Wer auf ein Mindestmaß an Sicherheit bei der Nutzung von Cloud-Speicherdiensten setzt, kommt an einer Datenverschlüsselung nicht vorbei. Doch Vorsicht: Es gibt solche und solche Wege, und nicht alle sind gleich empfehlenswert.
von Dr. Dieter Steiner (Geschäftsführer/CEO der SSP Europe GmbH)
In vielen Unternehmen gibt es keine zentrale Lösung für den Dateiaustausch mit Dritten. Das hat zur Folge, dass sich die Mitarbeiter selbstständig frei verfügbare Alternativen wie Dropbox, Box und Co. suchen. Insbesondere auf Smartphones und Tablets werden oft ohne Hintergedanken Cloud-Speicher wie iCloud oder Google Drive eingesetzt. Das Problem für die Unternehmen: Sensible Informationen wie Kundenkarteien, Dienstpläne oder Umsatzzahlen befinden sich schnell unverschlüsselt außerhalb des eigenen Zugriffsbereichs. Ohne es zu wissen, begeben sich die Firmeninhaber so in eine gefährliche Situation, da sie keine Kontrolle - insbesondere über die laut Bundesdatenschutzgesetz zu schützende personenbezogenen Daten - mehr haben.
Kritik an diesen Zuständen äußern auch die Forscher des Fraunhofer-Instituts für sichere Informationstechnologie: In der Studie "On the Security of Cloud Storage Devices" bemängeln sie, dass die Sicherheitsmechanismen - insbesondere die Verschlüsselung - bekannter Cloud-Speicher-Anbieter wie Dropbox, CloudMe und Team Drive nicht ausreichten.
So werden Unternehmensdaten zwar oft verschlüsselt übertragen, liegen dann aber unverschlüsselt und für jeden Netzwerkadministrator zugänglich auf den Servern des Anbieters. Bei US-Providern kommen weitere Datenschutzbedenken hinzu - in aller Munde ist in diesen Wochen der "Patriot Act", der US-Behörden unter bestimmten Voraussetzungen umfangreichen Zugriff auf die gespeicherten Daten erlaubt.
Ein Ausweg aus diesem Dilemma stellt die dauerhafte Verschlüsselung der Cloud-Daten dar. Wichtiger als der eingesetzte Algorithmus ist dabei aber die Frage, ob die Daten bereits auf Client- oder erst auf Server-Seite verschlüsselt werden. Zudem geht es darum, wer Zugriff auf die verwendeten Schlüssel hat. Grundsätzlich gibt es vier verschiedene Methoden zur Übertragung, Speicherung und Verschlüsselung von Daten in der Cloud, die wir im Folgenden erläutern werden.
Channel Sales Kongress "Security & Storage"
Im Rahmen einer Live-Hacking-Session können Teilnehmer des Channel Sales Kongress "Security & Storage" erleben, wie Cyberkriminelle heute agieren. Während dieser Live-Demo deckt der Security-Experte die gefährlichsten Lücken im Sicherheitsnetz von Unternehmen auf. Rechtsexperten vermitteln wertvolle Tipps zum Thema Datenschutz und Sicherheit in der Cloud. Nähere Informationen zu den weiteren Programmpunkten und die Möglichkeit zur Anmeldung finden Interessenten unter: http://www.channelpartner.de/events.
1. Keine Verschlüsselung
Die Daten werden nicht verschlüsselt und vollständig transparent in den Speicher gesendet. Somit sind die Daten nicht nur den Netzwerkadministratoren auf der Seite des Cloud-Anbieters zugänglich, sondern auch jedem informationstechnisch versierten Internet-Anwender.
2. Verschlüsselte Verbindung (SSL etc.)
Bei dieser Methode wird eine sichere Verbindung zwischen dem Computer und dem Speicher-Anbieter aufgebaut, bevor die Daten übertragen werden. Diese Methode bietet eine derzeit als sicher zu bezeichnende Methode zur Übertragung der Daten in den Cloud-Speicher. Einmal dort angekommen, stehen die Daten wieder jedem Benutzer mit Zugriff auf die entsprechenden Bereiche des Netzwerkes im Klartext zur Verfügung. Nahezu alle seriösen Anbieter von Online-Speichern haben mindestens diesen Standard für die Datenübertragung implementiert.