Dr. Hubert Jäger von Uniscon über BYOK-Irrtümer

Videoblog: „BYOK ist leider kein Cloud-Daten-Allheilmittel“

Dieses Videogespräch habe ich mit Dr. Hubert Jäger von der Firma Uniscon geführt. Dabei geht es um vorherrschende BYOK-Irrtümer (Bring Your Own Key) und wie die Sealed Plattform seiner Firma helfen kann, Cloud Computing ein gutes Stück sicherer zu machen.

Life-Hacking auf der it-sa: So unsicher sind Cloud-Daten

Die Cloud kämpft nach wie vor mit einer Reihe von Vorurteilen, darunter auch mit der Annahme, dass Daten innerhalb einer Cloud-Umgebung nur dann sicher seien, wenn man die eigenen Schlüssel mitbringt. Dieser Grundsatz (der auch unter dem Akronym BYOK (Bring Your Own Key) bekannt ist) weist allerdings eine erhebliche Schwachstelle auf: Man kann mit relativ geringem Aufwand an die für das Entschlüsseln der Daten notwendigen Schlüssel herankommen. Hierfür muss lediglich ein sogenannter „Memory Dump“ erstellt werden, der es erlaubt, mit etwas technischem Verständnis und den richtigen Tools die Schlüssel zu extrahieren und zu missbrauchen.

Die Uniscon Sealed Plattform schützt Cloud-Daten vor fremden Zugriffen

Sieht man sich die DSGVO genauer an, so fällt unter anderem Artikel 5 auf, der unter dem Punkt 1c das Prinzip der Datenminimierung genauer beschreibt. Die Forderung hierbei lautet, dass die Erhebung und Verarbeitung personenbezogener Daten stets zweckgebunden sein muss. Gewährt man einem IT-Admin von Cloud-Servern allerdings weitergehende Rechte, als diese für das Erfüllen seiner Aufgaben notwendig sind (wie zum Beispiel das Erstellen eines Memory Dump), verstößt man nicht nur gegen die DSGVO, sondern ermöglicht auch ein unsicheres Einfallstor in die Cloud-Umgebung.

Genau an dieser Stelle kommt die Sealed Plattform ins Spiel. Auf Basis dieser Uniscon-Lösung kann man den IT-Administrator einer Cloud-Infrastruktur in seinen Rechten so weit einschränken, dass das Prinzip der Datenminimierung eingehalten werden kann.

So funktioniert die Sealed Plattform im Falle eines versuchten Datenklaus

Sollte trotz eingeschränkter Adminrechte und sonstiger Sicherheitsmaßnahmen ein Angriffsversuch auf die Cloud-Daten initiiert werden, sucht die Uniscon Sealed Plattform mit vier geeigneten Maßnahmen, diesen unliebsamen Hacking-Versuch zu unterbinden und die Daten zu schützen:

Mit dem Data Clean-Up werden im Falle eines Angriffs die Daten innerhalb einer sogenanten Data Clean-Up Area präventiv gelöscht. Dort befinden sich auch die Schlüssel, womit auch diese im Angriffsfall gelöscht werden, sodass die Daten erst gar nicht entschlüsselt werden können. Mit der Filterung wird der IT-Admin von diesem Bereich ferngehalten, da dies seine Kompetenzen übersteigen würde. Und schließlich findet ein Audit statt, der sicherstellt, dass der gesamte Data Cleanup-Prozess genau den Vereinbarungen entsprochen hat und damit die Daten weiterhin als sicher gelten.

Das vollständige Interview mit Dr. Hubert Jäger auf der it-sa 2018

Disclaimer: Für diesen Videoblogeintrag hat mich die Firma Uniscon beauftragt. Bei der Ausgestaltung der Inhalte hatte ich völlig freie Hand.

Zuverlässgier Datenschutz mit eperi Gateway

Cloud-Daten mit eperi Gateway vollumfänglich und wirksam schützen

Sensible Daten lassen sich innerhalb einer Cloud schützen, indem man sie verschlüsselt und pseudonymisiert. Hierfür gibt es verschiedene Ansätze: Cloud Access Security Broker (CASB), Bring Your Own Key-Dienste oder andere vergleichbare Dienste. Doch worin unterschieden sich deren Arbeitsweisen und schützen sie Cloud-Daten vollumfänglich?

Nun, CASB-Services bzw. -Anwendungen befinden sich zwischen Anwender und Cloud-Plattform und steuern, überwachen und protokollieren den gesamten Datenstrom. Im Gegensatz dazu verschlüsseln BYOK-Anbieter die Daten mithilfe von kryptografischen Schlüsseln, die sie ihren Cloud-Kunden zur Verfügung stellen.

Die Zuverlässigkeit und Machbarkeit dieser Ansätze lassen sich mithilfe dreier Aspekte und ihrer wesentlichen Fragen bewerten: Datenkontrolle, Benutzbarkeit (Usability) und Datenschutz.

Datenkontrolle: Wer kann auf die für die Verschlüsselung erforderlichen Schlüssel zugreifen und hat damit Zugriff auf die verschlüsselten Daten?

Benutzbarkeit: Können die Cloud-Anwendungen trotz der Verschlüsselung wie gewohnt genutzt werden?

Datenschutz: Sind Datensicherheit und -schutz eingeschränkt, um somit die Benutzbarkeit der Cloud-Anwendung oder einzelner Funktionen weiterhin gewährleisten zu können?

Nun muss man sich als Datenschutz-Verantwortlicher gut überlegen, welche dieser drei Merkmale von besonderer Bedeutung sind. Denn leider decken die am Markt existierenden Ansätze und Lösungen nicht alle Anforderungen gleichermaßen gut ab.

CASB-Services ermöglichen grundsätzlich einen hohen Datenschutz und die volle Datenkontrolle, dafür ist die Usability meist nicht optimal, da der Service an die verschiedenen Cloud-Applikationen  angepasst werden muss. Im schlimmsten Fall wird die Nutzung von Cloud-Services komplett verhindert, wenn sensible Daten im Spiel sind.

BYOK-Dienste: Hier stehen die Themen  „Benutzbarkeit“ und „Datenschutz“ im Vordergrund, allerdings rückt die Datenkontrolle ein wenig in den Hintergrund, da die erforderlichen kryptografischen Schlüssel zwar vom Anwender zur Verfügung gestellt werden, der Cloud-Anbieter kann allerdings auf die Schlüssel zugreifen.

eperi hilft aus dem CASB-/BYOK-Dilemma!

Jetzt kommen wir zu der Stelle, an der Sie sich vielleicht fragen: Gibt es denn eine Cloud-Verschlüsselungslösung, die alle drei Disziplinen gleichermaßen gut beherrscht? Ja, doch, die gibt es, und sie nennt sich eperi Cloud Data Protection (CDP). Damit können Sie sicher sein, bei allen drei Aspekten keine Abstriche machen zu müssen.

So erlangt keiner der Cloud-Anbieter und Datenverarbeiter Zugriff auf die Schlüssel, die Cloud-Anwendung wird durch die Verschlüsselung nicht wesentlich beeinträchtigt, und beim Datenschutz werden ebenfalls keine Kompromisse eingegangen.

Die Funktionsweise des eperi-Gateway

Die wesentliche Eigenschaft des eperi-Gateway ist seine „Vermittlerrolle“. Hierzu befindet es sich außerhalb der Cloud-Umgebung, deren Daten verschlüsselt werden sollen, entkoppelt also Cloud-Anwendungen von den Cloud-Daten. Zum anderen fungiert es als Reverse-, Forward- und API-Proxy, je nach Anwendung und Zugriffsszenario.

Außerdem ist das eperi-Gateway „Hüter“ sämtlicher Schlüssel, die für das Pseudonymisieren und Verschlüsseln der Daten erforderlich sind. Das erlaubt allen Anwendern einen transparenten, sicheren Zugriff auf die Cloud-Daten. Transparent heißt, dass die Verschlüsselung im Hintergrund für die Anwender keine spürbaren Auswirkungen hat und dass keine Installationen an Benutzer- oder Zielsystemen notwendig sind.

So funktioniert das eperi-Gateway

So fungiert das eperi-Gateway als Proxy

Ein Proxy-Server ist ganz allgemein gesprochen ein Vermittler, der die Netzwerkkommunikation zwischen zwei Endpunkten übernimmt und dabei unterschiedliche Aufgaben übernimmt. Im Falle des eperi-Gateway ist dies beispielsweise das Verschlüsseln und Entschlüsseln der Daten, die zwischen den Endpunkten ausgetauscht werden sollen.

Das eperi-Gateway fungiert im Wesentlichen als Forward- und Reverse-Proxy. Im Foward-Fall nimmt der Anwender aus seinem Netzwerk zuerst Kontakt mit dem eperi-Gateway auf, übergibt diesem seine Daten, die es verschlüsselt, und anschließend an die zugehörige Cloud-Anwendung übergibt.

In entgegengesetzter, also Reverse-Richtung, nimmt das eperi-Gateway als Proxy stellvertretend den Datenstrom entgegen, der von einer Cloud-Anwendung zurückkommt und entschlüsselt die darin verschlüsselten Daten, bevor diese an die Anwender in Klartext weitergeleitet werden.

Darüber hinaus kann das eperi-Gateway über verschiedene API-Schnittstellen in bestehende Anwendungen eingebunden werden. Das ist beispielsweise dann erforderlich, wenn die Ver- und Entschlüsselung lediglich vor- oder nachgeschaltet zum Einsatz kommt oder proprietäre Protokolle unterstützt werden müssen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.