Die Cloud bietet viele Vorzüge, sie ist flexibel, performant und skalierbar. Doch in Sachen Sicherheit der Daten liegt noch manches im Argen. Die durchgehende Verschlüsselung aller in der Cloud gespeicherten Daten ist daher unabdingbar, um auch wirklich vor fremden Zugriffen Schutz zu gewähren.
Wir leben im Zeitalter der Daten. Die Marktforscher von IDC gehen davon aus, dass die Datenberge weltweit bis zum Jahr 2025 auf mehr als 175 Zettabyte anwachsen werden. Ein Zettabyte entspricht einer Milliarde Terabyte. Der Großteil der Daten fällt in Unternehmen an, und der Großteil dieser Unternehmensdaten lagert inzwischen in der Cloud. Diese Daten erfordern eine Absicherung und Zugriffskontrolle, doch das ist in der Cloud kein triviales Unterfangen. Deren Nutzung verbreitet sich immer schneller – nicht zuletzt, weil wegen Corona eine große Zahl von Mitarbeitern im Homeoffice arbeitet und entsprechend versorgt werden muss. Der Schutz der Daten folgt dem Dreiklang: Discover (Entdecken), Protect (Schützen) und Control (Kontrollieren). Doch wie lässt sich dieser Dreiklang in eine wirksame Strategie zum Schutz der Daten in der Cloud umsetzen?

Daten erkennen und klassifizieren

Der erste Schritt in Richtung Datensicherheit heißt Data Discovery. Dabei geht es darum, Daten zu erfassen und dann zu klassifizieren, damit man weiß, was man überhaupt schützen will. Ein Unternehmen muss stets in der Lage sein, sämtliche Daten zu erkennen und einzuordnen, wo auch immer sie sich befinden. Das können Dateien oder Datenbanken sein, aber auch Container oder virtuelle Maschinen. Sie können sich On-Premise, also vor Ort im Unternehmen befinden, oder eben in der Cloud.

Datensicherheit und Compliance beginnen damit, sensible Daten zu erkennen und zu lokalisieren, bevor Hacker darauf aufmerksam werden. Ein umfassender Überblick über die sensiblen Daten sowie eine effiziente Klassifizierung sind somit unerlässlich. Die Erkennung der Daten folgt Mustern und Profilen. So ist es nicht besonders schwierig, Kreditkartendaten zu identifizieren, da sie ein bestimmtes Format aufweisen. Auch personenbezogene Daten spielen wegen der Datenschutzgrundverordnung (DSGVO) eine große Rolle. Die Search Engine der Ciphertrust Data Security Plattform des Technologieunternehmens Thales etwa erkennt sogar Daten in Fotos und Bildern und bringt entsprechende Profile und Klassifizierungsvorlagen mit.

Datenschutz durch Verschlüsselung

Im zweiten Schritt geht es um den eigentlichen Schutz der Daten. Sobald ein Unternehmen weiß, wo sich sensible Daten befinden, lassen sich Schutzmechanismen etablieren. Das Mittel der Wahl heißt in der Regel Verschlüsselung. Dabei sollten die kryptographischen Schlüssel idealerweise vom Unternehmen selbst gesichert, verwaltet und kontrolliert werden – was in der Cloud oftmals nicht funktioniert.

Unternehmen setzen verstärkt auf Cloud-Anbieter wie AWS oder Microsoft Azure und müssen sich dabei auf die Sicherheitsvorkehrungen der Provider verlassen. Mit einer Verschlüsselung fügen Sie der Datensicherheit eine weitere Schicht hinzu. So verlieren mögliche Sicherheitslücken in Cloud-Diensten ihren Schrecken, da die Daten im Falle eines Datenlecks nicht gelesen werden können.

Eine Verschlüsselung findet auf Dateiebene, auf Anwendungsebene oder in Datenbanken statt. Auch eine dynamische Datenmaskierung kann für verschiedene Datenschutz-Anwendungsfälle notwendig sein. In der Regel kommt eine symmetrische Verschlüsselung mit dem Algorithmus AES zum Einsatz, der als sicher und zukunftsfähig gilt. Schließlich sollen die Daten ja auch in fünf oder zehn Jahren noch sicher sein.

Key-Management als Schlüssel zum Erfolg

Letztendlich steht und fällt die Sicherheit der Verschlüsselung mit der Hoheit über die Schlüssel. Um allen Datensicherheitsrichtlinien zu entsprechen, müssen Unternehmen in der Lage sein, autorisierten und unautorisierten Zugriff auf Daten und kryptographische Schlüssel zu überwachen, zu erkennen und zu kontrollieren – über mehrere Cloud-Services und Hybrid-Cloud-Umgebungen hinweg. Einige Lösungen verfolgen einen datenorientierten Ansatz. Dabei werden die Daten an dem Ort verschlüsselt, an dem sie sich gerade befinden. Es steht also nicht der Versuch im Vordergrund, die Infrastruktur zu schützen, sondern die Daten selbst, deshalb datenorientierter Ansatz. Das können strukturierte Daten sein, die in Datenbanken oder Applikationen residieren, oder unstrukturierte Daten in Dateien und Verzeichnissen.

In der Cloud ist es kompliziert: Cloud-Anbieter ermöglichen die Verschlüsselung von bestimmten Services nur dann, wenn man die Verschlüsselung des Providers verwendet. Das ist an sich noch nicht schlimm. Entscheidend ist aber, dass dann auch das Key-Management des Providers übernommen werden muss. Die Schlüssel werden normalerweise in einem Key Vault (ähnlich einem Tresor) verwahrt, um sie in einer Hardware in der Cloud zu halten. Schlüssel in Software sind ohnehin wenig zeitgemäß.

Bring Your Own Key

Bring Your Own Key (BYOK) ist eine Erfindung der Hyperscaler. Geprägt hat Microsoft diesen Begriff. Die Idee dahinter ist, dass man seine Schlüssel selbst generiert und diese zum Cloud Service Provider hoch lädt. Der wird dort in einem Hardware-Security-Modul gehalten und lässt sich da nicht mehr rauskopieren. Ein entsprechendes Key Management kümmert sich um die Schlüssel und ist von der vom Provider kontrollierten Verschlüsselung getrennt. Was oft unter den Tisch fällt: Die Schlüssel haben ein Ablaufdatum. Ein entsprechendes Key-Lifecycle-Management ist bei den CSPs überhaupt nicht vorgesehen. Mit einem effizienten Key Management lässt sich dies sogar automatisieren.

Wasserdicht ist dieses Verfahren dennoch nicht. Der Cloud-Provider hat die Kontrolle über die Verschlüsselung und somit theoretisch die Möglichkeit, einen Masterkey zu generieren, mit dem sich die verschlüsselten Daten entschlüsseln lassen. Er hat außerdem die Kontrolle über die Hardware. Wenn Daten in der Cloud entschlüsselt werden, müssen der Schlüssel und die zu verarbeitenden Daten zwangsläufig in den Arbeitsspeicher des Servers kopiert werden. Wer Zugriff auf den Server hat, kann den Speicher auslesen und gezielt nach Schlüsseln suchen. So viel zur technischen Umsetzung, nun wird es durch die Gesetzgebung nicht einfacher.

Doppelte Verschlüsselung

Seit einem Urteil des Europäischen Gerichtshofs im Sommer 2020 ist das Privacy-Shield-Abkommen zwischen den USA und der EU hinfällig. Damit ist die Nutzung amerikanischer Cloud-Services rechtlich fragwürdig. Denn die Übertragung personenbezogener Daten in die USA genügt nicht den Anforderungen der europäischen DSGVO. Auch bei BYOK erfolgt die Speicherung der Schlüssel in der Cloud.

Ein Beispiel für eine Lösung dieses Problems sind Kooperationen: Microsoft arbeitet zusammen mit Thales an einer Lösung, um die Nutzung der Schlüssel in die Hände der Kunden zu legen. Das nennt sich dann Double Key Encryption (DKE): Der Schlüssel, den man beim CSP hinterlegt, wird dabei nochmals verschlüsselt mit einem zweiten Schlüssel, der bei dem Unternehmen selbst verbleibt. Die Dateien können somit prinzipiell vom Provider nicht mehr gelesen werden.

Quantencomputer und Verschlüsselung

Doch nicht nur aktuelle technische und rechtliche Herausforderungen gilt es zu meistern. Am Horizont tauchen die ersten Ansätze von Quantencomputern auf, die potenziell Verschlüsselungsalgorithmen unwirksam machen können. Für symmetrische Verschlüsselungsverfahren wie AES stellen Quantencomputer keine Bedrohung dar. Der exponentiell steigenden Rechenleistung lässt sich einfach mit längeren Schlüsseln begegnen. Anders sieht es bei unsymmetrischen Verfahren wie RSA aus. Diese basieren auf mathematischen Problemen wie Primfaktorzerlegung, in denen Quantencomputer besonders gut sind. Hier laufen bereits die Forschungen nach neuartigen Algorithmen. Insgesamt dürfte die Verschlüsselung durch Quantencomputing eher gestärkt als geschwächt werden.