Suchen

Grundlagen einer betreibersicheren Cloud-Infrastruktur Daten schützen ohne Wenn und Aber

| Autor / Redakteur: Luc Mader* / Elke Witmer-Goßner

Geht es um den Schutz personenbezogener Daten oder anderer schützenswerter Informationen müssen Organisationen, Behörden und Unternehmen strengen Kontrollpflichten nachkommen. Da die Mehrheit der Cloud-Dienste die steigenden Schutzanforderungen nicht erfüllen, lohnt ein Blick auf sogenannte betreibersichere Clouds. Sie folgen einem Prinzip, das die Mehrheit aller Risiken allein durch ihren technischen Bauplan ausschließt.

Firma zum Thema

Bei betreibersicheren Cloud-Infrastrukturen gehen Hochverfügbarkeit, Skalierbarkeit und Preistransparenz einher mit maximaler Sicherheit.
Bei betreibersicheren Cloud-Infrastrukturen gehen Hochverfügbarkeit, Skalierbarkeit und Preistransparenz einher mit maximaler Sicherheit.
(Bild: gemeinfrei© MasterTux / Pixabay )

Der Schutzbedarf sensibler Personen-, Kunden- oder Unternehmensdaten nimmt überall zu. Dabei sind es längst nicht mehr nur die gesetzlich zu hohen Sicherheitsmaßnahmen verpflichteten Betreibern Kritischer Infrastrukturen (KRITIS), die genau hinschauen, wenn es um das Thema IT-Sicherheit geht. Auch Industrieunternehmen, Händler oder Privatpersonen müssen sich darauf verlassen können, dass ihre Cloud-Dienste am Ende des Tages halten, was sie versprechen. Dazu zählt in aller erster Linie der bedingungslose Schutz ihrer Daten.

Allzu oft ist jedoch festzustellen, dass viele Anbieter das Sicherheitsniveau nicht bieten können, dass beispielsweise allein die DSGVO für die Verarbeitung schutzbedürftiger Informationen vorsieht. Spätestens hier lohnt ein Blick zu den erwähnten KRITIS-Betreibern. Gemeint sind Organisationen oder Einrichtungen, die eine übergeordnete Bedeutung für das staatliche Gemeinwesen haben, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe und erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Dazu zählen zum Beispiel Banken, Kliniken oder Rechtanwaltskanzleien. Sie setzen fast ausnahmslos auf betreibersichere Clouds, um die strengen, gesetzlichen Auflagen zu erfüllen. Aber was unterscheidet diese von gängigen Cloud-Infrastrukturen bzw. was macht sie so sicher?

Technisch ausgeschlossene Zugriffe

Dreh und Angelpunkt betreibersicherer Clouds und damit der wesentliche Unterschied zu gängigen Angeboten ist die Realisierung des Zero-Knowledge-Prinzips bereits auf technischer Ebene. Privilegierte Zugriffsoptionen, etwa zu Wartungs- oder Monitoring-Zwecken gibt es nicht. Und damit auch kein Hintertürchen, das interne und externe Angreifer nutzen können, um sich unbefugten Zugang auf Anwendungen und Informationen zu verschaffen.

Das Problem: Zwar sind verschiedene Verschlüsselungen bei der Datenübertragung oder Speicherung längst gang und gäbe. Für die Datenverarbeitung liegt der Code aber oftmals auf den Servern der Anbieter, wo er Angreifern schutzlos ausgeliefert ist. Organisatorische Sicherheitsmaßnahmen wie Rollen- und Rechtekonzepte, die dem Schutz der bekannten Einfallstore dienen sollen, umgehen Kriminelle in aller Regelmäßigkeit mit großer Leichtigkeit und verschaffen sich Zugriff auf sensible Daten und Anwendungen.

Clientseitige Datenverschlüsselung in Bibliotheken

Inzwischen gibt es aber verschiedene Wege, das Zero-Knowledge-Prinzip technisch umzusetzen. Eine wirkungsvolle Methode ist die clientseitige Verschlüsselung von Daten in Bibliotheken. Hierfür erzeugt das System eine lange, kryptografisch starke Zufallszahl, die als Dateischlüssel dient. Der Schlüssel wird zusätzlich mit einem Passwort verschlüsselt. Erst die auf diese Weise verschlüsselten Daten werden durch die Anwender hochgeladen und gespeichert. Da der Code wiederum ausschließlich beim Anwender bzw. auf Client-Seite liegt, können die Daten auf dem Übertragungsweg weder gestohlen, durchleuchtet oder manipuliert werden. Selbst das bloße Einsehen der Daten durch die Administratoren der Anbieter ist auf diese Weise ausgeschlossen.

Auf maximale Datensicherung und -souveränität von Cloud-Diensten lassen zusätzlich zum Zero-Knowledge-Prinzip folgende Merkmale schließen: Die ausschließliche Nutzung von ISO-zertifizierten Rechenzentren, der Betrieb einer eigenen, georedundanten Serverinfrastruktur, die Nutzung von Verschlüsselungstechnologien wie TLS und Ende-zu-Ende sowie die Verwendung von Open-Source-Software.

Maximaler Schutz durch Zero-Knowledge

Das neue Gold des 21. Jahrhunderts – Daten – zu schützen ist eine wesentliche Herausforderung der Gegenwart.

Luc Mader, luckycloud GmbH.
Luc Mader, luckycloud GmbH.
(Bild: luckycloud)

Gleichzeitig ist die Versuchung für Kriminelle größer denn je, sich am neuen Gold zu bereichern. Auch Cloud-Anbieter spielen hinsichtlich der Datenverarbeitung nicht immer mit offenen Karten. Wer auf Nummer sicher gehen will, setzt auf betreibersichere Clouds. Sie schließen Datenzugriffe bereits auf technischer Ebene aus und garantieren auf diese Weise maximale Datensicherheit und -souveränität.

* Der Autor Luc Mader ist CEO und Geschäftsführer der luckycloud GmbH.

Ergänzendes zum Thema
Must-haves in der Cloud

Anbieter wie zum Beispiel die Berliner luckycloud folgen nicht nur dem Zero-Knowledge-Prinzip. Sie wissen, dass Cloud Computing nur dann funktioniert, wenn Sicherheit Hand in Hand geht mit Themen wie Hochverfügbarkeit, Skalierbarkeit oder Preistransparenz.

Zu ihren Must-haves zählen:

  • 3-fach-Verschlüsselung mit Schlüsselhoheit
  • ausschließlich deutsche Serverstandorte
  • eigene, hochverfügbare Serverinfrastruktur
  • blockbasierte Synchronisation
  • konsequenter Einsatz von Open- Source-Software
  • Zero-Knowledge-Prinzip auf technischer Ebene
  • „Pay-what-you-use“-Prinzip
  • Apps, z. B. für NAS-Synchronisation

(ID:46576947)