Ende-zu-Ende-Verschlüsselung
Verschlüsselung ist nicht gleich Verschlüsselung
Cloud-Anwendungen sind in aller Munde. Dies gilt für Heimanwender wie Firmennutzer gleichermaßen. Die Vorteile liegen auf der einen Seite auf der Hand: Hochverfügbarkeit und Kostenersparnis. Der Betrieb eigener Server wird eingespart, der Installationsaufwand entfällt, Ausfälle werden durch redundante Systeme seitens der Cloud-Betreiber minimiert, und die eigenen Daten sind auf allen Geräten jederzeit abrufbar.
Auf der anderen Seite gibt es die Cloud-Skeptiker, und auch hier gibt es gute Argumente: Eine gute Internetverbindung ist stets erforderlich, ein Wechsel zwischen Cloud-Diensten ist oftmals beschwerlich, und: Die eigenen Daten sind für jeden jederzeit abrufbar. Die letzte Aussage mag überspitzt formuliert sein, Meldungen aus der Nachrichtenwelt zum Thema Edward Snowden und NSA lassen viele jedoch skeptisch und unsicher zurück. Als Experte auf dem Gebiet der IT-Sicherheit kann man festhalten: Die Skepsis ist nicht unberechtigt.
- Die wichtigsten Cloud-Zertifikate
Cloud-Zertifikate sollen den wild wuchernden Markt der Cloud-Dienstleister durchsichtiger machen und bei der Suche nach einem zuverlässigen Provider Unterstützung bieten. - EuroCloud SaaS Star Audit
EuroCloud ist ein Zusammenschluss europäischer Cloud-Anbieter und richtet sich mit seinem Zertifikat ausschließlich an Software-as-a-Service Anbieter. Der deutsche Ableger zertifiziert Unternehmen nach dem Standard "Euro Cloud SaaS Star Audit". - Cloud EcoSystem "Trust in Cloud"
Das SaaS-EcoSystem richtet sich vor allem an mittelständisch geprägte Unternehmen, das "Trust in Cloud"-Zertifikat soll sich als ein Qualitäts-Zertifikat für SaaS und Cloud-Lösungen etablieren. Auf Basis des Zertifikats sollen Nutzer die Möglichkeit erhalten Cloud-Lösungen objektiv vergleichen zu können. - TÜV Rheinland "Certified Cloud Service"
Der TÜV nimmt sich mit dem "Certified Cloud Service"neuerdings auch der Cloud an und hat dazu ein mächtiges Werkzeug für die Prüfung von Cloud-Services entwickelt. Beginnend mit einem "Cloud-Readiness Check" werden zunächst Sicherheit, Interoperabilität, Compliance und Datenschutz auf ihre Cloud-Tauglichkeit überprüft. - SAS 70 von AICPA
Eher in den USA als in Europa wird SAS 70 von AICPA verwendet. Die Zertifizierung SAS 70 testiert die Kontrolle über die unternehmenseigenen Steuerungsprozesse nach den Vorgaben des American Institute of Certified Public Accountants (AICPA). Die SAS-70-Zertifizierung kann auf zwei Arten erfolgen. Während die Typ-1-Zertifizierung nur eine Beschreibung der Kontrollmechanismen verlangt, werden bei Typ 2 auch die tatsächliche Umsetzung und die Effizienz der Maßnahmen im Unternehmen kontrolliert. - Safe Harbour
Safe Harbour ist eine Datenschutzvereinbarung zwischen der EU und den Vereinigten Staaten, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal in die USA zu übermitteln. Europäische Rechtsstandards werden von Unternehmen, die sich nach der Safe-Harbour-Regelung zertifizieren, voll akzeptiert und respektiert. - Cloud Experte
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen. - Trust in Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen. - German Cloud
Der Verband Cloud Ecosystem versucht Cloud-Anbieter, -Vermittler und -Nutzer zusammen zu bringen.
"Ich habe ja nichts zu verbergen"
Am Satz "Ich habe ja nichts zu verbergen" scheiden sich vermutlich die Geister der aktuellen IT-Ära. Dies gilt zumindest für den durchschnittlichen Privatanwender, bei deutschen Unternehmen finden zumindest die allgemeinen Datenschutzgesetze Anwendung. Unter anderem die Einhaltung des BDSG (Bundesdatenschutzgesetz) geht in vielen Unternehmen so weit, dass interne Richtlinien die Nutzung von Cloud-Diensten außerhalb Deutschlands zu bestimmten Zwecken schlicht verbieten. Im Gegensatz dazu veröffentlicht so mancher im Privatbereich ungebremst Fotos oder Meinungsaussagen in Social Networks, die zu einer Kündigung des Jobs oder Strafanzeigen führen.
Den Stellenwert der eigenen Privatsphäre muss letztendlich jeder für sich entscheiden. Solange andere nicht betroffen sind oder geschädigt werden, bleibt dies auch Sache des Einzelnen. Dennoch sollte sich jeder fragen, inwieweit ihm eine ungewollte Veröffentlichung von eigenen Daten aus bestimmten Cloud-Diensten "egal" ist. Als einfaches Beispiel seien die Fotos der letzten Familienfeier in der Cloud genannt, die nur hochgeladen wurden, um sie einfach mit der ganzen Familie teilen zu können. Auf diese Frage wird jeder eine andere Antwort geben. Andere Beispiele sind Cloud-Backups der letzten Steuererklärung, des Kaufvertrags für das neue Auto oder Ähnliches.
Verschlüsselt ja, aber wie?
Eine funktionierende IT-Sicherheit zu gewährleisten ist Hauptaufgabe der entsprechenden Anbieter von Web- und Cloud-Diensten. Hier gibt es diverse Standards, nach denen man sich richten muss, und zwar nicht nur auf dem Papier, sondern auch praktisch. Wer sich darauf als Anwender nicht verlassen will, setzt zusätzlich auf Verschlüsselung.
Es gibt viele Arten der Verschlüsselung, sie zu unterscheiden ist für den normalen Verbraucher meist unmöglich. Einige werden ohne Wissen automatisch genutzt. HTTPS-Verbindungen über das Transport Layer Security Protokoll (TLS, früher SSL) beispielsweise werden beim Homebanking oder Online-Shopping verwendet. Hierbei ist der Transportweg der Daten zum Server im Internet verschlüsselt. Dies ist glücklicherweise heute zum Quasi-Standard geworden, zumindest bei wichtigen Daten. Viele Internetnutzer sind hierzu sensibilisiert.
Doch was nützt die verschlüsselte Übertragung der Daten, wenn Hacker diese am Server durch eine Sicherheitslücke wieder abgreifen? Ein anderes Beispiel: Auch heute noch kann nicht sichergestellt werden, dass eine E-Mail über ausschließlich verschlüsselte Transportwege ihren Empfänger erreicht. Seit die großen Internet-Provider in Deutschland TLS zwangsweise als sichere Verbindung zwischen Mail-Clients (Desktop, mobil) und Mail-Servern durchgesetzt haben, ist der E-Mail-Verkehr in Deutschland zwar erheblich sicherer geworden, aber dies gilt nicht überall.
Für den Fall E-Mail existieren mindestens zwei gängige Lösungen, und dies schon ziemlich lange: S/MIME und PGP beziehungsweise OpenPGP. Hier spricht man von Ende-zu-Ende-Verschlüsselung. Der Sender einer E-Mail verschlüsselt diese, und nur der Empfänger kann sie entschlüsseln. Dies gilt zwar nur für den Nachrichteninhalt, nicht für die Metadaten (wie den Betreff, Mail-Adressen oder Zeitstempel), aber zumindest dieser wird so auch über unverschlüsselte Transportwege sicher geschützt. Eine digitale Signatur schützt die E-Mail zusätzlich vor Veränderung auf einem gegebenenfalls ungeschützten Transportweg.