Verschlüsselung für die Cloud
Der Gesetzgeber verlangt die Verschlüsselung sensibler und, seit der EU-DSGVO, die Pseudonymisierung personenbezogener Daten. Insbesondere in der Cloud sollten Unternehmen dabei vorsichtig agieren.
Herr Eperiesi-Beck, Daten werden immer gestohlen. Welche Vorteile haben Kunden durch den Einsatz Ihrer Lösung?
Sie haben völlig recht: Niemand kann verhindern, dass Daten gestohlen werden. Aber mit unserer Lösung kann man verhindern, dass die Angreifer etwas mit den Daten anfangen können. Da wir die sensiblen Daten verschlüsseln, bevor sie die sichere Umgebung des Unternehmens verlassen und in der Cloud gespeichert werden, finden Angreifer in der Cloud nur unlesbaren Datenmüll vor. Der ist für sie wertlos. Gleichzeitig bedeutet die Verschlüsselung der sensiblen Daten für Unternehmen aber auch, dass sie sowohl die gesetzlichen Bestimmungen wie die Europäische Datenschutzgrundverordnung (EU-DSGVO) und Compliance-Vorgaben einhalten können. Wieso? Gemäß EU-DSGVO haftet das Unternehmen auch für Sicherheitsvorfälle ihrer Cloud-Anbieter. Laut Artikel 25 EU-DSGVO entfällt die Haftung, wenn die personenbezogenen Daten entsprechend pseudonymisiert sind. Pseudonymisierung bedeutet, dass die Daten durch entsprechende zufällige Ersatzwerte unkenntlich gemacht werden, beispielsweise durch Tokenisierung. So können Dritte, die nicht im Besitzt der kryprografischen Schlüssel sind, keine Rückschlüsse auf die Identität der realen Personen ziehen. Unternehmen sollten also am besten eine Datenschutz-Lösung wählen, die sowohl verschlüsseln als auch pseudonymisieren kann.
Was muss beachtet und berücksichtigt werden, wenn Cloud-Provider Verschlüsselungstechnologien anbieten?
Da gibt es mehrere Fallstricke. Zum einen meinen die Cloud-Provider mit Verschlüsselungstechnologien oft nur die Transportverschlüsselung. Mit dem bekannten SSL / TLS werden die Daten auf dem Weg zwischen dem Unternehmen und der Cloud-Anwendung gesichert. Beim Cloud-Anbieter angekommen, werden sie aber wieder vollständig entschlüsselt. Damit hat der Cloud-Anbieter ungehindert Zugriff auf die Daten.
Vorsicht ist auch immer dann geboten, wenn der Cloud-Provider „BYOK – Bring your own key” anbietet. Dabei erzeugt das Unternehmen zwar selbst den kryptografischen Schlüssel, der zum Ver- und Entschlüsseln der Daten notwendig ist. Aber das Problem dabei ist, dass das Unternehmen danach den Schlüssel oder zumindest einen Teil davon an den Cloud-Provider übergeben muss, damit dieser damit die Daten verschlüsseln kann. Um aber überhaupt verschlüsseln zu können, muss er zwangsläufig Zugriff auf die unverschlüsselten Daten haben. Das erfüllt allerdings nicht alle Anforderungen an gängige Gesetze, Datenschutz und Data Residency. Und das Unternehmen gibt damit die alleinige Kontrolle über den Verschlüsselungsprozess aus der Hand.
Unternehmen arbeiten verstärkt in Multi- und Hybrid-Cloud-Umgebungen. Was muss dabei für das IT-Security-Management berücksichtig werden?
Unternehmen müssen sicherstellen, dass sie keine Insellösungen im IT-Sicherheitsumfeld aufbauen. Das würde nämlich zu erhöhtem Verwaltungsaufwand und Fehleranfälligkeit führen. Gerade im Multi-Cloud-Umfeld sollten Unternehmen darauf achten, eine zentrale Lösung einzusetzen. So schaffen Unternehmen einen Blueprint für die sichere Cloud-Anwendung, die auch bei Aufsichtsbehörden oder auch den internen Datenschutzverantwortlichen zu schnellen Freigabeprozessen führt. Warum immer das Rad neu erfinden?
Welche Features bringt das eperi Gateway mit?
Das eperi Gateway ist die einzige wirkliche Lösung im Multi Cloud-Umfeld. Die patentierte Template-Architektur ermöglicht, dass Kunden und Partner ohne Programmieraufwand selbst entscheiden können, welche Datenfelder verschlüsselt, tokenisiert oder im Klartext belassen werden – und das selbst für völlig unbekannte Anwendungen. Es werden aber auch Templates für zahlreiche Standard-Anwendungen und Cloud-Speicher bereits out of the Box angeboten. Dazu zählen beispielsweise Office 365-E-Mail, Exchange, Kalendereinträge, OneDrive und Salesforce. Auch selbstentwickelte Kunden-Anwendungen können so unterstützt werden. Dadurch wird das eperi Gateway zum zentralen Kontrollpunkt für alle Datenschutzprozesse. Es ist einfach und schnell zu implementieren und erhält alle wichtigen Funktionalitäten der Cloud-Anwendung wie Suchen oder Sortieren.
Die ausgefeilte Architektur und Skalierbarkeit der Lösung führen dazu, dass Benutzer selbst in weltweiten Installationen, wie beispielsweise bei unserem Kunden der Deutschen Bank, keine Performance-Einschränkungen wahrnehmen.
Sicherheit kann nur durch Transparenz entstehen, daher wurde die Basis des eperi Gateways gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelt. Zusätzlich wurde der Source Code der deutschen IT-Sicherheitslösung veröffentlicht und ist somit für jeden prüfbar. Sicherheit ohne Hintertüren.
Was sollte in Office-365-Cloud-Umgebungen im Kontext des Datenschutzes und von Compliance-Richtlinien beachtet werden?
Unternehmen sollten bei Cloud-Providern im Hinblick auf Datenschutz und Compliance immer vorsichtig sein. Der Grund: Viele Hersteller und Anbieter müssen sogenannte „Backdoors“ einbauen, die einen alternativen Zugang zu Hard- oder Software bieten. Diese Hintertüren werden eingebaut, um beispielsweise Zugriff zu Service- oder Reparaturzwecken zu ermöglichen. Das Problem ist aber, dass auch Angreifer und Geheimdienste diese Backdoors nutzen, um sich Zugang zu den Informationen zu verschaffen. Dazu können beispielsweise auch die in Europa durch die EU-DSGVO besonders geschützten personenbezogenen Daten gehören. Ein Dilemma für die Unternehmen, denn im Zweifel drohen hier hohe Strafen.
Wird das eperi-Gateway beispielsweise für Office 365 eingesetzt, ist es egal, wo Microsoft die Daten wie speichert und ob es zu Sicherheitsvorfällen wie im April der Angriff auf die Web Mail-Dienste kommt. Im Falle eines Zugriffs finden die Eindringlinge nur unlesbaren, weil verschlüsselten, Datenmüll vor.
Warum ist die Datenverschlüsselung in Cloud-Umgebungen so wichtig?
Weil die Cloud im Prinzip wie der Computer eines Fremden ist. Würden Sie Ihre sensiblen Daten jedem x-beliebigen ungeschützt anvertrauen? Sobald Informationen die sichere Umgebung eines Unternehmens verlassen, werden sie zur Zielscheibe von Angreifern. Die Zeiten, wo Unternehmen eigene Datacenter betrieben haben und so das Sicherheitsniveau kontrollieren konnten, sind vorbei. In Zeiten der Cloud-Nutzung, mobiler Endgeräte und Homeoffice müssen moderne Schutzmaßnahmen her. Lösungen wie Verschlüsselungsgateways werden deswegen mittlerweile als „Stand der Technik“ eingestuft.
Hinzu kommt, dass die Kunden die Sicherheitsmaßnahmen eines Drittanbieters niemals so kontrollieren können wie die eigenen. Wie stark ist die Verschlüsselung? Wird sie auch korrekt umgesetzt? Bleibt diese auch nach den Updates sicher? So oder so: Die Unternehmen haften für ihre Daten. Und das nicht nur mit Firmeneigentum, sondern notfalls auch mit dem Privatvermögen der Verantwortlichen. Datenschutz kann nicht delegiert werden. Spätestens seit der EU-DSGVO ist dies auch gesetzlich vorgeschrieben.
Wer also wirklich sicher gehen will, der sorgt selbst dafür, dass seine sensiblen Daten zu jedem Zeitpunkt außerhalb des Unternehmens geschützt sind.
Wie können Organisationen von der eperi-Cloud-Dataprotection profitieren?
Die Cloud Data Protection Lösungen von eperi sorgen dafür, dass die sensiblen Firmeninformationen zu jedem Zeitpunkt außerhalb der sicheren Unternehmensumgebung geschützt sind. Das eperi Gateway dient dabei als alleiniger Kontrollpunkt für alle Datenschutzprozesse. Das Unternehmen gibt diese Kontrolle nicht aus der Hand.
Mit dem eperi-Gateway werden sensible Geschäftsinformationen, personenbezogene Daten und Anwendungen durch Verschlüsselung und Pseudonymisierung in jedem Lebenszyklus – „at Rest“, „in Use“ und „in Motion“ – geschützt. So können Unternehmen alle gesetzlichen Vorgaben und Compliance Richtlinien erfüllen. Und das in einer Vielzahl von Cloud-Anwendungen wie Office 365, Salesforce oder eigenen Web-Anwendungen.
Mit welchem Implementierungsaufwand ist zu rechnen und wie geht dieser von statten?
Der Implementierungsaufwand ist gering, weil das eperi Gateway als Netzwerkkomponente keine Installation auf Server- oder Clientseite erfordert. Das heißt, weder der Cloud-Anbieter muss etwas installieren, noch müssen sich die Benutzer umgewöhnen. Üblicherweise wird das eperi Gateway als transparenter Proxy in der DMZ oder dem Internet Breakout eingesetzt. Da es sich um eine Software-Lösung handelt, wird diese in der Regel als virtuelle Maschine geo-redundant betrieben. Gängige Architektur-Konzepte wie Failover und Load-Balancing werden selbstverständlich unterstützt. Im Rahmen eines Projektes definiert der Kunde, welche Daten wie geschützt werden sollen und legt damit das eigene Schutzniveau fest. Dann ist – nach der Installation und Konfiguration – das eperi Gateway in der Regel in wenigen Stunden einsatzbereit. Nach einer definierten Testphase mit Key-Usern werden die entsprechenden Benutzer nach und nach migriert. Auch die Übernahme von Altdaten und die Verschlüsselung von Altbeständen ist kein Problem und erfolgt ohne Benutzer-Interaktion.
In wieweit kann Ihre Lösung sensible Daten in Software-as-a-Service-Anwendungen schützen?
Die beste Möglichkeit, sensible Daten in Cloud-Anwendungen zu schützen, ist durch eigenkontrollierte Verschlüsselung. Das bedeutet erst einmal nichts anderes, als normal lesbare Daten in eine nicht mehr les- und interpretierbare Form zu bringen. Dabei ist die Datenform egal, es können sowohl Texte als auch Fotos oder PDF-Dateien verschlüsselt werden. Bei der Verschlüsselung wird ein mathematischer Algorithmus verwendet, der sensible Daten oder Klartext in unlesbaren Chiffriertext umwandelt.
Seit Inkrafttreten der EU-DSGVO im Mai 2018 sollten personenbezogene Daten außerdem pseudonymisiert werden. Was bedeutet das? Dabei nutzen wir die sogenannte Tokenisierung, bei der mathematisch unabhängige Ersatzwerte für sensible Daten erzeugt werden. Ein einfaches Beispiel: Aus der Zahl 1234 wird die Zahl 7485. In einer dazugehörigen Mapping-Tabelle wird gespeichert, welcher Originalwert welchem Ersatzwert zugeordnet ist. Diese typkonformen Ersatzwerte – ein Geburtsdatum bleibt beispielsweise ein Geburtsdatum – können dann wieder bedenkenlos als Platzhalter in Cloud-Anwendungen gespeichert werden. Denn die Originaldaten bleiben formal im Unternehmen und ggf. auch im Land, was den höchsten Anforderungen an Data Residency entspricht.
Was hat es auf sich mit Ihrem zum Patent angemeldeten Template-Konzept?
Mit dieser innovativen Template-Architektur erfolgt die Trennung zwischen dem Programmcode des eperi Gateways und der Definition, welche Daten im Datenstrom wie geschützt werden sollen. Wollen Marktbegleiter neue Anwendungen unterstützen, müssen diese ihre Anwendungen umprogrammieren, was hohen Aufwand, hohe Kosten, langsames Time-to-Market und Unflexibilität hervorruft. Um schnellstmöglich auf Änderungen der Cloud-Anbieter zu reagieren und alle gängigen Anwendungen zu unterstützen, bietet die eperi Template-Architektur die Möglichkeit, dies losgelöst vom eperi Gateway mit sogenannten Templates zu tun. Templates sind im wesentlichen XML-Dateien, die auch durch Kunden und Partner angepasst werden können. So können alle gängigen Anwendungen unterstützt werden und die Verarbeitungslogik sowie Verschlüsselungsmethoden werden auf Feld-, Datei- und Inhaltsebene gesteuert. Das bedeutet, man kann für jedes Informationsfeld individuell bestimmen, ob die Daten verschlüsselt, tokenisiert oder im Klartext belassen werden sollen. Zusätzlich bietet eperi beispielsweise für Office 365 und Salesforce fertige Lösungen out of the Box an.
Was sollte generell bei der Verschlüsselung von Daten beachtet werden im Hinblick auf die Sicherheit der Verschlüsselungsalgorithmen und im Hinblick auf Anbieter von kryptografischen Lösungen?
Zunächst einmal muss man sagen, dass es für Kunden in der Regel nicht prüfbar ist, welche Algorithmen wie umgesetzt wurden. Das bedeutet, das Unternehmen muss dem Hersteller oder Cloud-Anbieter blind vertrauen. Es sei denn, der Source Code wurde veröffentlicht – wie beispielsweise beim eperi Gateway. In diesem Fall kann die Sicherheit überprüft und sichergestellt werden, dass keine Hintertüren eingebaut wurden. Das eperi Gateway verschlüsselt alle sensiblen Daten standardmäßig mit dem sicheren Standard-Algorithmus Advanced Encryption Standard (AES). Die kryptografischen Schlüssel werden nicht zusammen mit den Daten am gleichen Ort gespeichert. Sie können im eperi Gateway oder auch einem Hardware Security Module (HSM) verwaltet werden. Das heißt, sie liegen weder in der entsprechenden Cloud-Anwendung noch in Cloud-Datenbanken.
Wichtig ist zusätzlich, dass die Algorithmen austauschbar sind, um ein höchstmögliches Sicherheitsniveau zu gewährleisten. Denn wird ein Verschlüsselungsalgorithmus als unsicher eingestuft, muss dieser schnell und möglichst unkompliziert durch den Kunden selbst austauschbar sein. Werden asymmetrische Verschlüsselungen kompromittiert, so kann man sofort auf quantenresistente Verschlüsselungsalgorithmen umstellen.
Grundsätzlich hängt eine gute Verschlüsselung davon ab, wer den Verschlüsselungsprozess kontrolliert. Und das sollte immer das Unternehmen sein, das für die Daten verantwortlich ist.
Weitere Informationen unter:
https://eperi.com/de/