zu senken, indem sie ihre Produktion in Länder mit niedrigerem Lohnniveau verlegen sowie neue Märkte zu erschließen.

Deutlicher Zusammenhang zwischen Ransomware, Kaufverhalten und Markentreue der Verbraucher

  Umfrage deckt auf, dass Verbraucher in der Regel Unternehmen meiden, die bereits einen Cyberangriff erlebt haben. Konsumenten tolerieren keine durch Ransomware verursachten Service-Unterbrechungen oder Sicherheitsverletzungen. Mehrheit der Verbraucher wendet sich bereits nach einer einzigen fehlgeschlagenen Online-Transaktion oder unzulänglichen Informationen an Konkurrenzanbieter.   Arcserve veröffentlichte die Ergebnisse einer neuen Studie, die den Einfluss von Cyberkriminalität…

IT-Sicherheit – Das »smarte« Krankenhaus richtig absichern

Die Digitalisierung bietet der Gesundheitsbranche enorme Chancen. Doch immer öfter kommt es zu einer Störung der digitalen Abläufe. Mit gravierenden Folgen: Erst kürzlich legte ein Hacker-Angriff den gesamten Krankenhausbetrieb im Klinikum Fürth lahm. Um sich besser vor solchen Attacken schützen zu können, brauchen »smarte« Krankenhäuser neue IT-Sicherheitskonzepte und den Einsatz innovativer IT-Sicherheitslösungen.

ISO/IEC 27001 als integriertes Managementsystem nutzen – Ein Managementsystem als Alleinerbe

Zertifizierungen sind für Unternehmen und IT-Dienstleister als Qualitätsnachweis unverzichtbar. Doch die Vielzahl von Qualitäts-, Sicherheits- und Compliance-Normen führt zu Intransparenz, erschwert deren Beachtung im Alltag und verteuert Audits. Einen möglichen Ausweg zeigt die noris network AG: Hier werden die Anforderungen verschiedenster Standards über die ISO 27001 integriert.