11.09.2014 (eh)
4.3 von 5, (4 Bewertungen)

Trend Micro: Schlüsselverwaltung gehört nicht in Cloud-Speicher

Cloud hat speziell in den letzten Jahren den Schritt vom einstigen Hype-Thema zur nutzbringenden Technologie vollzogen. Cloud ist in den Köpfen der IT-Verantwortlichen und in den Rechenzentren angekommen. Doch im Jahr zwei nach Whistleblower Edward Snowden zeigt sich auch: Ohne Verschlüsselung darf es eigentlich nicht gehen. Das Thema Security nimmt berechtigerweise einen immer höheren Stellenwert ein. speicherguide.de sprach über dieses Thema mit Udo Schneider, Security Evangelist DACH bei Trend Micro Deutschland.

  Wenn es um Cloud und Verschlüsselung geht – denken Ihrer Erfahrung nach die Administratoren schon strategisch für ihr Unternehmen? Oder noch zu punktuell?

Udo Schneider, Security Evangelist DACH, Trend Micro DeutschlandUdo Schneider, Security Evangelist DACH, Trend Micro DeutschlandSchneider: Auch wenn man im Nachgang der NSA-Affäre davon ausgehen sollte, dass es eine erhöhte Nachfrage nach Verschlüsselung gibt, entspricht dies leider kaum der Realität. Selbst wenn über den Einsatz von Verschlüsselungstechnologien nachgedacht wird, so nur punktuell.

  Und was bedeutet das in der Praxis?

Schneider: Das heißt, dass die »einfachen« Fälle – zum Beispiel Festplatten- oder File&Folder-Verschlüsselung – durchaus angegangen werden. Aber schon bei E-Mail wird es hakelig. Dies ist unter anderem natürlich auch darin bedingt, dass das Versenden von verschlüsselten E-Mails (zumindest bei S/MIMS) erfordert, dass der Empfänger sich auch um seine Sicherheit Sorgen macht, und entsprechend vorsorgt. Gänzlich vorbei ist es meistens beim internen Datenaustausch oder über externe Dienstleister.

  Werden bei Bedarf nur Dateien/Files/Dokumente verschlüsselt? Oder auch schon die interne Netzwerkkommunikation in Unternehmen? Kümmern sich Unternehmen verstärkt um verschlüsselte E-Mail-Kommunikation – oder ist das kaum ein Thema trotz Edward Snowden?

Schneider: Wie schon gesagt: File&Folder ist »einfach« – E-Mail ist schon mit größeren Problemen verbunden. Die durchgehende Verschlüsselung internen Datenverkehrs (interne VPNs) ist die große Ausnahme. Viele IT-Abteilungen halten die logische Trennung von Netzwerksegmenten via VLAN für ausreichend. Dies erlaubt zwar eine (oberflächliche) Trennung, bietet aber keinen Schutz beim Abfangen/Ändern von Netzwerkverkehr.

  Wenn sich Unternehmen für Verschlüsselung interessieren – müssen Sie noch beweisen, dass es funktioniert? Werden Best-Practises angefordert/verlangt?

Schneider: Dass Verschlüsselung »funktioniert« (also die eigentlichen Algorithmen und Verfahren). wird heute nicht mehr in Frage gestellt. Vielmehr sind Vorgehensweisen bei der Einführung bzw. dem effizienten Gebrauch von Verschlüsselung, insbesondere Erfahrungen beim Kompromiss zwischen Sicherheit und Komfort, gefragt.

  Können Sie in Ihrem Geschäftsumfeld erkennen, dass seit der Snowden-Affäre Risikoerwägungen viele Unternehmen noch davon abhalten, mehr Computing-Ressourcen und Geschäftsdaten in die Cloud zu verlagern?

Schneider: Einen generellen Trend, nach der Snowden-Affäre keine bzw. weniger Prozesse in die Cloud zu verlagern bzw. diese sogar wieder zurück ins eigene Rechenzentrum zu verlagern, sehen wir nicht. Was wir hingegen sehr massiv feststellen, sind Nachfragen nach der Art und Weise der Verarbeitung der Daten bzw. der Lokation der Rechenzentren inklusive der juristischen Rahmenbedingungen und Beteiligungsdetails des Betreibers.

  Sie haben also das Gefühl, dass Unternehmen – wenn sie sich mit der Cloud beschäftigen – verstärkt europäische/deutsche Cloud-Anbieter/Hoster in Betracht ziehen?

Schneider: Natürlich ist die Nachfrage nach einer »deutschen« bzw. »europäischen« Cloud im Moment sehr omnipräsent. In Projekten formulieren Kunden aber häufig sehr konkret: »kein amerikanisches RZ; kein amerikanischer Betreiber; keine amerikanische Beteiligung«. Das heißt auch, es muss nicht alles europäisch bzw. deutsch sein. Man muss nur klar kommunizieren, »wo« das RZ steht, »wer« das RZ betreibt (die konkrete juristische Person), und evtl. welche Rechtssysteme durch Beteiligungen am RZ-Betreiber evtl. zur Anwendung kommen. In einigen wenigen Fällen hatten wir außerdem sogar Nachfragen nach den Nationalitäten der Mitarbeiter, die in den RZs Administrationsaufgaben wahrnehmen.
Zusammenfassend ist es also weniger eine Anforderung nach einer »deutschen« oder »europäischen« Cloud. Vielmehr ist hier die offene und transparente Kommunikation der Standorte und rechtlichen Implikationen gefragt.

  Auf welche Entwicklungen sollten kleinere und mittelständische Unternehmen (KMUs), wenn sie sich mit Cloud und Verschlüsselung befassen, besonders achten?

Schneider: Gerade KMUs sollten bei »zu einfachen« Angeboten die technischen und rechtlichen Rahmenbedingungen genau anschauen. Viele Cloud-Storage-Provider bieten zum Beispiel inzwischen »Verschlüsselung auf Knopfdruck«, ohne dass sich das Unternehmen Gedanken um die Schlüsselverwaltung machen muss. Auf den ersten Blick ist dies natürlich sehr verlockend – hat allerdings entscheidende Nachteile. Die Kombination von Schlüsselverwaltung und Verschlüsselung beim Provider ist einfach zu nutzen, schützt aber nur vor dem Fall, dass jemand in das Rechenzentrum des Providers einbricht und mit entwendeten Festplatten etwas Sinnvolles anfangen kann. Greift hingegen zum Beispiel ein Mitarbeiter des Providers auf die Daten zu, so hat dieser (dank der »automatischen« Schlüsselverwaltung) auch Zugriff auf die entschlüsselten Daten.
Sind die Daten so sensibel, dass keine Dritter Zugriff haben darf, so bedarf es einer Verschlüsselung der Daten am Client »vor« dem Transfer in die Cloud. Alternativ besteht auch die Möglichkeit, die Schlüsselverwaltung unabhängig vom Cloud-Storage zu betreiben. Ob die Schlüsselverwaltung nun on-premise oder als (Cloud-)Dienst genutzt wird, ist dabei sekundär. Hauptsache, die Schlüsselverwaltung ist disjunkt zum Cloud-Speicher.

.