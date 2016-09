Um sensible Informationen auf Cloud-Plattformen zu schützen, ist Verschlüsselung unabdingbar. Doch diese Vorgehensweise bedeutet nicht automatisch, dass die Daten sicher sind. Was passiert beispielsweise, wenn der Verschlüsselungscode geklaut wird? Und wer kann und darf eigentlich alles darauf zugreifen? Hardware-Sicherheitsmodule schaffen hier Sicherheit. Wie dieser Artikel zeigt, erzeugen sie nicht nur unknackbare Schlüssel, sondern speichern und verwalten diese auch geschützt vor unberechtigten Zugriffen.

Hochwertige kryptographische Schlüssel sind ein wesentlicher Bestandteil einer unternehmensweiten IT-Sicherheitsstrategie. Diese Schlüssel müssen nicht nur erzeugt, sondern auch sicher verwaltet werden. Denn geraten sie einmal in falsche Hände, lassen sie sich leicht für illegale Aktivitäten missbrauchen. Mögliche Folgen: Finanzieller Verlust, rechtliche Konsequenzen und ein angekratztes Image. Einen wirksamen Schutz bieten Hardware-Sicherheitsmodule (HSM) – auch in Cloud-Umgebungen.



Mit rund einer Milliarde Euro entfiel laut der Studie "Cloud Vendor Benchmark Deutschland 2015" der Experton Group im Jahr 2015 der größte Umsatzanteil der Cloud-Services in Deutschland auf den Bereich Software-as-a-Service. Vor allem Cloud-Services für E-Mail, Collaboration, E-Commerce und Business Intelligence erfreuen sich hoher Beliebtheit. Für Unternehmen haben solche Angebote den Vorteil, dass sie Lösungen entsprechend dem aktuellen Bedarf buchen können. Die Investitionen in eigene Hardware und Software im unternehmenseigenen Rechenzentrum entfallen und werden durch flexible operative Kosten ersetzt.



Seite 1 von 2 Nächste Seite >>

Neben Kosteneinsparungen und der höheren Agilität entscheidet auch das IT-Sicherheitsniveau über den Einsatz von Cloud-Diensten in Unternehmen und Behörden. Daher bauen große Public-Cloud-Service-Provider die Sicherheitsvorkehrungen in ihren Rechenzentren aus. Diese weisen teilweise einen besseren Schutz vor Cyber-Angriffen oder Datenverlusten auf als die Rechenzentren der Unternehmen oder Behörden. Doch was hilft der beste Schutz von Angriffen von außen, wenn die Daten innerhalb des Cloud-Anbieters durchleuchtet werden können – Stichwort Wirtschafts- und Industriespionage?Bei Public-Cloud-Services rückt die Verfügungsgewalt über die Daten in den Fokus der Entscheider. De jure ist das Unternehmen, das diese Daten "besitzt", auch für deren Schutz zuständig. Das gilt auch dann, wenn personenbezogene Daten wie Kundeninformationen oder Geschäftsdaten bei einem Cloud-Service-Provider gespeichert und bearbeitet werden. Ein Wegdelegieren dieser Verantwortung an den Provider ist laut dem Bundesdatenschutzgesetz (BDSG) und der neuen Datenschutz-Grundverordnung der Europäischen Union (GDPR, General Data Protection Regulation) nicht möglich.De facto hat jedoch der Provider die Verfügungsgewalt über die Daten, die Kunden in seinen Cloud-Rechenzentren bearbeiten. Dies kann zu juristischen Problemen führen, etwa dann, wenn der Provider die Daten – mit oder ohne Wissen des Kunden – in andere Datacenter oder Subunternehmen verlagert und sie dort speichert. Denn das BDSG und die GDPR schreiben vor, dass Unternehmen aus der Europäischen Union personenbezogene Daten nur in EU-Ländern speichern dürfen. Aus diesem Grund haben Cloud-Service-Provider wie Amazon Web Services (AWS), Salesforce.com, Google und IBM Cloud-Rechenzentren in EU-Ländern oder Deutschland errichtet.Doch Gefahr droht auch von innen: Nach Angaben des IT-Sicherheitsunternehmens Symantec gingen 2014 rund acht Prozent aller Datendiebstähle auf das Konto von Insidern. Dazu zählen auch illoyale Mitarbeiter von Cloud-Service-Anbietern. Umgekehrt nutzen Cyber-Kriminelle Phishing-Mails, um User und Administratoren zur Herausgabe von Account-Informationen zu bewegen. Symantec zufolge werden auf dem Schwarzmarkt solche Informationen für etwa acht Dollar gehandelt.Um den Zugriff allzu neugieriger US-Behörden auf Daten europäischer Kunden zu verhindern und sich gegen Schwachstellen von innen zu wappnen, empfiehlt sich eine starke Verschlüsselung der Informationen. Voraussetzung: Der Administrator hat keinen Zugriff auf die Schlüssel. Nur Schlüssel, die extern erstellt, gespeichert und verwaltet werden, können als Vertrauensanker dienen.Anbieter von Public-Cloud-Services werben inzwischen mit integrierten Verschlüsselungsfunktionen wie Built-in Encryption oder Key Splitting. Bei letzterer verbleibt der Master-Key beim Anwender, ein zweiter Teil des Schlüssels wird vom Key-Management-Dienst des Providers gespeichert. Ein Zugriff auf die Daten erfordert beide Teile des Keys.Das Manko: Nutzer solcher Dienste können oft nicht selbst entscheiden, wie sie die Schlüssel generieren und speichern. Erfolgt dies über den Anbieter, setzt das ein hohes Maß an Vertrauen voraus. Kunden können in der Praxis kaum überprüfen, ob Administratoren des Providers tatsächlich keinen Zugang zu den Schlüsseln haben und ob das Schlüsselmanagement die erforderlichen Sicherheitsvorgaben erfüllt.