Sicherheitsrisiken bei der Zusammenarbeit über Cloud-Dienste Ende-zu-Ende-Verschlüsselung ist in der Cloud Pflicht

Autor / Redakteur: István Lám / Peter Schmitz

Dateien über Cloud-Dienste zu teilen und gemeinsam daran zu arbeiten, ist praktisch, einfach umsetzbar – und steigert die Effizienz der Zusammenarbeit. Unternehmen sollten jedoch die Sicherheitsmaßnahmen des Dienstes kritisch hinterfragen, denn nicht jedes Sicherheitslevel ist hoch genug.

Firmen zum Thema

Cloud-Dienste erweisen sich zunehmend als praktische Kollaborations-Werkzeuge, doch ihre Nutzung ist mit erheblichen Sicherheitsrisiken verbunden.
Cloud-Dienste erweisen sich zunehmend als praktische Kollaborations-Werkzeuge, doch ihre Nutzung ist mit erheblichen Sicherheitsrisiken verbunden.
(Bild: gemeinfrei / Pixabay )

Bei dem Thema Datensicherheit sind derzeit zwei gegenläufige Entwicklungen zu beobachten: Zum einen sind die Diskussionen um die DSGVO allgegenwärtig, Datenschutz und -sicherheit gehören seit Jahren zu den Hauptthemen, mit denen sich die Unternehmens-IT beschäftigt. Zum anderen aber nutzen immer mehr Menschen Cloud-Speicher auch für die geschäftliche Zusammenarbeit, ohne genau zu wissen, mit welchen Sicherheitsstandards diese arbeiten. Der Grund: Cloud-Dienste sind schnell eingerichtet, einfach zu bedienen und im Prinzip unendlich skalierbar – eine sehr praktische Speichererweiterung und ein schnell verfügbares Kollaborations-Werkzeug.

Die Nutzung von Cloud-Speichern – insbesondere im geschäftlichen Umfeld – sollte strengen Sicherheitsanforderungen unterliegen. Bei der Wahl des entsprechenden Dienstes sollten Unternehmen allerdings ganz genau hinsehen, denn die Vorstellungen, was als sicher gilt, sind durchaus unterschiedlich. Dabei geht es nicht nur darum, sich vor Cyberkriminalität zu schützen. Ebenso wichtig ist es, zu wissen, ob Cloud-Dienstleister oder staatliche Institutionen im Falle eines Falles Daten entschlüsseln könnten.

SSL-Transportverschlüsselung ist unzureichend

Die Verschlüsselung der Daten zählt zu den wichtigsten Sicherheitsmaßnahmen – besonders dann, wenn sensible Daten das Unternehmensnetzwerk verlassen und in einem Cloud-Speicher abgelegt werden. Dabei gibt es unterschiedliche Sicherheitslevel. Viele gängige Cloud-Dienste nutzen nur eine Transportverschlüsselung, wie beispielsweise SSL- oder TLS-Zertifikate. Diese Protokolle wurden für die Übertragung von Informationen entwickelt und sichern den Traffic zwischen Browser und Server ab. Webshops, die über ihre Seite Kundendaten erfassen, sind laut DSGVO verpflichtet, ein solches Zertifikat einzusetzen. Kommen die Daten auf dem Ziel-Server an, werden sie dechiffriert und abgelegt.

Dass dieses Sicherheitsniveau nicht ausreicht, liegt auf der Hand. Um zu verhindern, dass die Daten in lesbarer Form auf dem Server liegen, sollten Unternehmen darauf achten, dass ihr Cloud-Dienstleister an dieser Stelle eine weitere Sicherheitsebene eingezogen hat. Eine Möglichkeit wäre, die Daten auf dem Cloud-Server erneut zu verschlüsseln. Wichtig dabei ist es, dass der entsprechende Verschlüsselungscode nicht auf demselben Server hinterlegt wird. Diese sogenannte At-Rest-Encryption (Ruhedatenverschlüsselung) bietet nur unzureichenden Schutz, etwa vor Hackern, die beim Eindringen in den Server dort dann auch gleich den Schlüssel finden.

Von Privacy by Design und Ende-zu-Ende-Verschlüsselung

Ein deutlich höheres Sicherheitsniveau erreichen Cloud-Dienste, die mit Ende-zu-Ende-Verschlüsselung arbeiten, wie beispielsweise die Content-Collaboration-Plattform von Tresorit. Die Lösung ist nach den Privacy-by-Design-Paradigmen entwickelt. Das bedeutet, bereits bei der Konzeption wurde der Datenschutz umfassend berücksichtigt, die gesamte Umsetzung richtet sich danach aus.

Die Ende-zu-Ende-Verschlüsselung (End to End Encryption, E2EE) ist ein wichtiger Teil dieses Grundgedanken. Daten werden vom Absender bereits auf dessen Client verschlüsselt. Die Daten werden nun übertragen, bleiben verschlüsselt während sie auf dem Server liegen und können erst vom Empfänger entschlüsselt werden. Denn nur dieser hat den entsprechenden Schlüssel. Bei symmetrischen E2EE-Verfahren tauschen die Kommunikationspartner den Schlüssel vorher aus. Bei asymmetrischen E2EE-Verfahren benutzen die Beteiligten zwei verschiedene Schlüssel – einen Public Key für die Verschlüsselung und einen Private Key zur Dechiffrierung, was diese noch sicherer als die symmetrischen Verfahren macht.

Im Kontext eines Cloud-Dienstes bedeutet das, dass weder ein Hacker, der in den Server eindringt, noch der Dienstleister selbst jemals unverschlüsselte Daten zu Gesicht bekommt. Mit der Zero-Knowledge-Technologie, die in Bezug auf die Ver- und Entschlüsselung wie ein asymmetrisches Verfahren funktioniert, wird die E2EE noch sicherer. Nicht einmal die Passwörter der Nutzer, die sie zum Einloggen in die Cloud-Anwendung selbst benutzen, kann der Provider entschlüsseln. Besonders in Geschäftsbereichen wie etwa der Finanz- und Gesundheitsbranche und dem Telekommunikationssektor, in denen personenbezogenen Daten extrem sensibel sind, sollten Unternehmen Cloud Provider mit Zero-Knowledge-Verschlüsselung wählen. Da IT-Sicherheit allerdings inzwischen in quasi allen Branchen ein wichtiges Thema ist, tun auch andere Firmen gut daran, ihre Daten mit zeitgemäßen Mitteln vor unrechtmäßigem Zugriff zu schützen.

Zugriffsberechtigungen sicher steuern

Cloud-Dienste ermöglichen es den Nutzern, Dokumente zu teilen und gemeinsam daran zu arbeiten. Die Beteiligten erteilen sich gegenseitig entsprechende Berechtigungen. Dabei gehen sie wie selbstverständlich davon aus, dass der andere Nutzer auch der ist, als der er sich ausgibt. Zwar kann eine Zwei-Stufen-Authentifizierung verhindern, dass sich ein Hacker mittels Spoofing einschleicht. Doch in vielen Unternehmen ist diese Art der Identifizierung freiwillig und wird deshalb nicht konsequent angewendet.

Einige Cloud-Dienstleister begegnen auch diesem Sicherheitsrisiko mit proprietären Maßnahmen. Tresorit beispielsweise nutzt eine komplexe ICE-Protokoll-Methode (Interactive Connectivity Establishment), um die Identität der Nutzer, die gemeinsam verschlüsselte Dateien bearbeiten wollen, zu überprüfen. Im Prinzip wird so eine verpflichtende Zwei-Stufen-Authentifizierung eingeführt. Statt mit SMS- oder Smartphone-Codes werden hierbei Nutzer-Zertifikate erstellt. Alle Beteiligten können damit sicher sein, dass der jeweils andere kein Spoofer ist und ihm die gewünschten Berechtigungen erteilen.

Fazit

Cloud-Dienste erweisen sich zunehmend als praktische Kollaborations-Werkzeuge, doch ihre Nutzung ist mit erheblichen Sicherheitsrisiken verbunden. Unternehmen sollten deshalb, bevor sie einen Dienst für ihre Mitarbeiter freischalten, definieren, welches Sicherheitslevel erreicht werden soll. Die Angebote der Cloud-Provider unterscheiden sich stark und sollten genau hinterfragt werden.

Über den Autor: István Lám ist CEO und Co-Founder von Tresorit.

(ID:47054441)