Schon wieder das Thema Cloud-Verschlüsselung, werden sich manche bei diesem Beitrag denken. Ja, schon wieder, aber aus aktuellem Anlass und aus gutem Grund. Nicht nur die Experton Group bringt das Thema Cloud-Verschlüsselung mehrfach auf die Tagesordnung. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) behandelt die notwendige Verschlüsselung der Cloud-Daten in der aktuellen BSI-Publikation “Sichere Nutzung von Cloud-Diensten”. Mehr noch: Die Aufsichtsbehörden für den Datenschutz haben sogar ihre bestehende “Orientierungshilfe Cloud Computing” überarbeitet und in einer neuen Version veröffentlicht. Dabei wird auch die Bedeutung der Cloud-Verschlüsselung unterstrichen. Einer der wesentlichen Gründe, sich erneut und immer wieder mit Cloud-Verschlüsselung zu befassen, ist, dass die Verschlüsselung in der Cloud immer neuen Risiken standhalten muss. Als Beispiel nennen die Aufsichtsbehörden die bekannt gewordenen Überwachungsmaßnahmen verschiedener Nachrichtendienste.
Doch auch schon aus grundsätzlichen Datenschutzaspekten gilt es, die Verschlüsselung auch und gerade in der Cloud zu betrachten. Wichtig ist es zuerst einmal zu verstehen, dass der Datenschutz auch für verschlüsselte Daten gilt, zumal nicht ausgeschlossen werden kann, dass ein Angreifer mit entsprechenden Mitteln die Verschlüsselung bricht. Das gilt insbesondere dann, wenn die Verschlüsselung nicht dem Stand der Technik entspricht, der Verschlüsselungsalgorithmus also veraltet und unsicher ist. “Es kann nicht oft genug gesagt werden, dass auch die Verschlüsselung ein Verfallsdatum haben kann, wenn nämlich die Methoden zur unerlaubten Entschlüsselung entsprechend besser geworden sind”, sagt Oliver Schonschek, Research Fellow und Security Lead bei der Experton Group.
Noch kritischer steht es um die Verschlüsselung in der Cloud, wenn die Schlüsselvergabe und die Schlüsselverwaltung nicht sicher genug erfolgt. Die Verschlüsselung kann keinen Schutz gegen einen Dritten bieten, wenn dieser Dritte an den Schlüssel kommt oder gar die Schlüsselhinterlegung bei dem Dritten erfolgt.
Wie die Aufsichtsbehörden deutlich machen, kommt es auf eine Ende-zu-Ende-Verschlüsselung an und damit auf eine Verschlüsselung vor der Übertragung in die Cloud, nicht nur beim Transport und bei der Speicherung. Eine Verschlüsselung unabhängig von dem jeweiligen Cloud-Anbieter empfehlen die Aufsichtsbehörden gerade bei der so weit verbreiteten Cloud-Nutzungsform Cloud-Storage. Wie der Cloud Vendor Benchmark der Experton Group zeigt, stehen hierfür eine Reihe guter Lösungen auf dem deutschen und Schweizer Markt zur Verfügung.
Neben den Cloud-Nutzern, an die sich die neue Orientierungshilfe Cloud Computing der Datenschutz-Aufsichtsbehörden richtet, sollten sich auch die Cloud-Provider angesprochen fühlen. “Sie sollten den Cloud-Nutzern als ihren Kunden eine von ihnen unabhängige Verschlüsselung empfehlen, nicht als Ausdruck des Zweifels, dass die eigene Datensicherheit nicht stimmt oder nicht ausreicht. Vielmehr ist es ein Zeichen von Marktorientierung und Kundenservice, wenn die Cloud-Nutzer als Kunden der Provider in der Umsetzung ihrer Datenschutzmaßnahmen unterstützt werden”, kommentiert Oliver Schonschek. Zweifellos helfen Maßnahmen zur Optimierung der Cloud-Verschlüsselung auch bei der Steigerung des Cloud-Business, woran einem Cloud-Provider naturgemäß gelegen ist. Cloud-Verschlüsselung sollte also als einer der Motoren des Cloud-Business verstanden werden, in einem so datenschutzsensiblen Markt wie Deutschland und der Schweiz.