Suchen

Perfect Forward Secrecy als Basis für Cloud-Sicherheit

Folgenlosigkeit ist noch lange kein Standard

Seite: 2/2

Firmen zum Thema

Nicht alle Schlüssel an einen Haken hängen

Trotz hervorragender Sicherheit ist Perfect Forward Secrecy in Wahrheit nur von Vorteil, wenn sich der Session Key, der zum nachgelagerten Entschlüsseln der Daten dient, leichter entschlüsseln lässt als die Daten selbst. Abgesehen von Google, das Perfect Forward Secrecy aus eigener Initiative Ende 2011 eingesetzt hat, bieten nur wenige große Anbieter diese Eigenschaft an.

Der gelegentliche Einsatz von Perfect Forward Secrecy scheint eher dem Zufallsprinzip zu folgen, als einer konsequenten Achtung der Privatsphäre des Nutzers. Microsoft verzichtet auf PFS bei seinem E-Mail Dienst Outlook ebenso wie Apple bei der iCloud. Auch im Browserbereich darf man Perfect Forward Secrecy nicht als gegeben nehmen. Nur aktuelle Browser unterstützen die sichersten Algorithmen. Die Anwender müssen ihren Teil zur Sicherheit beitragen, indem sie aktuelle Browser und gepatchte Betriebssysteme verwenden.

Folgenlosigkeit auch in der Cloud

Wer seine Daten geschützt wissen will, kann bei der Wahl eines Cloud-Anbieters mithilfe von Tools wie dem kostenlosen SSL-Test von Qualys-SSL Labs überprüfen, ob dessen Server Perfect Forward Secrecy verwendet. Darüber hinaus soll man darauf achten, dass Cloud-Anbieter von einer international bekannten Prüforganisation zertifiziert sind. Die TÜV Rheinland i-sec GmbH führt beispielsweise Cloud-Zertifizierungen durch.

Die TÜV-Zertifizierung zeichnet Anbieter aus, denen Vertrauenswürdigkeit und Transparenz im Business und im Umgang mit den Daten ihrer Kunden wichtig sind und folgende Dienstleistungen anbieten:

  • Sicheres Hosting von Daten
  • Sichere Datenübertragung
  • Sicherer Betrieb von unternehmenskritischen Anwendungen
  • Qualität und Verfügbarkeit der Serviceerbringung – hohe Service-Kontinuität, hohe on-demand Skalierbarkeit
  • Sicherheit und Qualität des Datenzugriffs und der Datenspeicherung – sichere Anmeldeverfahren und Berechtigungssysteme zur Steuerung des Datenzugriffs auf Netzwerkebene
  • Schutz vor Angriffen nach dem neuesten Stand der Technik

Die Prüfung besteht aus mehreren Stufen. Vor der tatsächlichen Überprüfung führt der TÜV einen „Cloud-Readiness-Check“ aus, dass den Anbieter auf Sicherheit, Interoperabilität, Compliance und Datenschutz testet und dessen Ergebnis ein Aktionsplan ist. Danach wird das Design der Cloud evaluiert. Im nächsten Schritt beurteilt er die tatsächliche Umsetzung des Cloud-Dienstes und führt Qualitätschecks durch.

Zum Schluss werden Punkte wie Datensicherheit, Organisation, Compliance, Prozesse, Betrieb und Infrastruktur unter die Lupe genommen. Bei der tatsächlichen Prüfung erfolgt zuerst eine Dokumentensichtung und Interviews zur Cloud-Architektur, dann untersucht der TÜV Rheinland die Cloud-Service-Prozesse, sowie die Compliance-Richtlinien und den Datenschutz des Cloud-Dienstes.

* Georg Danczul ist IT-Sicherheitsadministrator bei Fabasoft. Die Fabasoft Cloud baut seit November 2013 auf Perfect Forward Secrecy.

(ID:42989372)