Suchen

PSW Group nimmt Cloud-Verschlüsselungssoftware unter die Lupe Boxcryptor 2.0 hat an Sicherheit zugelegt

Autor: Elke Witmer-Goßner

Die Cloud findet im privaten wie auch im geschäftlichen Umfeld immer mehr Anwendung. Die Sicherheit der Cloud-Anbieter fällt jedoch unterschiedlich aus. Meist können Dritte zwar keine Einsicht in abgelegte Dokumente nehmen, der Anbieter könnte allerdings darauf zugreifen.

Firmen zum Thema

Das besondere Krypto-Konzept in Boxcryptor 2.0 vereinfacht Anwendern die Verschlüsselung von Cloud-Daten.
Das besondere Krypto-Konzept in Boxcryptor 2.0 vereinfacht Anwendern die Verschlüsselung von Cloud-Daten.
(Bild: gemeinfrei © Gerd Altmann - Pixabay / Pixabay )

Der in Augsburg sitzende Anbieter von Boxcryptor, die Secomba GmbH, hat nun mit Boxcryptor 2.0 ein Update ihrer Verschlüsselungssoftware für Cloud-Systeme veröffentlicht. Bereits in ihrer ersten Version hat die Software mit vielfältigen Funktionen und einer hohen Sicherheit überzeugen können. In puncto Sicherheit will Boxcryptor 2.0 aber weiter zugelegt haben. Grund, für die IT-Sicherheitsexperten des Full-Service-Internetproviders PSW Group, sich die Software hinsichtlich Verschlüsselung, Sicherheit und Vertrauen genauer anzusehen.

Boxcryptor 2.0 kann für zahlreiche Cloud-Anbieter auf allen erdenklichen Geräten genutzt werden. Schon mit der Gratis-Version können Privatpersonen Dateien in der Cloud sicher und vor allem einfach verschlüsseln. Businesskunden können selbst im Team oder direkt beim Kunden mit verschlüsselten Dateien arbeiten. Tiefgreifende Kenntnisse der Kryptografie sind nicht nötig, um mit Boxcryptor arbeiten zu können.

Krypto-Konzept kann überzeugen

Insgesamt fällt das Urteil der PSW Group positiv aus: „Boxcryptor ist eine Closed-Source-Software, die sich nur soweit beurteilen lässt, wie der Anbieter Informationen preisgibt. Das Krypto-Konzept scheint uns allerdings ausgereift zu sein, dank der eingesetzten Verschlüsselungsstandards dürfte das Konzept auch Entschlüsselungsversuchen von Hackern oder gar Geheimdiensten standhalten“, so das Fazit von Patrycja Tulinska, Geschäftsführerin der PSW Group.

Sie lobt besonders, dass sensible Informationen sowie persönliche Daten verschlüsselt würden, bevor sie gespeichert werden. Dabei fungiert der Datenbankschlüssel als Session-Key. Das heißt, nur während der Laufzeit ist der Datenbankschlüssel für die Anwendung verfügbar. Selbst wenn Angreifer auf die Datenbank gelangen könnten, würden sie nur auf verschlüsselte Daten zugreifen, erklärt Tulinska.

Kombinierter Verschlüsselungsprozess gewährleistet Sicherheit

Boxcryptor hat einen kombinierten Verschlüsselungsprozess implementiert, der auf dem asymmetrischen kryptographischen Verfahren RSA und Advanced Encryption Standard (AES) aufbaut. Das heißt: Boxcryptor nutzt AES als Verschlüsselungsalgorithmus zum Verschlüsseln von Dateien und RSA zum Verwalten dieser Schlüssel. Daten werden von der Software zunächst standardmäßig AES-256-verschlüsselt. Der AES-Schlüssel wird zum Entschlüsseln der Datei an selbige angehängt. Genau dieses Dateianhängsel wird nun mittels RSA verschlüsselt. Erst nach dem Verschlüsselungsprozess lädt Boxcryptor die Datei in die jeweilige Cloud, wo sie von zu synchronisierenden Geräten genauso abgeholt werden kann wie von autorisierten Nutzern. Die Entschlüsselung findet erst auf dem jeweiligen Client statt. Der private Schlüssel wird benötigt, um den verschlüsselten Schlüssel wieder zu entschlüsseln. „Und da geht Sicherheit fast nicht besser“, ist Tulinska überzeugt.

Patrycja Tulinska, PSW Group.
Patrycja Tulinska, PSW Group.
(Bild: Christoph Alt/PSW Group)

Der Boxcryptor-Server ordnet den öffentlichen Schlüssel einem bestimmten Nutzer zu. Der Server beherbergt die öffentlichen und die privaten Schlüssel der Boxcryptor-Nutzer, die wiederum mit dem privaten Schlüssel eines Nutzers verschlüsselt sind. Diesen privaten Schlüssel kennt ausschließlich der Nutzer, er wird lokal auf seinem Rechner abgespeichert. Dies ist der sogenannte Zero-Knowledge-Ansatz: Der Anbieter hat damit weder Zugriff auf gespeicherte Daten noch auf die Passwörter seiner Nutzer. Tulinska weist auf die bedeutende Rolle des Nutzerpassworts hin, das den privaten Schlüssel eines Nutzers verschlüsselt: „Da dieses Passwort nirgends abgespeichert und der Login lediglich mit einem Hash des Passworts ausgeführt wird, ist es wichtig, dass User dieses Passwort nie verlieren sollten. Es kann weder zurückgesetzt werden noch lassen sich die verschlüsselten Daten anderweitig wiederherstellen.“

Zudem ist Boxcryptor keine quelloffene Software, weshalb sich der Programmcode weder auf Sicherheitslücken noch auf Hintertüren überprüfen lässt. „Dass das Unternehmen weder die Inhalte von verschlüsselten Daten noch Benutzerpasswörter kennt, ist die eine Seite. Die andere jedoch besteht aus zahlreichen Stamm- und Metadaten mit Nutzerbezug. So fallen beispielsweise IP-Adressen von den genutzten Geräten an. Deshalb lässt sich eine vollständig anonymisierte Datensynchronisation auch mit Boxcryptor nicht realisieren“, gibt die IT-Sicherheitsexpertin zu bedenken.

Der ausführliche Testbericht der PSW Group ist hier einsehbar.

(ID:46312725)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de