Zuverlässgier Datenschutz mit eperi Gateway

Cloud-Daten mit eperi-Gateway vollumfänglich und wirksam schützen

Sensible Daten lassen sich innerhalb einer Cloud schützen, indem man sie verschlüsselt und pseudonymisiert. Hierfür gibt es verschiedene Ansätze: Cloud Access Security Broker (CASB), Bring Your Own Key-Dienste oder andere vergleichbare Dienste. Doch worin unterschieden sich deren Arbeitsweisen und schützen sie Cloud-Daten vollumfänglich?

Nun, CASB-Services bzw. -Anwendungen befinden sich zwischen Anwender und Cloud-Plattform und steuern, überwachen und protokollieren den gesamten Datenstrom. Im Gegensatz dazu verschlüsseln BYOK-Anbieter die Daten mithilfe von kryptografischen Schlüsseln, die sie ihren Cloud-Kunden zur Verfügung stellen.

Die Zuverlässigkeit und Machbarkeit dieser Ansätze lassen sich mithilfe dreier Aspekte und ihrer wesentlichen Fragen bewerten: Datenkontrolle, Benutzbarkeit (Usability) und Datenschutz.

Datenkontrolle: Wer kann auf die für die Verschlüsselung erforderlichen Schlüssel zugreifen und hat damit Zugriff auf die verschlüsselten Daten?

Benutzbarkeit: Können die Cloud-Anwendungen trotz der Verschlüsselung wie gewohnt genutzt werden?

Datenschutz: Sind Datensicherheit und -schutz eingeschränkt, um somit die Benutzbarkeit der Cloud-Anwendung oder einzelner Funktionen weiterhin gewährleisten zu können?

Nun muss man sich als Datenschutz-Verantwortlicher gut überlegen, welche dieser drei Merkmale von besonderer Bedeutung sind. Denn leider decken die am Markt existierenden Ansätze und Lösungen nicht alle Anforderungen gleichermaßen gut ab.

CASB-Services ermöglichen grundsätzlich einen hohen Datenschutz und die volle Datenkontrolle, dafür ist die Usability meist nicht optimal, da der Service an die verschiedenen Cloud-Applikationen  angepasst werden muss. Im schlimmsten Fall wird die Nutzung von Cloud-Services komplett verhindert, wenn sensible Daten im Spiel sind.

BYOK-Dienste: Hier stehen die Themen  „Benutzbarkeit“ und „Datenschutz“ im Vordergrund, allerdings rückt die Datenkontrolle ein wenig in den Hintergrund, da die erforderlichen kryptografischen Schlüssel zwar vom Anwender zur Verfügung gestellt werden, der Cloud-Anbieter kann allerdings auf die Schlüssel zugreifen.

eperi hilft aus dem CASB-/BYOK-Dilemma!

Jetzt kommen wir zu der Stelle, an der Sie sich vielleicht fragen: Gibt es denn eine Cloud-Verschlüsselungslösung, die alle drei Disziplinen gleichermaßen gut beherrscht? Ja, doch, die gibt es, und sie nennt sich eperi Cloud Data Protection (CDP). Damit können Sie sicher sein, bei allen drei Aspekten keine Abstriche machen zu müssen.

So erlangt keiner der Cloud-Anbieter und Datenverarbeiter Zugriff auf die Schlüssel, die Cloud-Anwendung wird durch die Verschlüsselung nicht wesentlich beeinträchtigt, und beim Datenschutz werden ebenfalls keine Kompromisse eingegangen.

Die Funktionsweise des eperi-Gateway

Die wesentliche Eigenschaft des eperi-Gateway ist seine „Vermittlerrolle“. Hierzu befindet es sich außerhalb der Cloud-Umgebung, deren Daten verschlüsselt werden sollen, entkoppelt also Cloud-Anwendungen von den Cloud-Daten. Zum anderen fungiert es als Reverse-, Forward- und API-Proxy, je nach Anwendung und Zugriffsszenario.

Außerdem ist das eperi-Gateway „Hüter“ sämtlicher Schlüssel, die für das Pseudonymisieren und Verschlüsseln der Daten erforderlich sind. Das erlaubt allen Anwendern einen transparenten, sicheren Zugriff auf die Cloud-Daten. Transparent heißt, dass die Verschlüsselung im Hintergrund für die Anwender keine spürbaren Auswirkungen hat und dass keine Installationen an Benutzer- oder Zielsystemen notwendig sind.

So funktioniert das eperi-Gateway

So fungiert das eperi-Gateway als Proxy

Ein Proxy-Server ist ganz allgemein gesprochen ein Vermittler, der die Netzwerkkommunikation zwischen zwei Endpunkten übernimmt und dabei unterschiedliche Aufgaben übernimmt. Im Falle des eperi-Gateway ist dies beispielsweise das Verschlüsseln und Entschlüsseln der Daten, die zwischen den Endpunkten ausgetauscht werden sollen.

Das eperi-Gateway fungiert im Wesentlichen als Forward- und Reverse-Proxy. Im Foward-Fall nimmt der Anwender aus seinem Netzwerk zuerst Kontakt mit dem eperi-Gateway auf, übergibt diesem seine Daten, die es verschlüsselt, und anschließend an die zugehörige Cloud-Anwendung übergibt.

In entgegengesetzter, also Reverse-Richtung, nimmt das eperi-Gateway als Proxy stellvertretend den Datenstrom entgegen, der von einer Cloud-Anwendung zurückkommt und entschlüsselt die darin verschlüsselten Daten, bevor diese an die Anwender in Klartext weitergeleitet werden.

Darüber hinaus kann das eperi-Gateway über verschiedene API-Schnittstellen in bestehende Anwendungen eingebunden werden. Das ist beispielsweise dann erforderlich, wenn die Ver- und Entschlüsselung lediglich vor- oder nachgeschaltet zum Einsatz kommt oder proprietäre Protokolle unterstützt werden müssen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

office365-verschluesselung-cloud-eperi

Office 365-Umgebungen mithilfe von eperi DSGVO-konform absichern

Es soll ja Leute geben, die können sich gar nicht mehr vorstellen, ohne Cloud-Services wie Microsoft Office 365 zurecht zu kommen. Dafür ist der Komfort und der schnelle Zugriff auf sämtliche Applikationen und Daten einfach zu gut, als dass sie jemals wieder darauf verzichten möchten.

Dabei bleibt allerdings leider viel zu oft die Sicherheit auf der Strecke. Denn mit jeder E-Mail, jedem vertraulichen Termin und mit jedem personenbezogenen Datum steigt das Risiko, dass sensible Daten in die falschen Hände geraten. Dabei ist es doch im Grunde so einfach, seine wertvollen Daten gegen den Zugriff von Unbefugten zu schützen.

Wussten Sie eigentlich, dass spätestens mit dem Inkrafttreten der DSGVO am 25. Mai 2018 nicht nur die Datenverantwortlichen eines Unternehmens in der Verantwortung stehen, sondern auch die sogenannten Auftragsverarbeiter? Das sind neben den klassischen Rechenzentrumsbetreibern auch die Anbieter von Cloud-Plattformen und Cloud-Diensten. Dazu zählt also auch Microsoft mit seinem Cloud-Service Office 365. Doch können Sie sicher sein, dass die Cloud Service Provider (CSP) sämtliche Auflagen rund um die DSGVO (und andere gesetzliche Regularien) auch wirklich vollständig einhalten? Sehen Sie, und genau das ist der Knackpunkt an der Geschichte. Und genau an der Stelle kommt das Thema Verschlüsselung ins Spiel.

Denn nur wenn Daten verschlüsselt in der Cloud gespeichert werden, kann man sich sicher sein, dass damit auch kein Unfug angestellt werden kann. Darüber hinaus will man keinen Aufwand generieren, der mit einer möglichen Anpassung der Verschlüsselungstechnik an den Cloud-Service wie Office 365 erforderlich macht. Eine Lösung, die beide Aspekt berücksichtigt, nennt sich eperi Cloud Data Protection (CDP). In diesem Fall geht die Sicherheit der Office-365-Daten noch ein erhebliches Stück weiter: Die Daten liegen faktisch gar nicht innerhalb der Office-365-Cloud-Umgebung, sondern auf einem geografisch und damit physikalisch getrennten Server, dem eperi Gateway.

eperi CDP = sichere Office 365-Cloud-Umgebungen

Damit stellt eperi Cloud Data Protection for Office 365 die ideale Ergänzung zu den Sicherheits- und Datenschutz-Funktionen dar, die Office 365 von Haus aus anbietet, indem es die Microsoft’sche Cloud-Umgebung um zentrale Datenschutz- und Compliance-Funktionen ergänzt. Damit werden sensible Informationen sicher verschlüsselt, bevor sie an die Office 365 Cloud übermittelt werden.

Ein weiterer Vorteil an dieser Lösung: Nur ein kleiner Kreis berechtigter Personen hat Zugang zu den kryptografischen Schlüsseln, die zum Ver- und Entschlüsseln sensibler Informationen in der Office 365-Cloud benötigt werden. Außerdem finden sämtliche Verschlüsselungs- und Entschlüsselungsprozesse ausschließlich unter der Kontrolle des Unternehmens außerhalb der Office 365-Cloud statt. So können nicht einmal Microsoft-Administratoren oder Mitarbeiter in externen Datenzentren auf die Daten im Klartext zugreifen.

Stellt sich nur die Frage, wie wichtige Anwendungsfunktionen, z. B. die Volltextsuche in E-Mails auf Exchange weiterhin funktionieren können, wenn die Daten in der Office 365-Cloud zu jedem Zeitpunkt verschlüsselt sind und die Microsoft Cloud-Services keinerlei Zugriff auf die Schlüssel haben? Die Antwort darauf liefert das eperi Gateway, das die Grundlage aller Cloud Data Protection-Lösungen darstellt, und die Art und Weise, wie es mit der Office 365-Cloud zusammenarbeitet und die Protokolle, die es unterstützt.

Office 365: Protokolle, Schnittstellen, Funktionen

HTTP(S): Mit dem Hypertext Transfer Protocol greifen die Anwender auf die Office-365-Anwendungen über einen Standard-Webbrowser zu. Dabei verschlüsselt HTTPS (Hypertext Transfer Protocol Secure) die Verbindungen zwischen Browser und Server. Hierbei kommt das Übertragungsprotokoll TCP/IP zum Einsatz, die Verschlüsselungstechnik dahinter wird mit SSL (Secure Socken Layer) bzw. TLS (Transport Layer Security) bezeichnet. Auf dem Server muss ein anerkanntes Zertifikat installiert sein, das eine Authentifizierung des Webbrowsers gegenüber des Webservers erlaubt.

SMTP: Mit dem Simple Mail Transfer Protocol werden innerhalb einer Office-365-Umgebung E-Mails versendet. Die Schnittstelle basiert ebenfalls auf dem Übertragungsprotokoll TCP/IP und nutzt SSL/TLS für den verschlüsselten Versand von E-Mails. Im Falle des SSL/TLS-basierten Versands spricht man auch von SMTPS (Simple Mail Transfer Protocol Secure).

Exchange Web Services (EWS): Mit den EWS greifen Anwender sicher und komfortabel auf Office 365-Postfachdaten zu. Dazu gehören E-Mails genauso wie Kalendertermine und Kontakte. Hier kommt auch HTTPS als Zugriffsprotokoll zum Einsatz.

Exchange ActiveSync (EAS): Analog zu den Exchange Web Services greift man mit EAS auf E-Mails, Kalender und Termine zu, allerdings mittels seiner Mobilgeräte wie iPhone und Tablet. Erwähnenswert ist in diesem Kontext die EAS-Funktion „Direct Push“, mit dessen Hilfe E-Mails, Terminen, etc. zwischen Office 365 und dem mobilen Endgerät synchronisiert werden. Die Daten zwischen Server und Mobilgerät werden auch über HTTPS übertragen.

MAPI over HTTP(S): Mit dem Messaging Application Programming Interface lassen sich E-Mail-Nachrichten direkt aus anderen Anwendungen als dem Mail-Programm verschicken. So lassen sich Textdokumente aus Word versendet werden, ohne dass man diese zuvor in den E-Mail-Client von Office 365 kopieren muss. MAPI over HTTPS wurde mit Microsoft Exchange 2013 eingeführt und hat seinerzeit das Vorgängerprotokoll RPC over HTTP abgelöst. Vor allem die deutlich schnellere Verbindung eines tragbaren Rechners mit dem Office 365-Mailserver via MAPI over HTTPS bietet erhebliche Vorteile gegenüber RPC over HTTP.

Müßig zu erwähnen, dass das eperi Gateway diese Protokolle, Funktionen und Schnittstellen von Office 365 unterstützt. Denn nur dann ist eine durchgängige Verschlüsselung innerhalb der Office 365 Cloud-Umgebung möglich.

eperi Gateway & Office 365: ein erprobtes E-Mail-Team

Eine Besonderheit des eperi Gateway ist seine unkomplizierte Verschlüsselungstechnik. Damit muss sich der Anwender nicht um passende Schlüssel oder ähnliche Dinge kümmern. So verfasst er einfach eine unverschlüsselte E-Mail-Nachricht und versendet diese. Diese landet auf dem E-Mail-Server des Empfängers, wo sie unmittelbar nach Erhalt vom eperi Gateway verschlüsselt und dann automatisch an Office 365 weitergeleitet wird. Da nur das Unternehmen des Empfängers über den Schlüssel zum Dekodieren der Nachricht verfügt, können ausschließlich berechtige Anwender des Unternehmens und sonst niemand die Nachricht lesen.

Interessant ist obendrein die Option, über die Outlook Web Apps auf die Office 365-Umgebung zuzugreifen. Da sich zwischen Browser und Office 365 Cloud-Umgebung ebenfalls das eperi Gateway um die Ver- und Entschlüsselung der Nachrichten kümmert, können E-Mails ganz bequem von jedem Ort der Welt via Webbrowser abgerufen werden – und das vollkommen geschützt.

Trotz Verschlüsselung nach E-Mails und Dateien suchen

Mit einem speziellen Trick können Anwender innerhalb einer Office 365 Cloud-Umgebung verschlüsselte E-Mails und Dateien suchen und finden. Hierzu legt das eperi Gateway einen vollständigen Index aller E-Mails und Dateien an, der nicht in der Office 365-Cloud, sondern in der sicheren Kundenumgebung, z.B. auf dem eperi Gateway-Server gespeichert wird. Das entkoppelt die Office-Umgebung vom eperi Gateway, was zusätzlich die Sicherheit erhöht.

Sucht dann ein Benutzer nach einem Datum oder Begriff, wird dieses/r zunächst an das eperi Gateway weitergeleitet. Dort wird die modifizierte Suchanfrage mithilfe der richtigen Datenset-ID an die Office 365-Cloud-Umgebung gesendet, die anhand dieser eindeutigen Nummer das richtige, verschlüsselte Suchergebnis aus der Office 365-Umgebung an das eperi Gateway zurückgibt. Dort wird die E-Mail oder Datei entschlüsselt und dem Anwender als Klartext zur Verfügung gestellt. Damit wird zu jeder Zeit sichergestellt, dass Suchergebnisse wie E-Mails oder Dateien niemals öffentlich vorliegen und damit Office 365-Inhalte auch nicht kompromittiert werden können.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.