Sicherheit in der Cloud und der Faktor Mensch

Gestern besuchte ich einen von der IHK Bonn/Rhein-Sieg organisierten Vortrag über Cloud und Datensicherheit – sowohl aus juristischer wie aus technischer Sicht. Hochinteressant und sehr niveauvoll!

Im ersten Teil stellte der Kölner Anwalt Christian Solmecke auf provokante und äußerst unterhaltsame Weise dar, wie nah am Rande der Illegalität sich ALLE deutschen Unternehmen derzeit bewegen. Denn seit der Kündigung des Safe Harbor Abkommens ist es nicht mehr zulässig, die Datenspeicherung in der Cloud außerhalb der EU für personenbezogene Daten zu nutzen – doch jeder Smartphone-Besitzer tut es notgedrungen, schon indem er die gängigen Kommunikations-Apps nutzt. Oder auch nur die Spracherkennung – der gesprochene Text wird per Internet an einen Server in den USA übermittelt und dort in Schrift umgewandelt – wissen Sie, ob er anschließend dauerhaft gespeichert wird??

Besonders amüsant war die Anekdote über Max Schrems, der mit seiner Sammelklage gegen facebook überhaupt erst das Safe-Harbor-Abkommen zu Fall brachte. Denn das irische Datenschutzbüro, welches facebook in Europa überwachen soll, ist mitnichten eine etablierte Behörde mit tausenden Mitarbeitern, sondern residiert im 1. Stock über diesem Supermarkt:

Irisches Datenschutzbüro
(Quelle: https://brianmlucey.wordpress.com/tag/data-protection/)

Aber auch bei einer Datenspeicherung in Deutschland oder in Europa gibt es massive Sicherheitsbedenken. Zwar lässt sich hier juristisch beim Thema Datenschutz alles sauber regeln. Dennoch bleibt das „Risiko Mensch“: trotz aller Verträge und Zusicherungen ist es prinzipiell immer möglich, dass jemand (zum Beispiel ein Mitarbeiter im Rechenzentrum) sich nicht an die Regeln hält und Datenklau betreibt. Geschäftliche Daten, Produktrezepturen, Krankenakten, Prozessakten – je sensibler und wertvoller diese Informationen sind, umso attraktiver ist der Zugriff und die Versuchung, hier kriminelle Energie zu investieren.

Zwar ist auch die Datenspeicherung im eigenen Firmenkeller nicht unbedingt sicherer – auch hier haben alle möglichen Leute Zugriff, vom Admin über den Putzdienst bis zum Hausmeister – und das Sicherheitsproblem der anderen Art ist sehr viel höher: dass ich nämlich selbst nicht mehr an meine Daten komme, z.B. wegen Festplatten-Crash.

Dennoch gingen wir angesichts der ungelösten juristischen und technischen Situation ziemlich ratlos in die Pause.

Sealed Cloud von Uniscon

Dies änderte sich mit dem zweiten Vortrag, als Dr. Ralf Rieken seine patentierte Lösung für eine technisch abhörsichere Cloud präsentierte.

Der „Risikofaktor Mensch“ lässt sich durch geeignete technische Maßnahmen ausschließen, d.h. mit der vom BMWi geförderten „Sealed Cloud“ lassen sich die Daten so verschlüsseln, dass der Cloud-Provider und seine Mitarbeiter prinzipiell nicht in der Lage sind, an die Daten heranzukommen.

Zur Zeit scheint es noch einige technische Einschränkungen zu geben bei dem Einsatz von Applikationen innerhalb der Sealed Cloud. So ist es z.B. noch nicht möglich, innerhalb der Sealed Cloud eine SAP Instanz zu installieren und zu betreiben.

Dennoch halte ich diesen technologischen Ansatz für hochinteressant und zukunftsweisend. Wir werden uns mit der Technologie auf jeden Fall näher befassen und ggf. in unser Beratungsportfolio mit aufnehmen. PriceWaterhouseCoopers (PwC) hat dies bereits getan und bietet in Kooperation mit fünf Marktführern im Bereich Cloud & Security eine vorvalidierte Cloud-Lösung an.

Wichtig ist nur, dass der Kunde geeignete Vorkehrungen trifft, um seinen „Ur“-Schlüssel zu sichern, den er beim Erstellen eines Kundenkontos einmalig erzeugt. Dieser darf weder in falsche Hände geraten – noch verloren werden, denn sonst ist die ganze schöne Sicherheitsarchitektur nichts wert. Hier müssen aus meiner Sicht dringend obligatorische organisatorische Verfahrensanweisungen definiert und vorgegeben werden. Ich halte es für zu riskant, einen möglicherweise wenig IT-affinen Kunden mit der Handhabung dieses für ihn extrem geschäftskritischen „Ur-Schlüssels“ alleinzulassen. Vorstellbar wäre beispielsweise, den Schlüssel in einem Umschlag versiegelt beim Notar zu hinterlegen.

Die staatlich verordnete Hintertür?

Der aktuelle brisante Konflikt zwischen Apple und dem FBI über das Handy des San-Bernardino-Attentäters zeigt den prinzipiellen Konflikt zwischen Datenschutz und Kriminalitätsbekämpfung an. Dieser geht in den USA zur Zeit ganz anders aus als in Deutschland:

Auch in der Diskussion am Abend kam die Frage auf, ob die Sealed Cloud nicht hochinteressant für eine kriminelle Nutzung sei?

Der pauschalen Auskunft von Herrn Dr. Rieken „die nehmen wir nicht als Kunden“ mag ich nicht so recht Glauben schenken. Denn die Sealed Cloud Technologie wird auch durchaus weiterlizenziert und von anderen Cloud-Providern bereits mit angeboten. Wie kann also ein krimineller Missbrauch verhindert werden? Sollte der Anbieter einen staatlich verordneten „Sonderschlüssel“ einprogrammieren? Wer kontrolliert wiederum diesen?

Das Sicherheitsproblem lässt sich deshalb so schwer lösen, weil nicht von vornherein klar ist, wem man sein Vertrauen schenkt. In Deutschland ist das Vertrauen in den Staat zur Zeit noch recht hoch – aber das Vertrauen in andere Staaten wie die USA hat nach den Skandalen der letzten Jahre bereits stark gelitten. Eine Technologie, die auch dann funktioniert, wenn man niemandem trauen muss, ist automatisch hochattraktiv für alle kriminellen Aktivitäten. Ein Dilemma, dem man nicht entkommen kann.

 

Update 18.2.: Silicon Valley erklärt US-Regierung den Krypto-Krieg

 

Kommentar verfassen