Sicheres Arbeiten in der Cloud

Ende-zu-Ende-Verschlüsselung beim Data-Sharing

Digitalisierung bringt Vorteile wie standortunabhängiges Arbeiten mit sich, bereitet vielen Unternehmen jedoch auch einiges an Kopfzerbrechen. Wie steht es um die Sicherheit der unternehmenseigenen Daten und welche Schutzmechanismen greifen bei Verlust von Mobiltelefon oder Tablet? Wir sprachen mit Volker Oboda, Geschäftsführer des Hamburger Unternehmens Teamdrive, über sicheres Arbeiten in der Cloud, Verschlüsselung und Datasharing.

„Auch die Speicherung von Daten in Deutschland bedeutet nicht automatisch Sicherheit: US-Unternehmen wie Amazon unterliegen immer noch dem Patriot Act, müssen also auf Verlangen der US-Regierung die Daten herausgeben", bemängelt Teamdrive-Chef Volker Oboda.

Herr Oboda, Ihr Unternehmen bietet eine Plattform für standortunabhängige Zusammenarbeit – verschlüsselt und datenschutzkonform. Wie hoch schätzen Sie die Bedeutung von Ende-zu-Ende-Verschlüsselung in Unternehmen ein?
Volker Oboda:
In Forschung und Entwicklung, wo sensible Daten synchronisiert werden müssen, ist die Nachfrage nach Ende-zu-Ende-Verschlüsselung unabhängig von der Branche hoch. Etliche Unternehmen kennen jedoch die Unterschied, zwischen den verschiedenen Verschlüsselungstechnologien nicht: Viele Anbieter behaupten, sicher zu sein, obwohl sie einen zentralen Schlüssel zum Entschlüsseln der Daten haben.

Können Sie dies näher erläutern?
Oboda:
Die reine Transportverschlüsselung SSL/HTTPS ist nicht ausreichend und laut Medienberichten bereits durch die NSA geknackt worden. Hier muss also genau hingeschaut werden. Auch die Speicherung von Daten in Deutschland bedeutet nicht automatisch Sicherheit: Amerikanische Unternehmen wie Amazon unterliegen immer noch dem Patriot Act, müssen also auf Verlangen der US-Regierung die Daten herausgeben. Hier bietet nur Ende-zu-Ende-Verschlüsselung ausreichenden Schutz.

Welche Arten der Verschlüsselung gibt es und was unterscheidet Ende-zu-Ende-Verschlüsselung davon?
Oboda:
Grundsätzlich gibt es drei bis vier gängige Verschlüsselungsarten und drei verschiedene Verschlüsselungsmethoden. Bei der Server-to-Server-Methode wird eine Nachricht unverschlüsselt zum Server A geschickt, der diese dann verschlüsselt und an Server B weiterleitet, bevor der sie entschlüsselt und unverschlüsselt an den Empfänger weiterleitet. Beim Client-to-Server-Verfahren wird eine Nachricht verschlüsselt an Server A verschickt, der sie empfängt, entschlüsselt und unverschlüsselt an Server B weiterleitet. Server B leitet die Nachricht dann entweder unverschlüsselt oder verschlüsselt an den Empfänger weiter.

Die Kombination aus Client-to-Server und Server-to-Server ist eine der am verbreitetsten Verschlüsselungsmethoden, deren größte Schwachstelle der Server ist: Eine Nachricht wird verschlüsselt an Server A geschickt. Dieser entschlüsselt die Nachricht und verschlüsselt sie vor dem Versand an Server B erneut. Server B entschlüsselt die Nachricht und kann sie nun entweder verschlüsselt oder unverschlüsselt an den Empfänger weiterleiten.

Beim Ende-zu-Ende-Verfahren hingegen versieht der Versender eine Nachricht mit einem Schlüssel, der nur dem Nachrichtenempfänger bekannt ist. Die Nachricht wird verschlüsselt an Server A geschickt. Dieser sendet die Nachricht an Server B weiter, Server B empfängt die Nachricht und schickt sie an den Empfänger weiter. Eigentlich ist bei dieser Art der Verschlüsselung nicht relevant, ob die Nachrichtenübertragung zwischen Server A und B verschlüsselt oder unverschlüsselt stattfindet.

Gibt es nicht auch symmetrische und asymmetrische Verschlüsselung?
Oboda:
Richtig. Bei der asymmetrischen besitzen alle Teilnehmer zwei Schlüssel, einen privaten und einen öffentlichen. Der Nachrichtensender verschlüsselt seine Nachrichten mit dem öffentlichen Schlüssel des Nachrichtenempfängers. Entschlüsselt wird sie dann mit dem privaten Key des Nachrichtenempfängers.  Bei der symmetrischen Verschlüsselung existiert ein Schlüssel, der sowohl dem Nachrichtensender als auch dem Empfänger bekannt ist. Bei der hybriden Verschlüsselung werden asymmetrische und symmetrische Schlüssel kombiniert.

Welches Verfahren nutzen Sie für Ihr Produkt?
Oboda:
Teamdrive ist im Gegensatz zu anderen Sychronisationssoftware-Produkten sicherer, weil alle Dateien bereits vor dem Upload auf dem Rechner verschlüsselt werden. Wenn die Software installiert ist, wird ein öffentlich-privates RSA-2048/3072-Schlüsselpaar für jede Installation erstellt. Diese Schlüssel werden für die sichere Übertragung von Teamdrive-Einladungen verwendet. Der öffentliche Schlüssel wird auf einem von uns betriebenen zentralen Server gespeichert. Unsere Software verschlüsselt Dateien auf dem Computer mit dem AES-256-Algorithmus, bevor sie hochgeladen werden. Ein separater symmetrischer AES-256-Schlüssel wird für jeden Space erstellt. Sobald ein neues Gruppenmitglied eingeladen wird, wird der symmetrische Schlüssel des Spaces mit dem öffentlichen Schlüssel des Benutzers verschlüsselt und eine Einladung versendet. Die Zugangsdaten für die Cloud-Hosting-Server werden auch in verschlüsselter Form gesendet.

Was passiert eigentlich mit den bei Ihnen hochgeladenen Daten, wenn ein Vertrag endet?
Oboda:
Daten von Kunden ohne Auftragsdatenverarbeitungsvertrag werden innerhalb von 30 Tagen endgültig von unseren Servern gelöscht und die Löschung den Kunden bestätigt. Unsere Kunden haben auch die Möglichkeit, die Daten selber endgültig zu löschen. Spaces haben keinen Namen wie „Kündigung Müller“, stattdessen wird auf dem Server nur eine ID hinterlegt. Damit wird verhindert, dass nur durch einen Namen auf den Inhalt von Verzeichnissen Rückschlüsse gezogen werden können.

Sie geben Ihren Kunden auch Empfehlungen zur sicheren Nutzung von Rechnern für Mitarbeiter. Wie sehen diese aus?
Oboda:
Es gibt verschiedene Punkte, auf die wir eingehen. Etwa die Einrichtung des Anwendungsschutzes beim Smartphone oder Tablet mit einer PIN oder einem Passwort. Für Desktop-Rechner empfehlen wir beispielsweise die Hardware-Verschlüsselung der Festplatte oder die Software-Verschlüsselung einer Partition einer Festplatte. Auch für USB-Sticks gilt: Verschlüsselung der Hardware oder eine Software-Verschlüsselung von Teilen des Sticks. Wir geben außerdem Hinweise zur Speicherung und Löschung von Primär- und Sekundärdaten – und natürlich den Rat, private und geschäftliche Daten in voneinander getrennten Spaces abzulegen.

Die Sync-Software ist auch für Android und iOS verfügbar, beides amerikanische Anbieter: Kämen die theoretisch an die Daten ran?
Oboda:
Theoretisch ist es möglich, zurzeit aber ist das auszuschließen: Die Daten müssten nochmals übertragen werden, das würde auffallen. Wenn jemand das Gerät am Flughafen in die Hände bekommt, ist das eher möglich.

Würde TTIP, sollte es beschlossen werden, auch Teamdrive betreffen?
Oboda:
Teamdrive ist ja nicht im Besitz der Schlüssel für die Dateien, die hat nur der Enduser. Grundsätzlich kann unsere Software nur AES-256-Bit-verschlüsselte Daten ausliefern, dies aber auch nur mit einem Gerichtsbeschluss. 256 BIT AES gilt als sicher. Unsere AGB verbieten den Einsatz für kriminelle Handlungen oder deren Vorbereitung, auch der Betrieb von Atomkraftwerken oder Flugsicherung ist untersagt. Wir als Anbieter können von den Strafverfolgungsbehörden aufgefordert werden, die Daten der User zu löschen und den Zugang zu sperren.

Wer zählt denn zu Ihren Kunden?
Oboda:
Wir haben einige amerikanische Anwaltskanzleien, die zusätzlich auf der Speicherung ihrer Daten in Europa bestehen. Insbesondere bei Rechtsanwälten und Steuerberatern sind es häufig personenbezogene Daten, die synchronisiert werden müssen. Bei dieser Anwendergruppe handelt es sich um berufliche Geheimnisträger, die der Schweigepflicht unterliegen und ihre Daten vor dem unberechtigten Zugriff Dritter besonders schützen müssen. Zudem verwendet die amerikanische Botschaft in Südafrika Teamdrive, um sicher mit amerikanischen Unternehmen in Afrika Daten auszutauschen.

Und deutsche Mittelständler?
Oboda:
Hier zählt die Maha Maschinenbau Haldenwang GmbH, ein weltweit führender Anbieter von elektronischer Bremsprüftechnik, zu unseren Kunden. Das Unternehmen hat sich für uns entschieden, weil wir die einzige App mit Ende-zu-Ende-Verschlüsselung für sehr vertrauliche Inhalte anbieten.

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok