luckycloud bietet eine sichere und komfortable Cloud-Umgebung

Nützliche Tipps für die richtige Auswahl von sicheren Cloud-Speichern

Bei der Wahl des richtigen Cloud-Service-Providers sind vor allem die Bereiche Sicherheit und Funktionalität zu beachten. Mit diesem Beitrag sollen die wichtigsten Merkmale vorgestellt und gezeigt werden, worin sich die aktuellen Cloud-Angebote unterscheiden.

Zunächst einmal sei darauf hingewiesen, dass sich Begriffe wie „sicherer Cloud-Speicher“ und „kostenloses Cloud-Angebot“ quasi gegenseitig ausschließen. Denn auch die Anbieter von vermeintlich kostenfreien Cloud-Plattformen wollen Geld verdienen. Und das tun sie beispielsweise mit dem Verkauf von Kundendaten oder dem Schalten von Werbung.

Diese und weitere Maßnahmen sind wenig vertrauensbildend, speziell im professionellen Geschäftsumfeld, und sind daher für den sicheren Umgang mit sensiblen Daten ungeeignet. Zudem verstößt das ein oder andere Geschäftsgebaren dieser Cloud-Anbieter gegen geltendes Recht wie der DSGVO.

Sicherheit first: Verschlüsselung, Zwei-Faktor-Authentifizierung und mehr

Das Thema Sicherheit von Cloud-Daten ist ein äußerst umfassendes, was dieser Blogbeitrag nicht umfassend abbilden kann. Allerdings hilft es vor allem weniger erfahrenen Cloud-Anwendern, die wichtigsten Begriffe zu kennen, um diese besser einordnen zu können.

Ende-zu-Ende-Verschlüsselung: Damit ist eine „echte“ Verschlüsselung gemeint, also während des kompletten Datenaustauschs bzw. Speichervorgangs. Es werden also sowohl die Daten auf dem Cloud-Speicher als auch der Transportweg via Internet gegen unliebsame Zugriffe von außen gesichert. Hierbei kommt meist der AES-Algorithmus zum Einsatz. Für dessen Sicherheitsstufe gilt: Je größer die zugehörige Bit-Zahl ist, desto sicherer wird verschlüsselt.

Zwei-Faktor-Authentifizierung: Das Einwählen auf dem Cloud-Speicher wird immer per Kennwort abgesichert, was aber passiert, wenn dieses in die falschen Hände gerät?! Aus diesem Grund sollte am besten eine sogenannte Zwei-Faktor-Authentifizierung eingesetzt werden, bei der neben dem Kennwort eine zweite Sicherheitsstufe eingebaut ist. Das kann das Bestätigen des Login-Versuchs per E-Mail sein, oder am Smartphone wird ein Sicherheitscode darstellt, der in ein entsprechendes Feld eingetragen werden muss.

IT-Infrastruktur in Deutschland: Alleine schon wegen der Einhaltung gesetzlicher Vorschriften sollte der Cloud-Anbieter sein Rechenzentrum entweder in Deutschland oder in einem anderen europäischen Land betreiben.

Open-Source-Software: Was für Experten selbstverständlich ist, löst bei weniger versierten Anwendern möglicherweise ein Stirnrunzeln aus: Der Einsatz von Open-Source-Software, deren Quellcode also öffentlich zugänglich ist. Die Idee dahinter ist jedoch ganz simpel: Nur, wenn ich weiß, wie ein Software-Programm funktioniert, kann ich mir auch sicher sein, dass dort alles mit rechten Dingen zugeht. Daher bauen seriöse Cloud-Anbieter auf Open-Source-Programme wie zum Beispiel Seafile, das Daten auf dem lokalen Computer mit der Cloud-Umgebung synchronisiert.

Datenschutzkonforme Datenverarbeitung: In Zeiten von DSGVO und Co. ist sie fast schon eine Selbstverständlichkeit, die datenschutzkonforme Datenverarbeitung. Denn nur dann kann man sich auch sicher sein, dass die eigenen personenbezogenen Daten und die seiner Kunden auf dem Cloud-Speicher wirklich geschützt sind.

Funktionale Aspekte wie Backups und Snapshots sind ebenfalls wichtig

Neben diesen primären, sicherheitsrelevanten Merkmalen sollte der Cloud-Anbieter der Wahl auch funktionale Aspekte wie regelmäßige Backups, Blockversionierung und Snapshots berücksichtigen. Auf Basis dieser Sicherheitsvorkehrungen kann gewährleistet werden, dass die eigenen Daten in den allerbesten Händen sind und selbst eine technische Störung auf Anwenderseite nicht sämtliche Daten im Nirvana verschwinden lässt.

luckycloud History- und Snapshot-Funktionen

Disclaimer: Diesen Blogbeitrag habe ich im Auftrag von luckycloud erstellt und veröffentlicht.

Zuverlässgier Datenschutz mit eperi Gateway

Cloud-Daten mit eperi-Gateway vollumfänglich und wirksam schützen

Sensible Daten lassen sich innerhalb einer Cloud schützen, indem man sie verschlüsselt und pseudonymisiert. Hierfür gibt es verschiedene Ansätze: Cloud Access Security Broker (CASB), Bring Your Own Key-Dienste oder andere vergleichbare Dienste. Doch worin unterschieden sich deren Arbeitsweisen und schützen sie Cloud-Daten vollumfänglich?

Nun, CASB-Services bzw. -Anwendungen befinden sich zwischen Anwender und Cloud-Plattform und steuern, überwachen und protokollieren den gesamten Datenstrom. Im Gegensatz dazu verschlüsseln BYOK-Anbieter die Daten mithilfe von kryptografischen Schlüsseln, die sie ihren Cloud-Kunden zur Verfügung stellen.

Die Zuverlässigkeit und Machbarkeit dieser Ansätze lassen sich mithilfe dreier Aspekte und ihrer wesentlichen Fragen bewerten: Datenkontrolle, Benutzbarkeit (Usability) und Datenschutz.

Datenkontrolle: Wer kann auf die für die Verschlüsselung erforderlichen Schlüssel zugreifen und hat damit Zugriff auf die verschlüsselten Daten?

Benutzbarkeit: Können die Cloud-Anwendungen trotz der Verschlüsselung wie gewohnt genutzt werden?

Datenschutz: Sind Datensicherheit und -schutz eingeschränkt, um somit die Benutzbarkeit der Cloud-Anwendung oder einzelner Funktionen weiterhin gewährleisten zu können?

Nun muss man sich als Datenschutz-Verantwortlicher gut überlegen, welche dieser drei Merkmale von besonderer Bedeutung sind. Denn leider decken die am Markt existierenden Ansätze und Lösungen nicht alle Anforderungen gleichermaßen gut ab.

CASB-Services ermöglichen grundsätzlich einen hohen Datenschutz und die volle Datenkontrolle, dafür ist die Usability meist nicht optimal, da der Service an die verschiedenen Cloud-Applikationen  angepasst werden muss. Im schlimmsten Fall wird die Nutzung von Cloud-Services komplett verhindert, wenn sensible Daten im Spiel sind.

BYOK-Dienste: Hier stehen die Themen  „Benutzbarkeit“ und „Datenschutz“ im Vordergrund, allerdings rückt die Datenkontrolle ein wenig in den Hintergrund, da die erforderlichen kryptografischen Schlüssel zwar vom Anwender zur Verfügung gestellt werden, der Cloud-Anbieter kann allerdings auf die Schlüssel zugreifen.

eperi hilft aus dem CASB-/BYOK-Dilemma!

Jetzt kommen wir zu der Stelle, an der Sie sich vielleicht fragen: Gibt es denn eine Cloud-Verschlüsselungslösung, die alle drei Disziplinen gleichermaßen gut beherrscht? Ja, doch, die gibt es, und sie nennt sich eperi Cloud Data Protection (CDP). Damit können Sie sicher sein, bei allen drei Aspekten keine Abstriche machen zu müssen.

So erlangt keiner der Cloud-Anbieter und Datenverarbeiter Zugriff auf die Schlüssel, die Cloud-Anwendung wird durch die Verschlüsselung nicht wesentlich beeinträchtigt, und beim Datenschutz werden ebenfalls keine Kompromisse eingegangen.

Die Funktionsweise des eperi-Gateway

Die wesentliche Eigenschaft des eperi-Gateway ist seine „Vermittlerrolle“. Hierzu befindet es sich außerhalb der Cloud-Umgebung, deren Daten verschlüsselt werden sollen, entkoppelt also Cloud-Anwendungen von den Cloud-Daten. Zum anderen fungiert es als Reverse-, Forward- und API-Proxy, je nach Anwendung und Zugriffsszenario.

Außerdem ist das eperi-Gateway „Hüter“ sämtlicher Schlüssel, die für das Pseudonymisieren und Verschlüsseln der Daten erforderlich sind. Das erlaubt allen Anwendern einen transparenten, sicheren Zugriff auf die Cloud-Daten. Transparent heißt, dass die Verschlüsselung im Hintergrund für die Anwender keine spürbaren Auswirkungen hat und dass keine Installationen an Benutzer- oder Zielsystemen notwendig sind.

So funktioniert das eperi-Gateway

So fungiert das eperi-Gateway als Proxy

Ein Proxy-Server ist ganz allgemein gesprochen ein Vermittler, der die Netzwerkkommunikation zwischen zwei Endpunkten übernimmt und dabei unterschiedliche Aufgaben übernimmt. Im Falle des eperi-Gateway ist dies beispielsweise das Verschlüsseln und Entschlüsseln der Daten, die zwischen den Endpunkten ausgetauscht werden sollen.

Das eperi-Gateway fungiert im Wesentlichen als Forward- und Reverse-Proxy. Im Foward-Fall nimmt der Anwender aus seinem Netzwerk zuerst Kontakt mit dem eperi-Gateway auf, übergibt diesem seine Daten, die es verschlüsselt, und anschließend an die zugehörige Cloud-Anwendung übergibt.

In entgegengesetzter, also Reverse-Richtung, nimmt das eperi-Gateway als Proxy stellvertretend den Datenstrom entgegen, der von einer Cloud-Anwendung zurückkommt und entschlüsselt die darin verschlüsselten Daten, bevor diese an die Anwender in Klartext weitergeleitet werden.

Darüber hinaus kann das eperi-Gateway über verschiedene API-Schnittstellen in bestehende Anwendungen eingebunden werden. Das ist beispielsweise dann erforderlich, wenn die Ver- und Entschlüsselung lediglich vor- oder nachgeschaltet zum Einsatz kommt oder proprietäre Protokolle unterstützt werden müssen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Cyber-Security

Data Residency: eperi-Techniken helfen bei der Umsetzung

Am 1. Juni 2017 hat die Regierung der Volksrepublik China das sogenannte Cybersecurity-Gesetz (CSG) aktiviert, das immer noch viele Datenschutzbeauftragte verunsichert.  Für ein besseres Verständnis, wie sich die darin verankerten Regelungen auf in China operierenden Firmen auswirken können, habe ich es mir ein wenig genauer angesehen.

Das CSG wurde vor allem wegen möglichst hoher Datenschutz-Sicherheitsstandard  verabschiedet. Und es geht ein gutes Stück weiter als die Datenschutzgrundverordnung. Denn im Gegensatz zur DSGVO, die das Verarbeiten von Daten auch außerhalb des europäischen Hoheitsgebietes vorsieht, schreibt das Cybersecurity-Gesetz eindeutig vor, dass die in China erhobenen und verarbeiteten Daten um jeden Preis in der Volksrepublik bleiben müssen.

An das Cybersecurity-Gesetz sollte man sich penibel halten!

Mit dem CSG sollen Hackerangriffe und Cyber-Terrorismus bekämpft und unterbunden werden. Daher sieht das Gesetz bei Verstößen drakonischen Strafen wie den Entzug der sogenannten Bei’an-Lizenz vor, was faktisch einem unternehmerischen Aus in China gleichkommt, da ohne diese Lizenz in der Volksrepublik keinerlei Geschäftsaktivitäten möglich sind.

Daraus ergeben zahlreiche Fragen wie zum Beispiel: Wer ist vom CSG tatsächlich betroffen? Auch an dieser Stelle hilft eine Blick in den Gesetzestext: Das Gesetz kommt für alle Firmen zur Anwendung, die im elektronischen Geschäftsverkehr in China aktiv sind. Die Rede ist also von Onlineshop-Betreibern und Anbietern von Netzwerk- und Critical Information-Infrastrukturen. Das sind zum Beispiel das Rechenzentrum einer Bank, eine medizinische Einrichtung, etc. Es geht also stets um sensible und unternehmenskritische Daten und deren Erfassung, Verarbeitung und Speicherung. 

Cloud-Services in China unterliegen höchsten Anforderungen

Ein weitere Rolle in diesem Szenario spielt die große Entfernung Chinas zu Europa und den damit verbundenen hohen Latenzzeiten. Außerdem sorgt die „Große Firewall“ der chinesischen Regierung oft dafür, dass Daten die Volksrepublik gar nicht verlassen oder erreichen können. In beiden Fällen behelfen sich viele Firmen mit „gespiegelten“ Inhalten, die sich innerhalb der chinesischen Grenzen befinden. Oft handelt es sich dabei um cloud-basierte Datenserver, die akzeptable Ladezeiten und das Umgehen der chinesischen Firewall ermöglichen.

Und genau daraus ergibt sich ein nicht zu unterschätzendes Dilemma: Wie kombiniert man in geeigneter Art und Weise die technischen und datenschutzrelevanten Herausforderungen, die sich aus dem CSG ergeben? 

Das „Schweizer Bundesgesetz über den Datenschutz“ im CSG-Kontext

Neben der Volksrepublik China verschärft auch die Schweiz seinen Datenschutz in erheblichem Maße. So wird gerade das „Bundesgesetz über den Datenschutz“ (DSG) an die aktuellen Veränderungen angepasst. Dies ist unter anderem der europäischen Datenschutzgrundverordnung geschuldet, an welche die Schweiz ja nicht gebunden ist. So wird der Schweizer Gesetzgeber das DSG an die DSGVO anpassen, ohne die speziellen Anforderungen der Schweiz zu vernachlässigen. Namentlich sind das die Forderungen nach einem Datenschutzverantwortlichen mit Hauptsitz in der Schweiz und eine bevorzugte Datenerhebung und -verarbeitung in der Schweiz.

Verschlüsseln von Cloud-Daten = CSG- und DSG-konform

Will man also als Unternehmer sicher stellen, die Daten CSG- und DSG-konform zu verarbeiten und zu speichern, kommt man um das Verschlüsseln seiner Cloud-Daten nicht herum. Denn die VR China und die Schweiz fordern einen sachgemäßen Umgang mit personenbezogenen und unternehmenskritischen Daten, die sich vor allem auf Cloud-Infrastrukturen befinden.

Damit ist eine Verschlüsselung vonnöten, die Cloud-Daten auf spezielle Art und Weise unleserlich macht. Dazu gehört ein Verschlüsselungsverfahren, das die Daten VOR dem Speichern auf dem Cloud-Server bestmöglich verschlüsselt. Und das außerdem sicherstellt, dass ausschließlich der Eigentümer der Daten über die notwendigen Schlüssel verfügt, da nur er dann Zugriff auf personenbezogene oder geschäftskritische Daten hat.

Cyber-Security 2

Das eperi Gateway erfüllt Data Residency-Auflagen

Damit sollte man als Sicherheitsbeauftragter auf ein Verschlüsselungsverfahren setzen, das die Daten verschlüsselt, bevor sie auf dem Cloud-Server landen. Und das obendrein sicherstellt, dass die originären Daten die IT-Landschaft nicht verlassen, um geltendes Recht einzuhalten, wie es das Cybersecurity-Gesetz der chinesischen Regierung vorsieht.

Das eperi Gateway und die damit in Verbindungen stehenden eperi Cloud Data Protection Lösungen stellen genau diese Forderungen sicher. Damit lassen sich Data Residency-Anforderungen  erfüllen, da sensible Daten verschlüsselt werden, sodass diese nachweislich innerhalb eines vorgesehenen Rechtsraumes verbleiben und nur als verschlüsselte, unlesbare Daten diesen Raum verlassen.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

office365-verschluesselung-cloud-eperi

Office 365-Umgebungen mithilfe von eperi DSGVO-konform absichern

Es soll ja Leute geben, die können sich gar nicht mehr vorstellen, ohne Cloud-Services wie Microsoft Office 365 zurecht zu kommen. Dafür ist der Komfort und der schnelle Zugriff auf sämtliche Applikationen und Daten einfach zu gut, als dass sie jemals wieder darauf verzichten möchten.

Dabei bleibt allerdings leider viel zu oft die Sicherheit auf der Strecke. Denn mit jeder E-Mail, jedem vertraulichen Termin und mit jedem personenbezogenen Datum steigt das Risiko, dass sensible Daten in die falschen Hände geraten. Dabei ist es doch im Grunde so einfach, seine wertvollen Daten gegen den Zugriff von Unbefugten zu schützen.

Wussten Sie eigentlich, dass spätestens mit dem Inkrafttreten der DSGVO am 25. Mai 2018 nicht nur die Datenverantwortlichen eines Unternehmens in der Verantwortung stehen, sondern auch die sogenannten Auftragsverarbeiter? Das sind neben den klassischen Rechenzentrumsbetreibern auch die Anbieter von Cloud-Plattformen und Cloud-Diensten. Dazu zählt also auch Microsoft mit seinem Cloud-Service Office 365. Doch können Sie sicher sein, dass die Cloud Service Provider (CSP) sämtliche Auflagen rund um die DSGVO (und andere gesetzliche Regularien) auch wirklich vollständig einhalten? Sehen Sie, und genau das ist der Knackpunkt an der Geschichte. Und genau an der Stelle kommt das Thema Verschlüsselung ins Spiel.

Denn nur wenn Daten verschlüsselt in der Cloud gespeichert werden, kann man sich sicher sein, dass damit auch kein Unfug angestellt werden kann. Darüber hinaus will man keinen Aufwand generieren, der mit einer möglichen Anpassung der Verschlüsselungstechnik an den Cloud-Service wie Office 365 erforderlich macht. Eine Lösung, die beide Aspekt berücksichtigt, nennt sich eperi Cloud Data Protection (CDP). In diesem Fall geht die Sicherheit der Office-365-Daten noch ein erhebliches Stück weiter: Die Daten liegen faktisch gar nicht innerhalb der Office-365-Cloud-Umgebung, sondern auf einem geografisch und damit physikalisch getrennten Server, dem eperi Gateway.

eperi CDP = sichere Office 365-Cloud-Umgebungen

Damit stellt eperi Cloud Data Protection for Office 365 die ideale Ergänzung zu den Sicherheits- und Datenschutz-Funktionen dar, die Office 365 von Haus aus anbietet, indem es die Microsoft’sche Cloud-Umgebung um zentrale Datenschutz- und Compliance-Funktionen ergänzt. Damit werden sensible Informationen sicher verschlüsselt, bevor sie an die Office 365 Cloud übermittelt werden.

Ein weiterer Vorteil an dieser Lösung: Nur ein kleiner Kreis berechtigter Personen hat Zugang zu den kryptografischen Schlüsseln, die zum Ver- und Entschlüsseln sensibler Informationen in der Office 365-Cloud benötigt werden. Außerdem finden sämtliche Verschlüsselungs- und Entschlüsselungsprozesse ausschließlich unter der Kontrolle des Unternehmens außerhalb der Office 365-Cloud statt. So können nicht einmal Microsoft-Administratoren oder Mitarbeiter in externen Datenzentren auf die Daten im Klartext zugreifen.

Stellt sich nur die Frage, wie wichtige Anwendungsfunktionen, z. B. die Volltextsuche in E-Mails auf Exchange weiterhin funktionieren können, wenn die Daten in der Office 365-Cloud zu jedem Zeitpunkt verschlüsselt sind und die Microsoft Cloud-Services keinerlei Zugriff auf die Schlüssel haben? Die Antwort darauf liefert das eperi Gateway, das die Grundlage aller Cloud Data Protection-Lösungen darstellt, und die Art und Weise, wie es mit der Office 365-Cloud zusammenarbeitet und die Protokolle, die es unterstützt.

Office 365: Protokolle, Schnittstellen, Funktionen

HTTP(S): Mit dem Hypertext Transfer Protocol greifen die Anwender auf die Office-365-Anwendungen über einen Standard-Webbrowser zu. Dabei verschlüsselt HTTPS (Hypertext Transfer Protocol Secure) die Verbindungen zwischen Browser und Server. Hierbei kommt das Übertragungsprotokoll TCP/IP zum Einsatz, die Verschlüsselungstechnik dahinter wird mit SSL (Secure Socken Layer) bzw. TLS (Transport Layer Security) bezeichnet. Auf dem Server muss ein anerkanntes Zertifikat installiert sein, das eine Authentifizierung des Webbrowsers gegenüber des Webservers erlaubt.

SMTP: Mit dem Simple Mail Transfer Protocol werden innerhalb einer Office-365-Umgebung E-Mails versendet. Die Schnittstelle basiert ebenfalls auf dem Übertragungsprotokoll TCP/IP und nutzt SSL/TLS für den verschlüsselten Versand von E-Mails. Im Falle des SSL/TLS-basierten Versands spricht man auch von SMTPS (Simple Mail Transfer Protocol Secure).

Exchange Web Services (EWS): Mit den EWS greifen Anwender sicher und komfortabel auf Office 365-Postfachdaten zu. Dazu gehören E-Mails genauso wie Kalendertermine und Kontakte. Hier kommt auch HTTPS als Zugriffsprotokoll zum Einsatz.

Exchange ActiveSync (EAS): Analog zu den Exchange Web Services greift man mit EAS auf E-Mails, Kalender und Termine zu, allerdings mittels seiner Mobilgeräte wie iPhone und Tablet. Erwähnenswert ist in diesem Kontext die EAS-Funktion „Direct Push“, mit dessen Hilfe E-Mails, Terminen, etc. zwischen Office 365 und dem mobilen Endgerät synchronisiert werden. Die Daten zwischen Server und Mobilgerät werden auch über HTTPS übertragen.

MAPI over HTTP(S): Mit dem Messaging Application Programming Interface lassen sich E-Mail-Nachrichten direkt aus anderen Anwendungen als dem Mail-Programm verschicken. So lassen sich Textdokumente aus Word versendet werden, ohne dass man diese zuvor in den E-Mail-Client von Office 365 kopieren muss. MAPI over HTTPS wurde mit Microsoft Exchange 2013 eingeführt und hat seinerzeit das Vorgängerprotokoll RPC over HTTP abgelöst. Vor allem die deutlich schnellere Verbindung eines tragbaren Rechners mit dem Office 365-Mailserver via MAPI over HTTPS bietet erhebliche Vorteile gegenüber RPC over HTTP.

Müßig zu erwähnen, dass das eperi Gateway diese Protokolle, Funktionen und Schnittstellen von Office 365 unterstützt. Denn nur dann ist eine durchgängige Verschlüsselung innerhalb der Office 365 Cloud-Umgebung möglich.

eperi Gateway & Office 365: ein erprobtes E-Mail-Team

Eine Besonderheit des eperi Gateway ist seine unkomplizierte Verschlüsselungstechnik. Damit muss sich der Anwender nicht um passende Schlüssel oder ähnliche Dinge kümmern. So verfasst er einfach eine unverschlüsselte E-Mail-Nachricht und versendet diese. Diese landet auf dem E-Mail-Server des Empfängers, wo sie unmittelbar nach Erhalt vom eperi Gateway verschlüsselt und dann automatisch an Office 365 weitergeleitet wird. Da nur das Unternehmen des Empfängers über den Schlüssel zum Dekodieren der Nachricht verfügt, können ausschließlich berechtige Anwender des Unternehmens und sonst niemand die Nachricht lesen.

Interessant ist obendrein die Option, über die Outlook Web Apps auf die Office 365-Umgebung zuzugreifen. Da sich zwischen Browser und Office 365 Cloud-Umgebung ebenfalls das eperi Gateway um die Ver- und Entschlüsselung der Nachrichten kümmert, können E-Mails ganz bequem von jedem Ort der Welt via Webbrowser abgerufen werden – und das vollkommen geschützt.

Trotz Verschlüsselung nach E-Mails und Dateien suchen

Mit einem speziellen Trick können Anwender innerhalb einer Office 365 Cloud-Umgebung verschlüsselte E-Mails und Dateien suchen und finden. Hierzu legt das eperi Gateway einen vollständigen Index aller E-Mails und Dateien an, der nicht in der Office 365-Cloud, sondern in der sicheren Kundenumgebung, z.B. auf dem eperi Gateway-Server gespeichert wird. Das entkoppelt die Office-Umgebung vom eperi Gateway, was zusätzlich die Sicherheit erhöht.

Sucht dann ein Benutzer nach einem Datum oder Begriff, wird dieses/r zunächst an das eperi Gateway weitergeleitet. Dort wird die modifizierte Suchanfrage mithilfe der richtigen Datenset-ID an die Office 365-Cloud-Umgebung gesendet, die anhand dieser eindeutigen Nummer das richtige, verschlüsselte Suchergebnis aus der Office 365-Umgebung an das eperi Gateway zurückgibt. Dort wird die E-Mail oder Datei entschlüsselt und dem Anwender als Klartext zur Verfügung gestellt. Damit wird zu jeder Zeit sichergestellt, dass Suchergebnisse wie E-Mails oder Dateien niemals öffentlich vorliegen und damit Office 365-Inhalte auch nicht kompromittiert werden können.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Rita Pleus über Sicherheitsvorkehrungen auf der IBM Mainframe

[Videochat] Rita Pleus (IBM) zu Sicherheitskonzepten auf Mainframe-Maschinen

Während der IBM Z-Roadshow habe ich dieses Interview mit Rita Pleus von IBM geführt. Darin spricht sie über die aktuelle Sicherheitslage, über die Sicherheitsebenen der Pervasive Encryption und über zuverlässige Sicherheitskonzepte.

„Wie schätzen Sie die aktuelle IT-Sicherheitslage ein?“

Laut Rita Pleus ist dieses Thema ein äußerst komplexes, und je nachdem, wen man fragt, wird es unterschiedlich bewertet. So zeigt beispielsweise das BSI (Bundesamt für Sicherheit in der Informationstechnik) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland, dass aufgrund der „zunehmenden Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything Cyber-Angreifern fast täglich neue Angriffsflächen“ geboten werden. Hinzu kommen zahlreiche regulatorische Vorschriften wie die DSGVO und der PSIDSS, die natürlich auch von IBM-Kunden eingehalten werden müssen.

Doch sollte das Thema Sicherheit im eigenen Unternehmen laut Frau Pleus nicht ausschließlich von diesen und anderen Vorschriften bestimmt werden, sondern auch aus der Erkenntnis heraus entstehen, dass IT-Security ein allumfassendes Thema sein sollte, zu dem unter anderem das Thema Datenverschlüsselung zählt.

„Auf welchen Ebenen findet Pervasive Encryption statt?“

Das mit der IBM z14 eingeführte Sicherheitskonzept Pervasive Encryption ist ja kein Produkt, wie Rita Pleus im Interview klarstellt. Es handelt sich vielmehr um eine fundierte Strategie, die auf allen Ebenen der Mainframe seinen jeweiligen Beitrag zur Sicherheit beiträgt. Das beginnt ganz unten auf der Hardware-Schicht, wo dedizierte Hardware-Module mit z/OS-Features wie CP Assist for Cryptographic Functions (CPACF) für explizite Sicherheit sorgen, aber auch Kryptokarten kommen hierfür zum Einsatz. Beides stellt laut Rita eine solide Grundlage für Pervasive Encryption dar, da die Hardware die Sicherheitsmaßnahmen erheblich beschleunigt.

httpss://twitter.com/mhuelskoetter/status/986989333377888256

Wichtig sind aber auch die gespeicherte Daten in diesem Kontext. Hierfür kommt eine mehrstufige Datenverschlüsselung zum Tragen, was bei IBM unter dem Begriff Data Set Encryption läuft. Damit lassen sich vor allem Daten anhand der Anwendungen oder logischen Datenhaltung trennen, je nachdem, welche Schlüssel für das Encryption-Verfahren eingesetzt werden. Hinzu kommen weitere Möglichkeiten der Verschlüsselung, zum Beispiel auf Cluster- und Netzwerkebene, mit der sich sehr transparent zeigen lässt, welche Daten gerade verschlüsselt werden – und welche nicht.

Wichtig ist aber auch das Thema Secure Service Container, mit dem das Verschlüsseln virtueller Umgebungen möglich ist. Hierfür bietet die IBM z14 ZR1 insgesamt 40 LPARs, mit denen virtuelle Bereiche geschaffen werden können, in denen sich verschlüsselte Container mit all ihren Daten und Anwendungen sehr sicher befinden.

Schließlich weist Rita Pleus noch auf das äußerst wichtige Schlüsselmanagement hin, das eine profunde Grundlage für das Verschlüsseln der Daten darstellt. Denn nur wenn das zugehörige Managementtool sicherstellt, dass Schlüssel über einen längeren Zeitraum valide und verfügbar sind, kann Pervasive Encryption zuverlässig funktionieren.

httpss://twitter.com/mhuelskoetter/status/986992404166258688

„Was gehört denn noch zu einem guten Sicherheitskonzept?“

Neben den aufgezeigten Features, die allesamt unter dem Begriff Pervasive Encryption zusammengefasst werden, hält Rita Pleus obendrein das Thema Identity Management für unabdingbar, wenn es um sichere Mainframe-Umgebungen geht. Denn nur wenn sichergestellt werden kann, dass ausschließlich bestimmte Anwender oder Anwendergruppen auf klar definierte IT- und Datenbereiche zugreifen dürfen, funktioniert das IT-Sicherheitskonzept vollumfänglich. Dies kann beispielsweise mithilfe einer Mehrfaktor-Authentifizierung erreicht werden, so wie sie IBM versteht und ihren Kunden zur Verfügung stellt.

Das Interview mit Rita Pleus in voller Länge

Disclaimer: Für diesen Video-Blogpost hat mich IBM Deutschland als Blogger engagiert.

Funktionsweise des eperi Gateway

DSGVO mithilfe von eperi-Tools effektiv umsetzen

Stellen Sie sich vor, Sie haben Ihre IT-Infrastruktur in eine Cloud-Umgebung transferiert. Weil Sie einfach keine teuren Rechenmaschinen mehr kaufen und verwalten wollten, weil der Zugriff auf Anwendungen und Daten seitens externer Mitarbeiter und Geschäftspartner einfacher werden sollte, und vielem mehr.

Spätestens an dieser Stelle könnte Ihnen auffallen, dass es trotz der vielen schönen Vorzüge von Cloud-basierten IT-Infrastrukturen eine erhebliche Schwachstelle gibt: die Datensicherheit. Damit ist vor allem die Datensicherheit und der Datenschutz im Sinne der DSGVO gemeint, die am 25. Mai 2018 endgültig in Kraft tritt. Ab diesem Tag wird auf die elektronische Datenverarbeitung personenbezogener Daten ganz besondere Herausforderungen zukommen. Dazu zählt unter anderem die sogenannte Datenschutz-Folgenabschätzung sowie weitere Prüf- und Dokumentationspflichten. Das ist vor allem dann der Fall, wenn Unternehmen Auftragsdatenverarbeiter und Cloud-Dienste in Anspruch nehmen.

Das hat auch damit zu tun, dass die DSGVO eine explizite Datenverarbeitung personenbezogener Daten auch außerhalb der EU vorsieht, unabhängig davon, ob der Auftragsverarbeiter (also ein Cloud Service Provider zum Beispiel) innerhalb oder außerhalb der EU sitzt. Daraus lassen sich diverse Konsequenzen ableiten: So können Cloud-Anbieter beispielsweise selbst zu Datenverantwortlichen werden, wenn sie den Zweck der Datenverarbeitung selbstständig bestimmen.

Liegt die Datenverantwortung beim Unternehmen oder Cloud-Provider?

Laut DSGVO wird künftig nicht mehr der Auftraggeber der externen Datenverarbeitung allein bei möglichen Verstößen haftbar gemacht, sondern auch der externe Auftragsverarbeiter, da Datenverarbeiter und Auftragsverarbeiter künftig gemeinsam haften.

DSGVO = besondere Pflichten für Datenverantwortliche

Ab 25. Mai 2018 müssen die Datenschutzverantwortlichen der Unternehmen sicherstellen und nachweisen können, dass die Verarbeitung von personenbezogenen Daten jederzeit im besten Sinne der DSGVO erfolgt. Dazu gehören diverse Prinzipien wie Pseudonymisierung und Verschlüsselung von Daten, die Datenminimierung, die Einhaltung des Verarbeitungszwecks, etc. Daraus ergibt sich unter anderem, welche Daten in welchem Umfang und wie lange verarbeitet und gespeichert werden dürfen.

DSGVO = großer Aufwand für größere Unternehmen

Gerade in größeren Unternehmen werden teils äußerst sensible Daten verarbeitete und gespeichert. Ob das Personaldaten sind oder die E-Mail-Adresse und Anschrift eines Kunden – über all diese Daten muss akribisch Buch im Sinne der DSGVO geführt werden. Dieser Aufwand verschärft sich zusätzlich, wenn personenbezogen Daten innerhalb einer Cloud-Umgebung gespeichert und verarbeitet werden.

Um dieses große Dilemma elegant zu umgehen, sollten sensible Daten am besten vor der Speicherung beim Cloud-Anbieter verschlüsselt werden. Denn damit werden sie automatisch pseudonymisiert, so wie es die DSGVO explizit fordert. Damit sind Datenschutzrechtsverletzung auf Seiten des Cloud-Anbieters gar nicht möglich, was sich auf die Umsetzung der DSGVO enorm positiv auswirkt.

Mit eperi Cloud Data Protection (CDP) entspannt ins DSGVO-Zeitalter

Damit wären wir beim eigentlichen Kern dieses Beitrags. Denn mithilfe des eperi-Gateways lassen sich die Forderungen der DSGVO zum Schutz personenbezogener Daten relativ unaufwendig umsetzen. So können Unternehmen auf Basis der eperi-Lösung ihre Datenschutz-Prozesse kontrollieren. Damit garantieren sie auch, die DSGVO-Vorgaben peinlich genau einzuhalten, wenn Cloud-Services im Unternehmen genutzt werden. Damit reduzieren sich der Prüfaufwand und die damit verbundene Nachweispflicht auf die Vorkehrungen und Datenschutzmaßnahmen, die im eigenen Unternehmen umgesetzt werden müssen.

Funktionsweise des eperi Gateway

„Erst verschlüsseln, dann speichern“ – so lautet die eperi-Devise

Die eperi-Devise in Sachen DSGVO-konforme Cloud-Daten lautet: „Erst verschlüsseln, dann speichern!“. Damit lassen sich nämlich sämtliche sensible Daten für Unbefugte unleserlich machen, bevor personenbezogene Daten überhaupt in der Cloud landen. Folge: Die Unternehmen behalten die volle Kontrolle über ihre personenbezogene Daten und erfüllen damit die strengen Auflagen in Sachen Datenschutz-Konformität „on the fly“.

Doch dieser eperi-Ansatz bietet einen weiteren Vorzug: Dank der transparenten Verschlüsselung der Cloud-Daten können sehr elegant zahlreiche Risiken „ad acta“ gelegt werden, die bei der Auswahl des geeigneten Cloud-Konzepts respektive des dazu passenden Cloud Service Providers entstehen können. Denn wer kann schon genau sagen, ob der infrage kommende Cloud-Anbieter die strengen Auflagen der DSGVO so ernst nimmt, wie er das eigentlich tun sollte.

Office 365, Salesforce & Co: eperi Gateway als zentraler Kontrollpunkt

Mithilfe des eperi Gateway für Cloud-Anwendungen wie Office 365 oder Salesforce stellen Unternehmen ebenfalls sicher, dass besonders sensible personenbezogene Daten jederzeit und vollumfänglich vor fremden Zugriffen geschützt sind. Denn weder der Cloud-Provider noch ein externer Auftragsverarbeiter erhält Zugriff auf die Daten, da die Schlüssel im alleinigen Besitz des Cloud-Anwenders, also des Unternehmens bleiben. Damit wird ein zentraler Kontrollpunkt für das Datenschutz- und Verschlüsselungsmanagement festgelegt, das dem Datenverantwortlichen die alleinige Kontrolle über die Verschlüsselungs- und Tokenisierungsprozesse garantiert.

eperi Cloud Data Protection bedeutet darüber hinaus, dass sich die Verschlüsselung der Daten in keiner Weise auf die Cloud-Plattform und deren Techniken auswirkt und darüber hinaus alle wichtigen Anwendungsfunktionalitäten bei komfortabler Bedienerfreundlichkeit erhalten werden.

Fazit: eperi sorgt für DSGVO-konforme Cloud-Daten

Zusammenfassend kann man also sagen: Unternehmen, die sich für eine Verschlüsselung auf Basis der eperi Cloud Data Protection-Lösung entscheiden, gehen einen großen Schritt in Sachen DSGVO-Konformität. Denn ihr Datenschutz wird ohne größeren Aufwand auf einen Level gehievt, um den sie so mancher Datenschutzbeauftragte beneidet.

Disclaimer: Dieser Beitrag basiert auf diesem verlinkten Blogartikel, den ich für meinen Kunden eperi verfasst habe.

Internetserver mittels HTTPS verschlüsseln

Darum ist eine gute Verschlüsselung wichtig

Die eigenen Daten zu verschlüsseln ist aus mehreren Gründen eine gute Idee. Mit diesem Blogbeitrag zeige ich bekannte Szenarien und Möglichkeiten auf, mit denen Sie Ihre wertvollen Daten vor fremden Zugriffen schützen können.

Im Grund geht es ganz schnell: Sie lassen im Taxi zum Flughafen oder zum Kunden Ihr Notebook liegen, und schwups, sind im ungünstigen Fall alle Daten verloren. Schlimmer noch: Wenn Sie keine entsprechenden Sicherheitsvorkehrungen getroffen haben, hat der Finder des Laptops Zugriff auf sämtliche Daten, die sich darauf befinden. Und die Rede ist nicht von einem unsicheren Windows-Kennwort, sondern von der Festplatte, auf der die Daten meist ohne jeglichen Schutz gelagert werden. In solch einem Fall schützt ausschließlich die Verschlüsselung des Datenträgers mithilfe eines geeigneten Mechanismus.

Daten auf Laptops und anderen tragbaren Geräten stellen ohne Verschlüsselung ein erhebliches Risiko dar

Doch nicht nur Festplatten stellen ein potenzielles Datenleck dar. Denn mit jeder E-Mail, die man unverschlüsselt versendet, gibt man sich einem möglichen Angriff preis. Dabei ist gar kein großer Aufwand nötig, seine elektronische Post mit ein paar Handgriffen vor Manipulation und Spionage zu bewahren. Und dass man seine drahtlose WLAN-Verbindung mit dem Internet vor unbefugten Zugriffen seitens Dritter schützen sollte, dürfte mittlerweile klar sein. Die Praxis zeigt allerdings: Für viele Anwender ist es das immer noch nicht.

Software- oder Hardware-basierte Verschlüsselung – das ist die Frage

Dass es eine gute Idee ist, seine Daten oder den Transport derselben zu verschlüsseln, wissen Sie jetzt. Doch wie schützt man sich vor möglichen Angriffen? Nun, hierfür bieten sich zwei Wege an: Entweder man installiert eine passenden Software beziehungsweise nutzt ein vorinstalliertes Tool oder überlässt das einer erprobten und praxistauglichen Hardware-Lösung, die für das richtige Verschlüsseln von Daten oder den Austausch derselben konzipiert wurde

Solch eine Lösung nennt sich beispielsweise IndependenceKey, der sämtliche Daten und Datenverbindungen automatisch verschlüsselt, und das auf Hardware-Basis. Das ist deutlich sicherer als die Verschlüsselung mit einer Software, kostet aber auch dementsprechend mehr.

Hardware-Verschlüsselung von Festplatten & SSDs

Instant Secure Erase (ISE) ist eine recht neue Technik des Speicherkomponentenherstellers HGST, die in zahlreichen Festplatten und SSDs zum Einsatz kommt. Dazu gehören die Modelle aus der Ultrastar 7K6000-Reihe genauso wie die Ultrastar-Serien He10 und He8.

Damit lassen sich diese Datenträger mit geringem Aufwand rückstandsfrei löschen, wenn die Speicherkomponenten beispielsweise verschrottet werden sollen. Hierfür wird einfach nur der Schlüssel gelöscht, der zum Ver- und Entschlüsseln der Daten zuvor erstellt wurde. Damit wird der Datenträger innerhalb weniger Sekunden vollkommen unbrauchbar.

Festplattenverschlüsselung mit dem passenden Tool

Zuverlässige Verschlüsselung mithilfe des Prozessors

Für die Sicherheit bei der Verschlüsselung von Daten auf weniger leistungsstarken Rechnern empfiehlt sich ein Intel-Prozessor, der die Verschlüsselungstechnik Intel AES NI (New Instructions) unterstützt (selbstverständlich trifft das auch auf AMD-Prozessoren zu).

Denn die Intel AES NI sorgen für mehr Sicherheit auch auf PCs mit Intel Core i3 oder Intel Celeron Prozessor, da das Ver- und Entschlüsseln von Daten direkt im Prozessor geschieht und damit Anwender auch auf einem weniger leistungsfähigen Rechner die Verschlüsselung aktivieren – und damit auf ihrem PC für mehr Sicherheit sorgen.

Prozessor-basierte Verschlüsselung ist sehr sicher

Auf die richtige Verschlüsselungstechnik kommt es an

Wer es noch sicherer mag, sollte auf die pure Hardware-Verschlüsselung setzen. Dazu gehört beispielsweise die SATA-zu-SATA-Verschlüsselung, die dafür sorgt, dass die Daten direkt auf dem Mainboard oder dem Speichermedium selbst verschlüsselt werden, und das auf Basis des AES-Verschlüsselungsalgorithmus’.

Hierfür hat die Firma Enova Technology einen speziellen Chip namens X-Wall MX entwickelt, der sich direkt auf dem Motherboard oder dem Laufwerk integrieren lässt. Dabei wird der komplette Datenstrom auf Hardwarebasis mit AES (128 bis 256 Bit) mit einer Bandbreite von bis zu 150 MByte/s verschlüsselt. Firmen wie Addonics Technologies und DataLocker vertrauen unter anderem der Verschlüsselungstechnik von Enova.

Auf Hardware-Basis verschlüsselt auch die Speziallösung namens IndependenceKey sämtliche Daten, die sich auf Festplatten und Cloud-Laufwerken befinden, die aber auch via internetbasierten Telefonaten und Chats austauscht werden – und das alles in Echtzeit. Hierbei kommt auf jedem Rechner, dessen Daten verschlüsselt werden sollen, eine Art USB-Sticks zum Einsatz. Diese Sticks kümmern sich vollautomatisch um die Verschlüsselung der Daten. Und das ebenfalls auf Basis des AES-Algorithmus’, der als sehr sicher gilt.

Daten und Laufwerke mit Herstellersoftware verschlüsseln

Ob Sie Ihre Festplatten- oder USB-Stick-Inhalte verschlüsseln wollen, letztlich geschieht dies mit einer passenden Software, die Festplattenhersteller wie Kingston oder Seagate auf ihren Speichermedien meist vorinstallieren.

Damit kann entweder die komplette Platte oder einzelne Partitionen verschlüsselt werden. Um die Sicherheit weiter zu erhöhen, werden die Festplatten automatisch gesperrt, sobald diese aus dem Rechner entfernt oder dieser ausgeschaltet wird. In diesem Zusammenhang kommt meist die FIPS 140-2-basierte Zertifizierung zum Einsatz.

USB-Sticks lassen sich mit der richtigen Software verschlüsseln

Kostenlose Software für die Datenverschlüsselung

Mit ArchiCrypt Live lassen sich virtuelle Laufwerke verschlüsselnNeben den hersteller-spezifischen Tools gibt es auch kostenlose Software, mit der sich Daten verschlüsseln lassen. Dazu gehört beispielsweise ArchiCrypt Live, mit denen Hilfe ein virtuelles Laufwerk erstellt wird, das mit einem sicheren Kennwort geschützt wird.

Darüber hinaus verschlüsselt das Tool komplette Partitionen, externe Festplatten, Speicherkarten und USB-Sticks. Als Verschlüsselungsmethoden kommen AES und Blowfish zum Einsatz. Zum Schutz vor dem Ausspähen des Kennworts mittels Keylogger bietet ArchiCrypt Live eine Bildschirmtastatur.

Mit CrococryptFile lassen sich einzelne Daten und ganze Laufwerke per rechter Maustaste verschlüsseln. Als Sicherheitsalgorithmen kommen AES-256, RSA-AES-256, PGP-AES-256 und AES-Twofish-256 zum Einsatz.

Sehr anschaulich gehen Werkzeuge wie Virtual Safe vor: Damit legen Sie einen virtuellen Safe an, in dem Sie anschließend ihre sensiblen und schützenswerten Daten ablegen, die mithilfe sicherer Verschlüsselungsalgorithmen wie AES-256 vor fremden Blicken geschützt werden.

Mobile Daten mit Apps verschlüsseln

Mit Keepsafe Bilder und andere Dateien versteckenMobile Anwendungen wie KeepSafe oder Private Photo Vault wählen einen einfachen Weg, um sensible Daten zu verschlüsseln: Sie machen diese auf dem Smartphone oder Tablet „unsichtbar“, indem einzelne oder mehrere Dateien mit einer PIN oder einem Kennwort belegt werden und auch nur damit wieder sichtbar gemacht werden können.

Cloud-Laufwerke  mit Software verschlüsseln

Das bekannte Tool BoxCryptor verschlüsselt bekannte Cloud-Dienste wie Dropbox, Microsoft OneDrive, Google Drive und SugarSync. Hierfür wird ein virtuelles Laufwerk im Windows Explorer oder im OS X Finder angelegt, mit dessen Hilfe die Online-Daten automatisch synchronisiert werden.

Als Schutz kommt ein Kennwort zum Einsatz, das die Daten auf Basis des AES-256- oder RSA-Algorithmus’ verschlüsselt. BoxCryptor gibt es sowohl für Windows als auch den Mac. Als Alternative bietet sich die Software Cryptomator an, die ganz ähnlich wie BoxCryptor arbeitet.

So funktioniert Boxcryptor

Internetdaten und -verbindungen unbedingt verschlüsseln

Jeder digitale Schritt ins Internet ist mit einer potentiellen Gefahr verbunden. Daten können ausspioniert werden, aber auch die Wege, die Anwender zurücklegen, sind ein Risikofaktor, da Hacker sich ganz leicht auf ihre Spur begeben und ihnen auf den Server folgen können, den ein User gerade ansteuert.

Daher ist es eine sehr gute Idee, sich während der Reise durchs weltweite Netz bestmöglich vor Angriffen von außen zu schützen. Das lässt sich mithilfe bestimmter Techniken und Spezialtools erreichen wie beispielsweise mit virtuellen Netzwerkverbindungen auf VPN-Basis.

Internetserver mittels HTTPS verschlüsseln

HTTPS schützt Webseiten vor unbefugten Zugriffen

Mit dem HyperText Transfer Protocol Secure (HTTPS) befindet sich eine Schicht zwischen den Protokollen HTTP und TCP, die für die Verschlüsselung der Verbindungsdaten zuständig ist. Dies geschieht meist per SSL/TLS, einem sehr sicheren Algorithmus, der beispielsweise auch beim Verschlüsseln von Online-Banking-Verbindungen zum Einsatz kommt.

Wichtig ist HTTPS auch für Webseitenbetreiber, die ihre Zentralrechner mithilfe von SSL-Bibliotheken wie OpenSSL für gesicherte Datentransfers fit machen können. Das wird unter anderem für ein positive Bewertung seitens Google dringend empfohlen.

E-Mail-Verschlüsselung leicht gemacht

Jede E-Mail, die den Mailserver verlässt, ist von Hause aus nicht verschlüsselt. Das bedeutet, dass Nachrichten, Bilder und andere Dokumente mit einfachsten Mitteln abgefangen und gelesen bzw. betrachtet werden können. Gerade für spezielle Berufsgruppen wie Anwälte, Ärzte, usf. stellt das grundsätzlich einen Verstoß gegen das Bundesdatenschutz und Strafgesetzbuch dar. Dabei ist es so einfach, E-Mails verschlüsselt zu versenden und empfangen.

Eine der Möglichkeiten, seine E-Mails abhörsicher zu versenden, stellen die Mail-Dienste der Telekom und der Deutschen Post zur Verfügung. Dies gilt allerdings nur dann, solange die E-Mails zwischen Kunden von De-Mail (Telekom) oder E-POST versandt und empfangen werden. In allen anderen Fällen erfolgt der Mailverkehr zwar verschlüsselt, die Daten selbst liegen unverschlüsselt auf den Mailservern von Telekom und der Deutschen Post.

Wer es noch sicherer will, sollte auf Software-Tools wie GPGTools (Mac) oder Gpg4win (Windows) zurückgreifen. Allerdings erfordern diese Werkzeuge technisches Know-how, da man etwas wissen sollte von Schlüsselerzeugung, Schlüsselverwaltung und anderen Dingen. 

Wer es sicher und komfortabel mag und monatliche Kosten nicht scheut, kann bestimmte Verschlüsselungsdienste nutzen, die das Versenden und Empfangen von abhörsicheren E-Mails übernehmen. Solch ein Service nennt sich Tutanota der in Hannover ansässigen Firma Tutao, der Microsoft Outlook und andere E-Mail-Programme unterstützt. Und mit iPhone und Tablet funktioniert das Ganze auch.

Mit Tutanota lassen sich E-Mails rechtssicher versenden

Nehmen Sie mit mir einfach Kontakt auf

Hat Ihnen der Beitrag gefallen? Haben Sie Fragen zum Bloggen? Benötigen Sie Blog-Support? Dann nehmen Sie am besten noch heute Kontakt mit mir auf.

[pirate_forms]

So funktioniert Boxcryptor

So hilft Boxcryptor bei der Umsetzung der DSGVO

In Zeiten der Datenschutzgrundverordnung, die eine europäische Harmonisierung des Datenschutzes erreichen soll, gibt es derzeit viele verunsicherte Unternehmen, die sich unter anderem die Frage stellen:

„Kann bzw. darf ich ab dem 25. Mail 2018 aus Gründen des DSGVO-konformen Datenschutzes überhaupt noch Dropbox, Google Drive und Co. einsetzen?“

Diese Frage ist unter den verschärften Datenschutzbestimmungen, welche die DSGVO vorsieht, sehr berechtigt. Denn nicht erst seit der emsigen Betriebsamkeit rund um dieses Thema fragen sich viele Unternehmen zurecht, ob eine Datensicherung in einer Cloud-Umgebung wie der Dropbox den strengen Vorschriften und Vorgaben der europäischen Gesetzeshüter stand hält.

DSGVO und Public Cloud ist kein Widerspruch – mit dem richtigen Tool

Die gute Nachricht: Ja, das Ablegen und Austauschen sensibler, personenbezogener Daten ist in den allermeisten Fällen auch innerhalb von Dropbox und Co. möglich, wenn Unternehmen die richtigen Maßnahmen dazu ergreifen. Sprich, wenn sie es schaffen, die Daten innerhalb solch einer Public Cloud hochverschlüsselt abzulegen, so dass weder Unbefugte noch der Cloud-Anbieter selbst auf diese Daten zugreifen können. Dieser Beitrag zeigt, wie dies mithilfe des kleinen, aber sehr leistungsfähigen Verschlüsselungswerkzeugs Boxcryptor geschieht. Dabei sehe ich mir speziell die Business-Lizenzvariante an, die sich vor allem an Freiberufler wie mich richtet.

Die Business Edition von Boxcryptor bietet für Freiberufler nützliche Funktionen - für 72 Euro pro

Die Business Edition von Boxcryptor bietet für Freiberufler nützliche Funktionen – für 72 Euro pro Jahr

Um die Entwicklung und Vermarktung von Boxcryptor kümmert sich das Startup-Unternehmen Secomba. Mit diesem Tool lassen sich mit relativ geringem Aufwand die eigene Public-Cloud-Daten vor unbefugten Zugriffen absichern. Hierzu kommen zwei Verschlüsselungsverfahren zum Einsatz, nämlich AES 256 und RSA. Beiden ist eine extrem hohe Sicherheit gemein, sodass Nutzer von Boxcryptor ihre Daten guten Gewissens in einem geschützten Cloud-Bereich speichern können.

So funktioniert Boxcryptor technisch

Um es ganz klar zu machen: Boxcryptor verschlüsselt die lokalen Cloud-Daten, also diejenigen, die auf dem Rechner innerhalb der Cloud-Ansicht oder auf einem mobilen Gerät abgelegt werden. Dabei wird nicht der Ordner selbst, sondern jede einzelne Datei verschlüsselt, und das in dem Moment, wenn sie in den Cloud-Ordner kopiert wird. Das bedeutet auch, dass sämtliche Daten, die in der Cloud-Umgebung wie der Dropbox landen, hochverschlüsselt dort ankommen und damit vor dem Zugriff Unbefugter sicher sind.

So funktioniert Boxcryptor

Boxcryptor optimal nutzen

Sobald man die Boxcryptor-Software installiert hat, kann man diverse Voreinstellungen vornehmen. Dazu gehört, dass man die infrage kommenden Cloud-Dienste bestimmt, die man nutzt. Zudem kann man die Verschlüsselung der Dateinamen aktivieren und kann obendrein, falls man wie ich ein MacBook Pro mit Touch-ID besitzt, den Fingerabdruckscanner samt Kennwort als zusätzlichen Schutz einrichten. Schön an der Boxcryptor Business Edition auch die Möglichkeit, diverse Gruppen mit unterschiedlichen Zugriffsrechten festzulegen.

Erster Schritt: Verschlüsselung aktivieren und den Schutz der Daten gegebenenfalls zusätzlich erhöhen

Erster Schritt: Verschlüsselung des Dateinamens aktivieren und damit den Schutz der Daten zusätzlich erhöhen

Zweiter Schritt: Vor der ersten Verschlüsselung mit Boxcryptor legt man die Cloud-Dienste fest, die infrage kommen

Zweiter Schritt: Vor der ersten Verschlüsselung mit Boxcryptor legt man die Cloud-Dienste fest, die infrage kommen

Boxcryptor zum ersten Mal einrichten

Sobald diese vorbereitenden Maßnahmen abgeschlossen sind, steht das Verschlüsseln der Daten auf den zugehörigen Cloud-Laufwerken auf der Agenda. So kann man entweder einzelne Dateien per rechter Maustaste verschlüsseln oder einzelne Ordner oder gleich die gesamte Cloud-Umgebung. Je nachdem, ob alle oder nur bestimmte Daten einer besonderen Geheimhaltung unterliegen. Ganz im Sinne und Geiste der DSGVO.

Beim ersten Einrichten von Boxcryptor kann man entweder einzelne Dateien verschlüsseln oder am besten gleich komplette Ordner

Beim ersten Einrichten von Boxcryptor kann man entweder einzelne Dateien verschlüsseln oder am besten gleich komplette Ordner

Et volià: Boxcryptor hat die Daten erfolgreich verschlüsselt

Et volià: Boxcryptor hat die Daten erfolgreich verschlüsselt – ganz im Sinne der DSGVO

Disclaimer: Diesen Beitrag habe ich im Auftrag der Fa. Secomba GmbH geschrieben, die mir bei der inhaltlichen Ausgestaltung freie Hand gelassen hat.

CeBIT 2017: Dr. Hubert Jäger von Uniscon über Sealed Cloud und iDGARD

Während der CeBIT 2017 hatte ich die Gelegenheit, dieses sehr interessante Interview zum Thema Cloud & Sicherheit mit Dr. Hubert Jäger von der Münchner Firma Uniscon zu führen. Darin spricht er über die Sealed-Cloud-Technik, über das erste Sealed-Produkt namens iDGARD und welche namhaften Firmen bereits die Uniscon-Lösung einsetzen.

Gleich mit der ersten, eher generisch gemeinten Frage, ging Dr. Jäger „in media res“. Sprich, er kam direkt auf die Sealed-Cloud-Technik zu sprechen, die Uniscon auf der CeBIT 2017 vorgestellt hat. Damit bekommen sowohl Betreiber von Datenzentren als auch IT-Adminstratoren technische Maßnahmen an die Hand, mit denen ein Zugriff auf hochsensible Daten in der Cloud nahezu ausgeschlossen werden kann.

„Löschen vor Lesen“ lautet das Uniscon-Credo

Zum Schutz der Cloud-Daten segmentiert Uniscon das Rechenzentrum dergestalt, dass sich im Falle eines Angriffs von außen (oder innen) mithilfe der sogenannten Data Cleanup-Technik komplette oder partielle Datenbereiche automatisch löschen lassen, was man bei Uniscon als „Löschen vor Lesen“ bezeichnet. Hinzu kommt eine ausgeklügelte Schlüsselverteilungstechnik, die dafür sorgt, dass der Betreiber der Cloud-Platform über keinerlei Schlüssel für das Entschlüsseln der gehosteten Daten verfügt.

iDGARD richtet sich an Anwälte, Ärzte und andere Berufsgeheimnisträger

Auf Basis der Sealed-Cloud-Technik von Uniscon hat das Unternehmen auf der CeBIT sein erstes Produkt unter dem Namen iDGARD vorgestellt. Dabei handelt es sich um einen Datenaustauschdienst, der vor allem Berufsgeheimnisträger wie Anwälte, Ärzte und vergleichbare Berufsgruppen adressiert. Damit tauschen diese Anwender Daten und Dokumente sicher und gesetzeskonform über eine iDGARD-gesicherte Cloud-Verbindung via Internet aus.

Datenschutz „made in Germany“ ist ein echter Wettbewerbsvorteil

Zugegeben, meine letzte Frage war ein wenig ketzerisch angelegt. Ob denn der hiesige Datenschutz eher hemmend oder eher nützlich sei, wollte ich von Dr. Jäger wissen. Seine passende Antwort hierzu: Der Datenschutz „made in Germany“ ist zu allererst ein Wettbewerbsvorteil, und jeder, der etwas anderes behauptet, hat wohl die Zeichen der Zeit nicht erkannt.

Hierzu sollten Sie sich das Interview am besten einmal komplett ansehen – oder punktuell ab Minute 1:50. Viel Vergnügen dabei! Dann erfahren Sie auch gleichzeitig, wer die Sealed-Cloud-Technik bereits einsetzt – und das sind keine unbedeutenden Unternehmen…