Clouddaten sicher verschlüsseln, aber wie?

Die Themen Security und Datenschutz im Cloud-Kontext stehen bei den CIO's laut Ergebnissen der Experton-Gruppe auf in den Top-Ten der CIO Prioritäten 2014. Das Thema ist vielschichtig und vor allem nicht isoliert zu betrachten.

Vernetze Operationen
Unternehmensübergreifende Anwendungen aus der Cloud werden zu Standard. Und bergen neue Sicherheitsrisiken. Selbst wenn sich Ihre wertvollen Firmendaten in einer sicheren German Cloud befinden, bleiben weitere Risikofaktoren: Die Infrastruktur bei der Datenübertragung, die Verschlüsselung und der Mensch.

Es ist also eine ganzheitliche Betrachtung in der Abwägung von Aufwand und Nutzen erforderlich. Dort wo Technik menschliches Fehlverhalten kompensieren kann sollte diese zum Einsatz kommen. Wenn die Nutzer ihre Emails nicht selbst verschlüsseln, muss dies über ein Gateway geschehen.

Verschlüsselung auf dem Weg in die Cloud
Wir haben gelernt, dass unter Anderem US Anbieter von Verschlüsselungsverfahren ihre Schlüssel bei der NSA abliefern müssen, ähnlich wie in anderen Ländern außerhalb Deutschlands. Denn auch Terroristen könnten diese Verschlüsslung nutzen. Deshalb muss man alle Leitungen abhören, was bekanntlich auf dem Weg über Seekabel in vollem Umfang passiert.

Wie die Zeitschrift CIO in ihrer Ausgabe vom 27.01.2014 berichtet, wird IT-Sicherheit zur Daueraufgabe für Unternehmen. Ein weiterer Meilenstein neben der Cloud im DACH-Rechtsraum auf dem Weg zu sicheren, technischen Lösungen ist der Einsatz von Verschlüsselungssystemen.

Was für die Cloud gilt, gilt auch für die Verschlüsslung
Es gibt sie, Deutsche Anbieter von Verschlüsslungssystemen. Einige Lösungen, wie das Forschungsprojekt "Omnicloud" des Fraunhofer Instituts SIT arbeiten an der Vereinfachung im Umgang mit Encryption. Wir brauchen also beides: Sichere Anbieter aus der Deutschland und eine einfachen Handhabung.

Beispielsweise ist das Arbeiten mit PKI (Public Key Infrastructure) zu kompliziert, denn alle Leute müssen mit Schlüsseln versorgt werden, das ist selbst innerhalb von Unternehmen ein organisatorisches Problem. Unternehmen wir die EPERI aus Darmstadt haben leicht handhabbare SSO-Lösungen (Single Sign On) für Unternehmen entwickelt, die über ein Gateway arbeiten. Cloud-Sicherheit ist also ein Cloud-Service!

NEU: German Cloud Safety-Provider
Um Anbieter zu finden, die u.a. diese Kriterien erfüllen, können sich Anbieter von Sicherheitssystemen bei German Cloud als "German Cloud Safety Provider" zertifizieren. Auch hierfür erfolgt der Audit Prozess ISO-konform und genügt höchsten Sicherheitsansprüchen bei gleichzeitig einfacher Handhabung des Security-Services.

Aus technischer Sicht bleibt zuletzt noch die Unsicherheit der neu geplanten NSA-Rechenzentren, die künftig angeblich jede Verschlüsslung nahe zu in Echtzeit knacken können. Aber das kriegen wir auch noch in den Griff...

IAVCworld per E-Mail folgen