Ein geschützter Bereich für geregelte Zugriffe

Kontrollierte Transparenz im Datenraum

| Autor / Redakteur: Claudia Seidl / Stephan Augsten

Manchmal benötigen Unternehmen einen sicheren Datenraum, in dem sich die Zugriffe reglementiert und überprüfen lassen.
Manchmal benötigen Unternehmen einen sicheren Datenraum, in dem sich die Zugriffe reglementiert und überprüfen lassen. (Bild: Cybrain - Fotolia.com)

Manchmal benötigen Unternehmen einen Bereich, in dem sensible Dokumente liegen und zu dem der Zugang streng geregelt ist. Virtuelle Datenräume kommen häufig im Bereich der „Due Diligence“-Prüfung – der Sorgfältigkeitsprüfung – bei Firmenverkäufen zum Einsatz. Immer häufiger setzen sie sich aber auch bei anderen Projekten durch.

Bauleiter, Ärzte und Krankenhäuser, Versicherungen und Wirtschaftsprüfer sowie Anwälte – sie alle nutzen Datenräume. Im Grunde eignet sich ein solches Konzept für all jene, die Projekte umsetzen, an denen mehrere Partner mit gegenläufigen Interessen beteiligt sind. Ein zentrales Problem beim Einrichten eines (realen oder virtuellen) Datenraums bleibt jedoch, wie mit den Datenschutz-Anliegen der Beteiligten umgegangen wird.

Das zeigte sich kürzlich beim beinahe geplatzten Verkauf der Telekom Austria an den mexikanischen Milliardär Carlos Slim. Eine Lehre aus dem Skandal ist, dass es neben einer Sicherheit für die Daten auch eine Sicherheit für den Nachweis geben muss, was wer wann und wie lange mit jeder einzelnen Datei im Datenraum gemacht hat.

Die Nutzung des Datenraums muss demnach umfassend dokumentiert sein. Das dient dazu, im Falle eines Missbrauchs nachvollziehen zu können, was im Datenraum tatsächlich vorgegangen ist. Dafür gibt es bei den Anbietern virtueller Datenräume ein Journal, das alle Aktivitäten im Datenraum zeitlich dokumentiert.

Bei all dem behält der Betreiber eines Datenraums aber Zugang zu allen Unterlagen, die sich darin befinden – das kann ein Anwalt sein oder eben auch der Rechenzentrumsbetreiber bei den virtuellen Datenräumen. Gerade bei wichtigen Projekten birgt diese Tatsache das Risiko, dass die Betreiber oder deren Mitarbeiter diese Informationen verkaufen oder verraten.

Aus diesem Grund bauen große Konzerne ihr eigenes Datenraum-System. Mittlere Unternehmen können sich das aber nicht leisten, obwohl auch sie durchaus existenzielle und vertrauliche Unterlagen mit anderen teilen müssen. Auch bei ihnen steht viel Geld auf dem Spiel. Wenn diese Unternehmen die Dienstleistung „Datenraum in der Cloud“ aber kaufen bzw. mieten, dann setzt das voraus, dass sie auf die Diskretion und die Versicherungen des Dienstleisters vertrauen müssen.

Ergänzendes zum Thema
 
Welche Kriterien muss ein Datenraum erfüllen?

Technischer Ausschluss des Betreibers

Das vom BMWi geförderte Projekt Sealed Cloud bietet eine Cloud-Infrastruktur, die auf technische Weise verhindert, dass der Betreiber auf die Daten seiner Kunden zugreifen kann. Einsatzgebiet sind die öffentliche Verwaltung und Unternehmen, die von den Vorteilen des Cloud Computings profitieren wollen und trotzdem die Sicherheit und den Datenschutz im Blick haben.

Die Sealed Cloud sichert die anvertrauten Daten durch ein vom Betreiber „Versiegelung“ genanntes Paket von technischen Maßnahmen. Deren Aufgabe ist es, den Anbieter vom Lesen der Daten auszuschließen. Dazu gehören eine spezielle Schlüsselverteilung, ein Data-Clean-Up im Fall eines Zugriffversuchs und eine Dekorrelation der Datenströme, die in die Sealed Cloud hinein- und herausfließen.

Eine geeignete Schlüsselverteilung sieht folgendermaßen aus: Während der Anmeldung wird aus den Log-in-Daten des Nutzers ein individueller Schlüssel generiert. Mit ihm kann das System die Daten des Nutzers finden, sie entschlüsseln und in den Hauptspeicher laden. Nach dem Abmelden verschlüsselt es die Daten wieder und speichert sie erneut.

„Dieser individuelle Schlüssel wird anschließend zerstört, sodass der Nutzer allein durch seine Log-In-Daten Zugang zu seinen Informationen hat“, erklärt Ralf Rieken, Geschäftsführer der Münchner IT-Sicherheitsfirma Uniscon. Jeder Nutzer besitzt demnach einen Datensatz, der nach AES256 verschlüsselt ist. Da die Schlüssel im System selbst „nicht existieren“, haben Angreifer von außen so ihre Schwierigkeiten: Sie müssten nicht nur einen AES256- Schlüssel knacken, sondern einen für jeden einzelnen Datensatz.

Automatisierte Sicherheitsmechanismen

Zum Data-Clean-Up gehört ein Alarmsystem, das registriert, wenn ein Serverschrank geöffnet wird oder ein digitaler Zugriff versucht wird. Unabhängig davon, ob ein Wartungsmitarbeiter oder ein Eindringling am Werk ist, greift ein automatischer Schutzmechanismus.

Gerade genutzte Daten werden umgehend verschlüsselt, auf einen anderen Server verschoben und aus dem Speicher des betroffenen Geräts gelöscht. Sogar die Stromzufuhr wird unterbrochen. Ein weiteres Sicherheitsmerkmal der Sealed Cloud ist die Dekorrelation von Datenströmen. So werden auch Verbindungsdaten, aus denen sich etwa Rückschlüsse auf Geschäftsbeziehungen schließen lassen, verwischt.

Auf der Basis der Sealed Cloud werden jetzt auch Datenräume angeboten. Sie lassen sich sofort per Browser, d.h. ohne die Installation neuer Software, verwenden. Zu einem ordentlichen Preis-Leistungsverhältnis bieten diese Datenräume einen hohen Grad an Sicherheit, kombiniert mit einer kontrollierten Transparenz.

Über die Autorin

Claudia Seidl ist freie Journalistin in München.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42821915 / Cloud und Virtualisierung)