Diesen Gastbeitrag aus dem Digital Society Report schreibt Felix Walker:

Privat benutzen wir sie alle schon lange die Cloud; Googles Gmail, Facebook oder der Datenspeicherdienst Dropbox sind Beispiele für populäre Cloud-Dienste, die von Millionen von Anwendern seit Jahren benutzt werden. Wenn es Unternehmen betrifft, geht Cloud-Computing allerdings viel weiter: Da werden aus der Cloud ganze IT-Infrastrukturen zur Verfügung gestellt. Bei vielen Unternehmen hat die Cloud aber immer noch ein Vertrauensproblem. Neue Technologien und Ideen werden das ändern.

Cloud-Computing als Konzept begeistert die meisten Unternehmen, weil es enorme Vorteile bringen kann: Wer seine IT-Infrastruktur von der Wolke liefern lässt, kann sich auf sein Kerngeschäft konzentrieren, statt sich mit Computerproblemen herumzuschlagen. Über all diesen Vorteilen schwebt allerdings bei vielen Unternehmern die Unsicherheit über die Datensicherheit. Eine deutsche Studie zeigt, dass sechs von zehn Unternehmern an der Sicherheit  der Cloud-Dienste zweifeln. Das verwundert nicht: Bis vor kurzem wurden vertrauliche Geschäftsdaten meistens in den eigenen vier Wänden gespeichert und hinter Schloss und Riegel gehalten, um jeglichen unbefugten Zugriff zu verunmöglichen. Die schnell um sich greifende digitale Transformation im Geschäftsleben hat dazu geführt, dass dieses Sicherheitskonzept oft nicht mehr funktioniert: Kollaboration –  zum Beispiel mit externen Dienstleistern – sowie die zunehmende  Mobilität der Mitarbeiter sind nur zwei Realitäten, die hervorragend mit Cloud-Computing zusammengehen.

Tatsächlich gibt es verschieden Ansatzpunkte, die Cloud so sicher wie möglich zu machen. Zahlreiche Unternehmen arbeiten mit einem Hybrid-Cloud-Modell. Auf diese Weise können sensible Daten in der eigenen, privaten Cloud gespeichert werden, während die anderen Dateien in der Public-Cloud abgelegt werden. Die beiden Systeme sind klar getrennt. Der Aufwand steigt also an.

Verbreitet angewendet wird auch auch die Verschlüsselung der Daten, bevor sie in der Public-Cloud gespeichert werden. Das hat aber klare Nachteile, was den Zugriff  anderer Nutzer auf die Daten und auf die entsprechenden Schlüssel betrifft.

Ein deutsches Software-Unternehmen hat nun in Zusammenarbeit mit IBM eine Möglichkeit gefunden, mit der sich diese Nachteile eliminieren lassen. Das eperi Gateway verschlüsselt Daten, bevor sie in der Cloud verarbeitet werden und entschlüsselt sie wieder, wenn der Nutzer darauf zugreift. Auf diese Weise werden ausserhalb des eigenen IT-Systems nur verschlüsselte Daten gespeichert und übertragen, wie der Gründer und Geschäftsführer von eperi auf clouikon.de erklärt:

“Im eigenen Unternehmen sind die Daten dagegen wie gewohnt frei abrufbar – an eingespielten Arbeitsabläufen ändert sich also nichts. Auch die kryptographischen Schlüssel verlassen die eigene Unternehmensumgebung nicht. Damit behält der Nutzer des eperi Gateway hundertprozentige Kontrolle darüber, wer seine Daten lesen kann. Selbst wenn ein Angreifer Daten stehlen kann, sind diese ohne den Schlüssel des Gateway-Nutzers wertlos – sie sind nicht lesbar. […] Die Sicherheit der Lösung ergibt sich nicht aus der Geheimhaltung des Algorithmus, sondern aus der Geheimhaltung des kryptographischen Schlüsselmaterials – und das erzeugt jeder Kunde selbst. […] Das eperi Gateway ist einer herkömmlichen Verschlüsselung damit weit überlegen. So bieten etwa Transportverschlüsselungen wie SSL nur Schutz während der Übertragung der Daten. Am Endpunkt werden sie wieder entschlüsselt – und sind für externe Administratoren lesbar. Gleiches gilt auch für Festplattenverschlüsselung, die vor Hardwarediebstahl schützt. Hier sind während des Betriebs die Daten entschlüsselt und so Externen zugänglich. Das eperi Gateway umgeht diese Schwachstellen, indem es nur innerhalb des eigenen Unternehmens unverschlüsselte Daten bereitstellt. Egal, über welchen Kanal ein Angreifer die Daten stiehlt – befindet er sich außerhalb der Unternehmensstrukturen, sieht er nur Datenmüll.“

Dieser Ansatz scheint uns vielversprechend zu sein – auch der Faktor Mensch als Risiko hat hier weniger Gewicht, als bei anderen Lösungen: Sogar Cloud-Administratoren, die Zugang zur Datenbank und zur entsprechenden Anwendung haben, sehen ausserhalb des eigenen IT-Systems nur unlesbare Informationen. Das ist wichtig; bekanntlich sitzt der grösste Risikofaktor immer noch vor dem Bildschirm.