Bodycam-Aufnahmen in der Cloud – Konzept der sicheren Speicherung

Bodycam-Daten hochsicher speichern

| Autor / Redakteur: Dr. Aly Sabri* / Dr. Jürgen Ehneß

Hochsichere Speicherung unabdingbar: bei Polizeieinsätzen aufgenommene Videodaten.
Hochsichere Speicherung unabdingbar: bei Polizeieinsätzen aufgenommene Videodaten. (Bild: ©schulzfoto - stock.adobe.com)

Die unsichere Speicherung der Bodycam-Aufnahmen in der Amazon-Cloud erregte in vielen Medien erhebliche Aufmerksamkeit. Dieser Artikel beschreibt ein Konzept zur hochsicheren Aufbewahrung solch sensibler Daten bei eindeutiger Data-Ownership.

Polizeikräfte in unterschiedlichsten Ländern nutzen Bodycams zur Dokumentation ihrer Einsätze. Die anfallenden Datenmengen sind erheblich, und eine hochsichere Speicherung ist unabdingbar. Die Daten der deutschen Polizei werden derzeit in der Amazon-Cloud gespeichert, die sich durch hohe Speichersicherheit (auch als „Data-Safety“ bezeichnet) auszeichnet; das bedeutet, einem Verlust der Daten ist vorgebeugt.

Ein mindestens ebenso wichtiges Kriterium bei der Wahl des Speicherortes und der Speichertechnik ist jedoch auch die Datensicherheit (Data-Security). Darunter versteht man die Kontrolle des Datenzugriffs und den Erhalt der Datenhoheit. Eben diese Datenhoheit (Data-Ownership) ist bei einer klassischen Cloud-Lösung nicht eindeutig geregelt, Genauer gesagt, selbst wenn vertragliche Regelungen bestehen, gibt es die potentielle Möglichkeit, dass unberechtigte Dritte auf diese Daten zugreifen können.

Dieser Artikel beschreibt die Möglichkeit, Daten – auf letztlich fremden Servern – in der Cloud zu speichern und dennoch die volle Datenhoheit zu behalten.

Grundsätzliche Überlegungen zu Data-Ownership

Die European Network Information Security Agency ENISA weist in ihrer Studie über Cloud-basierte Datenspeicherung auf neun „high probability/high impact risks“ hin. Diese Risiken sind letztlich alle Folgen des Verlusts der Datenhoheit. Datenhoheit sei definiert als anwenderzentrierter Datenbesitz und Datenkontrolle zu jedem Zeitpunkt des Transports und der Speicherung unter Berücksichtigung aller durch die ENISA definierten Risiken. Dies bedeutet, dass der Infrastruktur (Netzwerke, Server, Administration), die für Transport und Speicherung der Daten verantwortlich ist, nicht vertraut werden darf. Es muss immer davon ausgegangen werden, dass innerhalb der Infrastruktur Fehler oder Unzulänglichkeiten bestehen, die potentiell ein Datenleck bedingen können.

Selbst die Verschlüsselung beim Transport der Daten oder die Verschlüsselung auf dem Server des Cloud-Anbieters schaffen hier keine Abhilfe, da der Provider im Besitz der Schlüssel oder zumindest des Master-Keys ist.

Ergänzendes zum Thema
 
ENISA High-Probability-/High-Impact-Risks

Konzepte für die Datenhoheit

Wie lässt sich die Infrastruktur von cloud-basierten Services nutzen, ohne ihr vertrauen zu müssen? Zur Beantwortung dieser Frage werden im Folgenden Konzepte vorgestellt, die im Idealfall alle in Kombination Anwendung finden, um die Datenhoheit zu garantieren:

Zero-Information

Alle Daten, die vom Dateneigentümer einer Infrastruktur anvertraut werden, müssen durch diesen am Ort der Datenentstehung zu Nullinformation verschlüsselt werden. Dieses Prinzip ist auch unter „Client Side Encryption“ bekannt und stellt sicher, dass keine lesbaren Daten das Endgerät des Eigentümers verlassen. Im Falle der Bodycam-Daten wären eine Verschlüsselung direkt in der Kamera oder ein Zwischen-Server möglich, der quasi on-the-fly eingehende Daten verschlüsselt und an den Speicherort weiterleitet. Ein häufiges Problem liegt nun in der Verwaltung der – unter Umständen – sehr vielen Schlüssel, die auf der Anwenderseite, das heißt beim Eigentümer, anfallen. Idealerweise wird jeder Datensatz mit einem eigenen Schlüssel verschlüsselt, was die Anzahl der zu verwaltenden Schlüssel linear zur Anzahl der Datensätze ansteigen lässt und damit zu Einbußen in der Convenience führen kann. Auf der anderen Seite hat das Verlieren eines oder mehrerer Schlüssel den Komplettverlust der damit verschlüsselten Daten zur Folge. Dies macht auch die sichere Aufbewahrung dieser Schlüssel dringend notwendig.

Polizei-Bodycams: Wohin mit den Aufnahmen?

Videoüberwachung

Polizei-Bodycams: Wohin mit den Aufnahmen?

29.04.19 - Seit Mitte März ist der Einsatz von Bodycams bei der Bayerischen Polizei erlaubt. Ihre Anwendung ist jedoch nicht unumstritten. Denn obwohl sie die Sicherheit der Beamten erhöhen, äußern Datenschützer ihre Bedenken. Im Folgenden ein Kommentar von Mario Ester*, Director Public & Territory Sales Germany bei Suse, zur Datenspeicherung der Bodycam-Aufnahmen. lesen

Key-and-Metadata-Encryption

Aus den beschriebenen Konsequenzen des Zero-Information-Prinzips wird klar, dass eine zentrale Verwaltung der Verschlüsselungsschlüssel sinnvoll ist, um den Verlust oder die eigene Verwaltung derselben zu vermeiden. Diese Anforderung lässt sich erfüllen, indem diese Schlüssel wiederum mit dem privaten Schlüssel des Dateneigentümers verschlüsselt werden, um sie anschließend zentral (in einer Cloud) aufbewahren zu können. Da sich auch aus den Metadaten Rückschlüsse auf die gespeicherten Daten ziehen lassen, sollten auch diese verschlüsselt abgelegt werden. Je nach Anforderungen an die Suche innerhalb dieser Daten können Agenten – sogenannte technische Nutzer – zur Suche berechtigt werden.

Separate-Systems-Architecture

Da sowohl die verschlüsselten Daten als auch die Verschlüsselungsschlüssel in der Infrastruktur aufbewahrt werden, um einem Datenverlust durch Verlust von Schlüssel und/oder Daten vorzubeugen, wird es notwendig, die Server in ihren Aufgaben aufzuteilen und voneinander zu separieren. Hier liefert nach aktuellen Analysen eine A-I-S-Struktur die bestmögliche Sicherheit: A-I-S steht für „Authentifizierung - Index - Storage“, womit jeweils ein eigenes Server-System beschrieben wird:

  • 1. Der Authentifizierungs-Server hält die persönlichen Daten des Nutzers und bescheinigt nach der korrekten Anmeldung die Identität des Nutzers.
  • 2. Der Index-Server speichert die Verbindungen der Datensätze untereinander und liefert die Speicherorte der Daten.
  • 3. Der Storage-Server hält alle Daten, in unserem Fall die Bodycam-Videos, kennt aber weder Inhalt noch wem die Daten gehören. Bei dieser Architektur könnte der Storage Server, auf dem die riesigen Datenmengen der Videos liegen, ohne weiteres in der amazon Cloud bleiben ohne die Hoheit an diesen Daten zu kompromittieren.

Alle drei Server-Systeme stehen vollständig unabhängig voneinander und haben untereinander – außer über den Dateneigentümer – keine Verbindung.

Separate Server-Architektur: Der Authentifizierungs-Server (1), der Index-Server (2) und der Speicher-Server (3) haben untereinander außer über den Nutzer keine Verbindung.
Separate Server-Architektur: Der Authentifizierungs-Server (1), der Index-Server (2) und der Speicher-Server (3) haben untereinander außer über den Nutzer keine Verbindung. (Bild: olmogo)

Access-Point-Definition

Die Zugriffspunkte zu den einzelnen Servern können bei der oben beschriebenen Architektur frei definiert werden. Sollen die Bodycam-Daten zum Beispiel ohne „öffentlichen“ Zugriff bleiben, so kann der Authentifizierungs-Server im Intranet betrieben werden, während der Storage-Server ohne weiteres im Extranet bei einem beliebigen Provider stehen kann.

Scrambling

Allein aus der Größe der (verschlüsselten) Daten könnten Rückschlüsse auf die Datenart und/oder den Inhalt gezogen werden. Aus diesem Grunde ist es sinnvoll, die Daten nochmals zu scrambeln (zu zerstückeln) und auf verschiedene Speicherorte zu verteilen.

Single Source of Truth

Der Vollständigkeit sei darauf hingewiesen, dass das Freigeben von Daten an Dritte immer ohne ein Kopieren oder Vervielfältigen der Daten geschehen sollte. Damit ist ein Erhalt des Dokumentenstatus der Bodycam-Videos sichergestellt. Die Beschreibung der notwendigen Konzepte hierzu würde den Rahmen dieses Beitrags sprengen.

Dr. Aly Sabri, CEO der olmogo AG, Baar, Schweiz.
Dr. Aly Sabri, CEO der olmogo AG, Baar, Schweiz. (Bild: olmogo)

Bemerkenswert ist bei dem vorgestellten Konzept, dass es sich ohne großen Aufwand in die bestehende IT-Infrastruktur der Bodycam-Datenspeicherung einbinden lässt. Die Sicherheitsrahmenbedingungen des BSI als auch der DSGVO ließen sich erfüllen. Die Skalierung der Speicheranforderungen wäre aufgrund der Unabhängigkeit des Storage-Servers ebenfalls kein Problem und könnte auf beliebige Hardware-Systeme ausgelagert werden. Die nun verschlüsselten Videodaten selbst können bei Amazon bleiben.

*Der Autor: Dr. Aly Sabri, CEO der olmogo AG, Baar, Schweiz.

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45968150 / Content-Security)