Eine Idee für Datensicherheit in der Cloud
Was Absicherung in der Cloud abgespeicherter Daten gegen unberechtigten Zugriff betrifft, so sagt 2011 Oliver Hamel, NNT Communications:... Datensicherheit ist ein ganz großer Hemmschuh für viele. Das gilt insbesondere für Produktivsysteme. Wir versuchen das Thema für unsere Kunden so transparent wie möglich zu machen. So sagen wir den Unternehmen genau, wo Ihre Daten gespeichert werden, wie sie übertragen, und wo sie entsprechend sicher auch für lange Zeiträume archiviert werden. Diese Verfahren sind bei uns europaweit nach der ISO-Norm 27001 für Informationssicherheitsmanagement zertifiziert, um das den Kunden auch belegen zu können.
... Alle Cloud-Lösungen kranken an den sogenannten Service Level Agreements (SLA). Die sind nicht nur schwer zu definieren, sondern lassen sich auch noch nicht vollständig überwachen. Dort muss noch einiges getan werden, um Sicherheit zu geben und damit das Vertrauen der Unternehmen zu gewinnen.
Führt man sich vor Augen, dass in der Cloud abgespeicherte Daten nicht nur juristisch sondern auch de facto absolut sicher gegen unberechtigten Zugriff durch Kriminelle sein sollten, so kommt man unweigerlich zur Ansicht, dass man sie dem Storage Provider gar nicht in einer durch ihn lesbaren (oder auch nur potentiell mit viel Aufwand vielleicht doch entschlüsselbaren) Form anvertrauen sollte.
Zukunftsmusik: Es könnte gut sein, dass sich hier irgendwann mal ein 3-Schlüssel-Prinzip folgender Art durchsetzt (natürlich erst dann, wenn geeignete Standards vorliegen und allgemein unterstützt werden):
Es wäre denkbar, an der Schnittstelle zwischen Dateneigentümer und Cloud Speicher (noch im Rechner des Eigentümers der Daten) einen Controller einzusetzen, in dem sich ein passwortgeschützes Verfahren konfigurieren lässt, welches alle außerhalb des Unternehmens abzuspeichernden Daten
- zunächst verschlüsselt,
- dann reißverschlussartig in zwei Teile zerlegt,
- und diese beiden Teile dann ganz grundsätzlich nur unterschiedlichen Cloud Storage Providern anvertraut.
Solange noch fehlende Standards keine solche Lösung unterstützen, könnte man zumindestens die durch die reißverschlussartige Zerlegung entstehenden beiden Teile unter verschiedenem Schlüssel beim selben Provider ablegen. Die Schlüssel für beide Teile aus dem ersten (dem applikationslogischen) abzuleiten wäre Aufgabe des Controllers, der als Gateway-Rechner im Hause des Eigentümers der Daten arbeitet.
Personen kennen diese Schlüssel nicht, und so kann man sie — nur für den Fall, dass der Controller durch einen neuen ersetzt werden muss — sicher in einem Safe aufbewahren.
Lese auch:
- Virtuelle Server schnell gehackt
- Geheimdienste hebeln Verschlüsselungssysteme im Internet aus
- Das HPI realisiert (in etwa) die oben beschriebene Idee: [sep 2013]
- Den Ansatz selbstverständlich zu machen ist wichtig, da ...
Auch IBM hat einen Ansatz (ICStore: Cloud of Clouds) entwickelt, mit dessen Hilfe — für allen Anwendungscode völlig transparent — die Daten über gleich mehrere Cloud Storage Provider hinweg verteilt sein können.
Siehe aber auch IBMs Direct Link Angebot.
stw5135CDD — Cloud . Daten . Datensicherheit — News?
Mehr + B G E + S H A + More