:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
CLOUD Act vs. DSGVO Verschlüsselung und Tokenisierung reichen nicht!
Der CLOUD Act stellt Unternehmen in Europa vor Herausforderungen. US-Behörden dürfen auf Daten zugreifen, die auf Servern in Europa liegen, solange sie von US-Hostern oder Cloud-Anbietern bzw. deren ausländischen Ablegern verarbeitet oder gespeichert wurden. US-Anbieter empfehlen daher, Daten technisch zu verschleiern. Doch schützt das die Daten vor dem Zugriff?
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Neben den Anbietern selbst, weist auch die Datenschutz-Grundverordnung in Art. 32 darauf hin, personenbezogene Daten entweder zu verschlüsseln oder zu pseudonymisieren. Beide Möglichkeiten stellen für Daten in der Cloud eine Herausforderung dar.
Verschlüsselung: Wo liegt der Schlüssel?
Bei einer Ver- bzw. Entschlüsselung muss immer ein Schlüssel bereitgehalten werden, der geheim gehalten werden sollte. Stellt sich die Frage: Wie kann ein solcher Schlüssel sicher in die Cloud übertragen bzw. sicher verwaltet werden? Hier konkurrieren zwei Ansätze.
:quality(80)/images.vogel.de/vogelonline/bdb/1591700/1591728/original.jpg "Faktencheck CLOUD Act – überhebliches Allmachtsdenken oder notwendiges Instrumentarium für den länderübergreifenden Datenaustausch in Sachen internationaler Strafverfolgung? Eine Einschätzung, ohne Rechtsbeistand. (gemeinfrei (kareni / pixabay))")
Grundsatz der Verhältnismäßigkeit
Faktencheck zum CLOUD Act
Bring Your Own Key: Hinter dem Begriff Bring Your Own Key (BYOK) steht das Konzept, dass der Kunde Daten auf der Plattform eines Cloud-Anbieters verschlüsselt ablegt und selbst den Schlüssel dazu erzeugt. Im Idealfall kann nur der Kunde selbst auf den Schlüssel zugreifen. Eine reine BYOK-Lösung weist jedoch Schwachstellen auf, denn der Cloud-Provider verfügt über die eingesetzte Verschlüsselungssoftware und damit über die Möglichkeit, sich selbst einen Masterkey zu generieren. Damit kann er verschlüsselte Daten entschlüsseln. Möglicherweise muss er sogar Behörden des Landes, in dem er seinen Sitz hat, Einblick in den Verschlüsselungscode gewähren.
Der CLOUD Act schreibt Cloud-Providern nicht explizit vor, Daten entschlüsseln zu müssen, verbietet es jedoch auch nicht ausdrücklich. Ansonsten würde der Schutzzweck dieser Norm – nämlich an bestimmte Daten zu gelangen – wirkungslos. Wirkt der Provider bei der Entschlüsselung mit, so verstößt er nicht gegen den CLOUD Act.
Der Cloud-Anbieter verfügt zudem über die zum Speichern eingesetzte Server-Hardware. Sobald Daten in der Cloud entschlüsselt werden, müssen sowohl Schlüssel als auch die zu verarbeitenden Daten zwangsläufig in den Arbeitsspeicher des Servers übertragen werden. Jeder, der Zugriff auf den Server, die Virtualisierung oder das Betriebssystem hat, kann den Arbeitsspeicher kopieren und entschlüsselte Daten auslesen bzw. den Schlüssel herausfischen.
Bring Your Own Encryption: Einen Schritt weiter geht Bring Your Own Encryption (BYOE). Hier generiert der Kunde nicht nur den Schlüssel. Zusätzlich besorgt er sich selbst einen passenden Kryptoalgorithmus und verwaltet diesen auch. Die Verschlüsselung obliegt hier nicht mehr dem Cloud-Anbieter. Kommerzielle Lösungen zur Verschlüsselung haben jedoch einen Pferdefuß: Ihr Source Code wird in der Regel nicht offenbart. Niemand weiß, ob nicht Hintertüren in diesen kommerziellen Lösungen eingebaut sind – sogenannte Backdoors.
Verwendet man Open Source zur Verschlüsselung, so finden Kunden zumindest meist sauberen Code vor. Allerdings lässt sich feststellen, dass Open Source-Tools zur Encryption meist nur Einzelplatzlösungen bieten. Sie lassen keine Gruppen oder Verwaltung unterschiedlicher Schlüssel zu. Zudem sind sie oft nicht so einfach und integriert anzuwenden, wie es die DSGVO für ‘Privacy-by-Design’ vorschreibt.
Fazit: In der Praxis gibt es derzeit keine Ideallösung für alle Anforderungen der Verschlüsselung in der Cloud. Hinzu kommt, dass einige Regulatoren Verschlüsselung in der Cloud als nicht akzeptabel einstufen, da sie grundsätzlich mathematisch reversibel ist und in der Cloud Datenstrecken abgehört werden können.
Tokenisierung: Tokenisierung ist verglichen mit Verschlüsselung ein grundlegend anderer Pseudonymisierungsansatz. Hier werden den Originalwerten per Zufall pseudonymisierte Werte zugeordnet und somit nur diese verfremdeten Daten statt des Originals in die Cloud übertragen. So fällt die primäre Gefahr der Entschlüsselung erst einmal geringer aus, zumal es keinen mathematischen Zusammenhang zwischen Original- und Verschlüsselungswert gibt. Die eigentlichen Daten sowie die Übersetzungstabelle lagern dann in der Regel im physischen Herrschaftsbereich des Unternehmens mit Verschleierungsbedarf.
Auf den zweiten Blick wird dieses Vorgehen jedoch zum Pferdefuß. Ohne Übersetzungstabelle, oft Look-up Vault genannt, kann aus Tokens niemals mehr eine Zuordnung von pseudonymisierten und originalen Daten abgeleitet werden. Wer also diese Übersetzungstabelle kapert, kann die Zuordnung verfälschen bzw. dort dann selbst Daten verknüpfen.
Eine Verschlüsselung dieser Übersetzungstabelle erhöht deren relative Sicherheit. Spätestens dann jedoch leiden Geschwindigkeit und Komfort der Datenverarbeitung. SaaS- oder IoT-Anwendungen können auf diese Weise kaum betrieben werden. Und egal ob verschlüsselt oder per Token verschleiert: Metadaten, die um die Datenverarbeitung herum entstehen, sind immer auslesbar.
:quality(80)/images.vogel.de/vogelonline/bdb/1478100/1478165/original.jpg "Schematische Übersicht der Funktionsweise von Netskope Cloud XD. (Netskope)")
Sicherheit in der Multi-Cloud-Ära
Abgeschirmt: Cloud Access Security Broker (CASB)
Lösung: Der richtige Cloud-Anbieter
Absolute Sicherheit bieten weder Verschlüsselung noch Tokenisierung. Die Kombination beider Technologien, also das richtige Schlüssel-Handling gepaart mit Token-Einsatz bietet schon ein akzeptables Schutzniveau. Eine Voraussetzung muss hier jedoch auch gegeben sein: Der Kunde sollte einen Hosting- oder Cloud-Dienstleister wählen, der nicht gesetzlich gezwungen werden kann, pseudonymisierte Daten lesbar zu machen. Der US-CLOUD Act untersagt es US-Cloud-Anbietern beispielsweise nicht, Daten zu entschlüsseln – in welchem Auftrag auch immer. Dass sich US-Behörden nicht scheuen, ausländische Soft- und Hardware auszusperren, zeigt übrigens der aktuelle Fall Huawei. Deutsche und europäische Provider wie 1&1 IONOS müssen hier merklich mehr im Sinne des Kunden handeln. Und die DSGVO zwingt hier als alleinige rechtliche Regelung alle datenverarbeitenden Unternehmen zu größtmöglicher Sorgfalt im Interesse des Kunden.
Über den Autor: Mark Neufurth ist Senior Strategy Manager bei 1&1 IONOS. Mark Neufurth begann seine berufliche Laufbahn bei 1&1 Internet. Als Assistent des CEO führte er Marktanalysen durch, entwickelte Geschäftsstrategien und bereitete M&As mit vor. Danach betreute er als Produktmanager Internetzugangs- sowie Hostingprodukte wie 1&1 My Website und 1&1 Do-it-yourself. Seit 2012 konzentriert er sich auf den Cloud B2B-Markt und erstellt Marktanalysen für das Enterprise Cloud Geschäft von 1&1 IONOS.
(ID:46034908)
:quality(80)/p7i.vogel.de/wcms/e7/38/e7387f0ec804df4a1f728f2ec4ce71a2/0110072273.jpeg "Cloud-basierte Technologien bergen neben schnellen Markteinführungen als auch Kontakten zu Kunden auch eine Reihe von Gefahren. (Bild: immimagery - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/f7/7bf732c96a478fe5eeeea05b4eb1d4f2/0112957009.jpeg "Wir zeigen 10 wichtige Tipps, wie man mit der PowerShell ganz einfach Daten verschlüsselt. (Bild: Alex - stock.adobe.com)")