Datenschutz und Compliance in der Cloud Sichere Cloud, Made in Germany

Autor / Redakteur: Claudia Seidl / Peter Schmitz

Apps sind bequem, für Unternehmen aber auch ein Sicherheitsrisiko. Compliance-Regeln können mit ihrem Gebrauch oder dem von Cloud Computing und Social Media oft schwer eingehalten werden. Mit der Sealed Cloud entwickelt das Unternehmen Uniscon eine Technologie, die sichere Kommunikation ermöglicht.

Firmen zum Thema

Bei der Sealed Cloud Technologie hat der deutsche Hersteller Uniscon an viele Sicherheitsrisiken gedacht und ermöglicht so sicheren Zugriff auf Unternehmensdaten in der Cloud.
Bei der Sealed Cloud Technologie hat der deutsche Hersteller Uniscon an viele Sicherheitsrisiken gedacht und ermöglicht so sicheren Zugriff auf Unternehmensdaten in der Cloud.
(Bild: VBM)

Bereits fünf Millionen Unternehmen benutzen Google Apps, „eine Cloud-basierte Produktivitätssuite“, mit der Teams sich von überall und jedem beliebigen Gerät aus miteinander verbinden und arbeiten können. Sie sind aber nicht die einzigen: Es kommen noch die Unternehmen dazu, die Daten auf Servern wie Amazon, HP, Apple, Microsoft oder Dropbox speichern.

Ihre Mitarbeiter nutzen auch gern die kleinen Programme (Apps), um über ihr Smartphone oder iPhone in die Cloud zu gelangen; dabei laden sie sich privat weitere Apps herunter. Dies stellt ein großes Sicherheitsrisiko dar: So beurteilt eine in der Wirtschaftswoche veröffentlichte Untersuchung ein Drittel der 88 beliebtesten Android-Apps in Deutschland als „kritisch“ oder „sehr kritisch“. Denn die kleinen Programme leiten Daten weiter, ohne dass man wirklich weiß, wo diese landen und gewähren Unbefugten Zugriff auf sensible Informationen.

Bildergalerie

Deutsche Unternehmer kennen das Problem: Manche machen sich unter Umständen sogar strafbar, wenn sie Apps oder Cloud Computing benutzen. § 203 des Strafgesetzbuches, der sowohl die Verletzung von Betriebs- und Geschäfts- wie von Privatgeheimnissen regelt, sieht bis zu einem Jahr Freiheitsentzug oder eine empfindliche Geldstrafe vor, wenn jemand „ein fremdes Geheimnis offenbart“, das ihm als Steuerberater, Psychologe, Arzt, Rechtsanwalt oder Ähnliches anvertraut oder bekannt gemacht worden sei.

Die gemeinsam vom Münchner Unternehmen Uniscon GmbH und der Fraunhofer-Einrichtung für Angewandte und Integrierte Sicherheit (AISEC) weiter entwickelten Basistechnologie Sealed Cloud wendet diese Gefahr ab. Der Web-Privacy-Dienst Idgard von Uniscon basiert darauf und sichert die Kommunikation im Internet, egal von welchem Gerät man auf die Daten zugreift.

Technik sichert Compliance

Was macht die Sealed Cloud anders als andere Cloud-Technologien? „Die Schwachstelle ,Mensch‘ wird ausgeschlossen“, erklärt Dr. Ralf Rieken, Mitgründer und Geschäftsführer von Uniscon. Das Team hätte technisch keinen Einblick in die Daten, die im Datenzentrum verarbeitet werden. Die Cloud-Plattform sei mit einem komplexen System von Maßnahmen „versiegelt“. Diese Versiegelung reicht, so Rieken, „von der Verschlüsselung mit sogenannter smarter Schlüsselverteilung, über ausgeklügelte Zugriffsschutzmechanismen bis hin zu Speichermanagement und Datenlöschfunktionen.“

Die Sealed Cloud sichert laut Anbieter die anvertrauten Daten durch eine smarte Schlüsselverteilung. Während der Anmeldung wird laut Rieken aus den Log-in-Daten des Nutzers ein individueller Schlüssel generiert. Mit ihm würde das System die Daten des Nutzers finden, sie entschlüsseln und in den Hauptspeicher laden. Nach dem Abmelden verschlüssele es die Daten wieder und speichere sie erneut.

„Der individuelle Schlüssel wird anschließend zerstört“, erklärt Rieken, „sodass der Nutzer allein durch seine Log-In-Daten Zugang zu seinen Informationen hat“. Jeder Nutzer besitzt demnach einen Datensatz, der nach AES256 verschlüsselt ist. Da die Schlüssel im System „nicht existieren“, haben Angreifer von außen so ihre Schwierigkeiten: Sie müssten nicht nur einen AES256- Schlüssel knacken sondern auch für jeden einzelnen Datensatz.

Schutz gegen memory dump

Der Hauptspeicher der Server aber bleibt verwundbar: Die Daten liegen dort nämlich in Klarschrift, wenn ein Nutzer gerade seinen Account offen hat. Ein Administrator könnte also ein „Memory Dump“ ziehen. Dabei lässt er den gesamten Speicherbereich des installierten Programmes in eine Datei schreiben. Später, zu einem geeigneten Zeitpunkt, könnte er diesen dann in aller Ruhe auswerten.

Bildergalerie

Im Sealed Cloud-System müssen daher Mitarbeiter „vom Trust Center eine Art Arbeitsanweisung ausgestellt bekommen“, sagt Rieken. Allerdings auf technisch ausgefeilte Art: Der betreffende IT-Mitarbeiter erhält sie auf sein Bluetooth Device, zusammen mit einem gültigen Zugangstoken für den Serverschrank. Über die Bluetooth-Schnittstelle des Systems lässt sich der Zugang zu einem Schranksegment anfordern. Ein Sealed Cloud-Controller schließt daraufhin die in diesem Segment laufenden aktiven Sessions, deaktiviert die Server und stellt sie stromlos. Nach einer Wartezeit von etwa 15 Sekunden öffnet er die Schrankverriegelung. Rieken: „Nachdem er wirklich sicher gestellt hat, dass die Server keinerlei Daten mehr enthalten.“

Geprüfte Software-Integrität

Nach dem Wartungsvorgang muss das Segment wieder verriegelt werden. Beim Hochlauf „sucht das System nach eventuellen Abweichungen von der freigegeben, zertifizierten Software, sowohl im Betriebssystem als auch im Anwendungsteil“, erklärt Rieken weiter. Erkannte Abweichungen würden zum sofortigen Abschalten des Segments führen, da eine Manipulation nicht ausgeschlossen werden könne. Auch nach einem erfolgreichen Start werde das System im Betrieb kontinuierlich überwacht. Rieken: „Sollte es zu Abweichungen kommen, löst es Alarm aus und schaltet die betroffenen Segmente ab.“

Von großem Vorteil für deutsche Unternehmen ist auch, dass sich das Datenzentrum mit allen seinen Servern in Deutschland befindet. Dank Server-Standort Deutschland gelten für Uniscon hier auch die deutschen Datenschutz-Gesetze.

Anwendungen für Unternehmen

Auf Basis der Sealed Clout Technolohie bietet der Web-Privacy-Dienst Idgard Anwendungen, die es Unternehmen erleichtern sollen, einfach und doch sicher über die Firmengrenzen hinaus zu kommunizieren: Der Service ermöglicht von allen Endgeräten aus einen geschützten Zugang zu den Daten, eine einfache und doch sichere E-Mail-Kommunikation und versiegelte Team-Arbeitsbereiche.

Die Handhabung des Dienstes ist bequem und auch für IT-Laien einfach zu verstehen, trotzdem bleibt durch die Technologie die Sicherheit erhalten. Für Unternehmen bietet Idgard z.B. „Privacy Boxes“, die man in der Sealed Cloud mit einem Klick erzeugt. Dorthin legt man dann die vertraulichen Dokumente.

Zugang zu so einer Privacy Box erhalten Geschäftspartnern oder Kunden über einen Link, den man per Mail verschickt. Bei firmenübergreifenden Projekten ließen sich dann Team-Mitarbeiter zu einer Privacy Box „einladen“, zählt Rieken eine weitere sichere Online-Kommunikationsmöglichkeit auf.

Die Web-Accounts werden übrigens „zentral verwaltet“, so dass bei Mitarbeiterwechsel weniger Übergabeprobleme entstehen können. Besonders wichtig für Compliance aber findet Rieken, dass auf iPhone und Android „eine Idgard App extra dafür sorgt, dass vertrauliche Dokumente im Hintergrund nicht versehentlich in die iCloud bzw. in Google Drive synchronisieren“ und somit im Ausland gespeichert werden.

(ID:39128650)