Suchen

Ratgeber zu Datensicherheit bei Speicherdiensten Die drei Stufen zur Cloud-Verschlüsselung

Autor / Redakteur: Oliver Schonschek, IT-Fachjournalist und IT-Analyst / Stephan Augsten

Die Verschlüsselung von Daten, die in die Cloud ausgelagert werden, ist nicht nur Aufgabe des Cloud-Betreibers. Unternehmen und Nutzer, die entsprechende Speicherdienste nutzen, müssen an mehreren Stellen selbst aktiv werden. Security-Insider beleuchtet, worauf man achten sollte.

Firmen zum Thema

Daten sollten nicht erst in der Cloud verschlüsselt werden, sondern schon vor und während ihres Transfers.
Daten sollten nicht erst in der Cloud verschlüsselt werden, sondern schon vor und während ihres Transfers.
(Bild: © freshidea - Fotolia)

Cloud-Sicherheit ist selbst in Unternehmen nicht selbstverständlich. Rund die Hälfte der deutschen Unternehmen hat keine Richtlinien zur Nutzung von Public Clouds, wie die Studie „Acronis 2013 Data Protection Trends Research“ zeigt. In den Richtlinien sollte aber insbesondere geregelt sein, dass Daten nicht unverschlüsselt in die Cloud gelangen.

Bislang ist es um die Verschlüsselung in der Cloud nicht gut bestellt. Die Thales-Umfrage „Global Encryption Trends“ ergab unter anderem, dass über 50 Prozent der befragten Unternehmen sensible Daten in Clouds übertragen. Davon glauben aber mehr als 60 Prozent, dass der Cloud-Anbieter für die Datensicherheit verantwortlich sei, nur 22 Prozent sehen sich selbst in der Pflicht.

Bildergalerie

Untersuchungen der Stiftung Warentest zeigten allerdings, dass es bei der Datensicherheit vieler Cloud-Dienste deutliche Mängel gibt. Cloud-Nutzer sollten deshalb die Cloud-Verschlüsselung nicht nur dem Cloud-Betreiber überlassen, sondern selbst aktiv werden.

Wie die zuvor genannte Studie von Thales ergab, wird Verschlüsselung außerhalb der Cloud bislang deutlich häufiger genutzt als innerhalb der Cloud. Von einer Differenz von 33 Prozent ist die Rede. Dabei kann die Cloud-Verschlüsselung nur dann wirklich das Schutzziel der Vertraulichkeit erfüllen, wenn sie durchgehend umgesetzt wird.

Letztlich sollte die Verschlüsselung also vor der Übertragung greifen, aber auch während des Transfers und innerhalb der Cloud. Für die einzelnen Verschlüsselungsaufgaben gibt es eine Reihe von Sicherheitslösungen, die Unternehmen unterstützen können. Auf den folgenden Seiten dieses Beitrags stellen wir diese vor.

1. Verschlüsselung vor der Übertragung in die Cloud

Vertrauliche Daten, die über einen Cloud-Dienst ausgetauscht oder in einem Cloud-Backup gesichert werden sollen, sollten an jedem Speicherort nur in verschlüsselter Form vorliegen. Dies gilt also auch für die lokalen Kopien beim Nutzer oder im Netzwerk des Anwenderunternehmens.

Verschiedene Verschlüsselungslösungen ermöglichen nicht nur diese lokale Verschlüsselung, sondern können auch dafür sorgen, dass die Daten vor dem Cloud-Transfer bereits geschützt sind. So bietet zum Beispiel der IndependenceKey von Quantec eine hardwarebasierte Verschlüsselung von Daten, die danach in einen Cloud-Speicher übertragen werden können.

Alternativ lassen sich auch direkt die Daten in einem angebundenen Cloud-Dienst verschlüsseln. Boxcryptor, Cloudfogger, DriveLock File Protection, Protectorion PC, Cloud Protection, CloudCockpit, OmniCloud, ShareCrypt und Wuala Desktop beispielsweise verschlüsseln die Daten vor dem Hochladen in die Cloud. Dazu werden die zu verschlüsselnden Dateien in einem bestimmten Ordner abgelegt, der mit dem Cloud-Dienst verknüpft wird. Die Verschlüsselung erfolgt dann automatisch vor dem Datentransfer.

Selbst wenn der Cloud-Transfer unzureichend gesichert wäre, könnten mögliche Lauschangriffe die Vertraulichkeit der Daten nicht gefährden, wenn diese bereits vor dem Hochladen in die Cloud verschlüsselt werden. Zudem hängt die Vertraulichkeit der Daten dann nicht mehr davon ab, wie gut die Verschlüsselung des Cloud-Betreibers ist.

Gleichzeitig begegnet man dem Risiko, dass kriminelle Mitarbeiter des Cloud-Betreibers die Cloud-Verschlüsselung umgehen könnten. Diese Gefahr besteht insbesondere dann, wenn das Anwenderunternehmen das Schlüsselmanagement dem Cloud-Betreiber überlässt oder die eigenen Schlüssel in der Cloud speichert.

2. Verschlüsselung beim Transfer in die und aus der Cloud

Ein verschlüsselter Cloud-Zugang auf TLS/SSL-Basis sollte selbstverständlich sein. So fordert es jede Cloud-Sicherheitsempfehlung, wie zum Beispiel das Eckpunktepapier des BSI oder die Leitlinie der Cloud Security Alliance. Zudem können Unternehmen die Cloud-Zugänge und den Datentransfer in die und aus der Cloud über VPN-Lösungen (Virtual Private Network) absichern.

Viele Cloud-Nutzer überschätzen allerdings die reine Verschlüsselung der Datenübertragung. Ohne zusätzliche Verschlüsselung innerhalb der Cloud und die zuvor erwähnte lokale Datenverschlüsselung ist nur der Datentransfer geschützt, nicht aber die Datenspeicherung. Deshalb bietet Google zum Beispiel inzwischen neben der SSL-verschlüsselten Übertragung bei Google Cloud Storage auch eine automatische Verschlüsselung in der Cloud selbst an.

Verschlüsselungslösungen wie z.B. FideAS File Enterprise oder AWS Storage Gateway bieten sich an, um die verschlüsselte Datenübertragung in die Cloud zu übernehmen. Dabei sollte es selbstverständlich sein, auch für das Herunterladen von Daten aus der Cloud entsprechende Verschlüsselungslösungen einzusetzen.

3. Verschlüsselung in der Cloud

Cloud-Dienste wie Secure Data Space oder IDGard bieten im Standard die Verschlüsselung innerhalb der Cloud an. Dabei wird der Zugriff auf die Schlüssel auf die Anwenderunternehmen selbst beschränkt. Würde auch das Schlüsselmanagement durch einen Cloud-Betreiber übernommen, könnten unbefugte Zugriffe auf die Cloud-Daten durch Mitarbeiter des Cloud-Providers nicht sicher ausgeschlossen werden.

Anwenderunternehmen sollten deshalb nur Verschlüsselungslösungen in Erwägung ziehen, die unabhängig von dem jeweiligen Cloud-Betreiber sind. Zahlreiche Lösungen zeigen, dass Anwenderunternehmen auch die Verantwortung für die Verschlüsselung in der Cloud selbst übernehmen können: HiCrypt zum Beispiel verschlüsselt neben Netzlaufwerken auch „Online-Festplatten“ und damit Cloud-Speicherplätze und bietet auch Apps für Android sowie für Apple iOS, um den mobilen Cloud-Zugriff zu ermöglichen.

Da die mobile Nutzung von Cloud-Diensten weiter an Bedeutung gewinnt, sollten Unternehmen generell Lösungen nutzen, die den mobilen Zugriff auf verschlüsselte Clouds sicherstellen. Entsprechende Apps wie die DriveLock App for iPhone/iPad, die Secure Data Space App für iPhone/iPad und Android und Wuala Mobile sowie mobile Zugriffsmöglichkeiten bei OmniCloud helfen dabei.

Fazit: Selbst ist die Verschlüsselung

Sicherheitsmängel bei Cloud-Diensten und die rechtliche Verantwortung des Cloud-Nutzers für den Datenschutz (vgl. Auftragsdatenverarbeitung) machen deutlich, dass die Cloud-Verschlüsselung nicht alleine in die Hände des Cloud-Anbieters gegeben werden sollte. Entsprechende Lösungen zur Verschlüsselung durch den Nutzer sind zahlreich auf dem Markt vorhanden.

Allerdings kommt der Anwender um eine Datenschutzkontrolle nicht herum, wenn Verschlüsselungsdienste als Dienstleistung bezogen werden. Hier sollte insbesondere auch auf eine Trennung zwischen Cloud-Betreiber und Verschlüsselungsdienstleister geachtet werden

Alternativ bieten sich die Verschlüsselungslösungen an, die selbst betrieben werden. Hier befinden sich die Schlüssel in jedem Fall unter der Kontrolle des Anwenderunternehmens, sofern nicht der Fehler begangen wird, die Schlüssel zur Cloud-Verschlüsselung in der Cloud selbst abzulegen.

(ID:42297449)