Ja zur Cloud-Verschlüsselung, nicht nur aus aktuellem Anlass

Trends

Wenn Daten in der Cloud sind, ist Verschlüsselung unabdingbar, meint Oliver Schonschek, Research Fellow bei der Experton Group AG.

Es folgt die Einschätzung von Oliver Schonschek Research Fellow bei der Experton Group AG: Die deutschen Aufsichtsbehörden für den Datenschutz haben eine neue Orientierungshilfe für Cloud Computing veröffentlicht, die insbesondere die Pflichten und notwendigen Schutzmaßnahmen auf Nutzerseite betont. Dazu gehört auch die nutzerseitige Verschlüsselung der Cloud-Daten, die trotz NSA-Affäre immer noch zu kurz kommt. An passenden Verschlüsselungslösungen mangelt es nicht, wie der Cloud Vendor Benchmark gezeigt hat.

Auch wenn die neue Orientierungshilfe Cloud Computing der deutschen Aufsichtsbehörden für den Datenschutz die Pflichten und Aufgaben des Cloud-Nutzers in den Fokus stellt, sind auch die Cloud-Provider gefragt, den Datenschutz in der Cloud zu verbessern. Dazu gehört das Angebot oder zumindest die Empfehlung einer Cloud-Verschlüsselung, die ganz in Händen des Nutzers liegt.

„Schon wieder das Thema Cloud-Verschlüsselung“, werden sich manche Leserinnen und Leser bei diesem Beitrag denken. Ja, schon wieder, aber aus aktuellem Anlass und aus gutem Grund. Nicht nur die Experton Group bringt das Thema Cloud-Verschlüsselung mehrfach auf die Tagesordnung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) behandelt die notwendige Verschlüsselung der Cloud-Daten in der aktuellen BSI-Publikation “Sichere Nutzung von Cloud-Diensten”. Mehr noch: Die Aufsichtsbehörden für den Datenschutz haben sogar ihre bestehende “Orientierungshilfe Cloud Computing” überarbeitet und in einer neuen Version veröffentlicht. Dabei wird auch die Bedeutung der Cloud-Verschlüsselung unterstrichen. Einer der wesentlichen Gründe, sich erneut und immer wieder mit Cloud-Verschlüsselung zu befassen, ist, dass die Verschlüsselung in der Cloud immer neuen Risiken standhalten muss. Als Beispiel nennen die Aufsichtsbehörden die bekannt gewordenen Überwachungsmaßnahmen verschiedener Nachrichtendienste.

Doch auch schon aus grundsätzlichen Datenschutzaspekten gilt es, die Verschlüsselung auch und gerade in der Cloud zu betrachten. Wichtig ist es zuerst einmal zu verstehen, dass der Datenschutz auch für verschlüsselte Daten gilt, zumal nicht ausgeschlossen werden kann, dass ein Angreifer mit entsprechenden Mitteln die Verschlüsselung bricht. Das gilt insbesondere dann, wenn die Verschlüsselung nicht dem Stand der Technik entspricht, der Verschlüsselungsalgorithmus also veraltet und unsicher ist. Es kann nicht oft genug gesagt werden, dass auch die Verschlüsselung ein Verfallsdatum haben kann, wenn nämlich die Methoden zur unerlaubten Entschlüsselung entsprechend besser geworden sind.

Noch kritischer steht es um die Verschlüsselung in der Cloud (und anderswo), wenn die Schlüsselvergabe und die Schlüsselverwaltung nicht sicher genug erfolgt. Die Verschlüsselung kann keinen Schutz gegen einen Dritten bieten, wenn dieser Dritte an den Schlüssel kommt oder gar die Schlüsselhinterlegung bei dem Dritten erfolgt.

Wie die Aufsichtsbehörden deutlich machen, kommt es auf eine Ende-zu-Ende-Verschlüsselung an und damit auf eine Verschlüsselung vor der Übertragung in die Cloud, nicht nur beim Transport und bei der Speicherung. Eine Verschlüsselung unabhängig von dem jeweiligen Cloud-Anbieter empfehlen die Aufsichtsbehörden gerade bei der so weit verbreiteten Cloud-Nutzungsform Cloud-Storage. Wie der Cloud Vendor Benchmark der Experton Group zeigt, stehen hierfür eine Reihe guter Lösungen auf dem deutschen und Schweizer Markt zur Verfügung.

Neben den Cloud-Nutzern, an die sich die neue Orientierungshilfe Cloud Computing der Datenschutz-Aufsichtsbehörden richtet, sollten sich auch die Cloud-Provider angesprochen fühlen. Sie sollten den Cloud-Nutzern als ihren Kunden eine von ihnen unabhängige Verschlüsselung empfehlen, nicht als Ausdruck des Zweifels, dass die eigene Datensicherheit nicht stimmt oder nicht ausreicht. Vielmehr ist es ein Zeichen von Marktorientierung und Kundenservice, wenn die Cloud-Nutzer als Kunden der Provider in der Umsetzung ihrer Datenschutzmaßnahmen unterstützt werden. Zweifellos helfen Maßnahmen zur Optimierung der Cloud-Verschlüsselung auch bei der Steigerung des Cloud-Business, woran einem Cloud-Provider naturgemäß gelegen ist. Cloud-Verschlüsselung sollte also als einer der Motoren des Cloud-Business verstanden werden, in einem so datenschutzsensiblen Markt wie Deutschland und der Schweiz.