Verschlüsselung: Grundlagen einer sicheren Cloud-Nutzung
Ohne Verschlüsselung sollten von Unternehmen keinerlei vertrauliche Daten in der Cloud gespeichert werden. Wir geben einen Überblick über die wichtigsten Konzepte und Methoden.
Eine als unknackbar eingestufte Verschlüsselung ist nicht nur mathematisch sicher, sondern auch die unverzichtbare Basis moderner Infrastrukturen und damit der Cloud.
Ohne die Verschlüsselung von gespeicherten Daten gäbe es heute kein Cloud Computing. Die Risiken eines Verlusts von Daten durch in die falschen Hände gelangte Datenspeicher, schwache Passwörter, Spionage im Netz oder schlicht Diebstahl wären einfach zu hoch.
Lassen Sie uns deshalb im Folgenden auf die verschiedenen Möglichkeiten zur Verschlüsselung von Daten in der Cloud eingehen sowie verfügbare Strategien, Dienste und Best Practices vorstellen. Sie helfen Ihnen dabei, Ihre Security-Strategie zu stärken und dauerhaft einen sicheren Betrieb Ihrer Anwendungen zu garantieren.
Grundlegende Methoden zur Verschlüsselung von Daten
Cloud-Kryptographie ist nichts anderes als die Verschlüsselung von Daten. Experten gehen dabei von zwei grundsätzlich verschiedenen Methoden aus. Zum einen von der symmetrischen und zum anderen von der asymmetrischen Verschlüsselung. Die Unterschiede zwischen ihnen sind durchaus signifikant.
Symmetrische Verschlüsselung: Bei der symmetrischen Verschlüsselung wird ein- und derselbe Schlüssel sowohl für die Verschlüsselung als auch die Entschlüsselung der Daten verwendet. Damit kann jeder, der Zugriff auf eine Kopie des Schlüssels erhalten hat, damit Daten ver- und entschlüsseln.
Gelangt ein solcher Schlüssel in die falschen Hände, dann war jegliche damit erfolgte Verschlüsselung und damit auch der Schutz der gesicherten Daten vergebens. Bei der symmetrischen Verschlüsselung besteht zudem das Problem, wie andere Teilnehmer sicher in den Besitz des Schlüssels gelangen können, ohne dass dieser bei der Übertragung eventuell kompromittiert wird.
Asymmetrische Verschlüsselung: Der asymmetrische Verschlüsselungsprozess benötigt dagegen zwei Schlüssel. Genau genommen einen öffentlichen sowie einen privaten Schlüssel. Jeder, der über den öffentlichen Schlüssel verfügt, kann damit Daten sicher über zum Beispiel das Internet versenden. Aber nur der Besitzer des privaten Schlüssels kann sie auch wieder entschlüsseln. Wenn jemand also nur im Besitz des öffentlichen Schlüssels ist, dann ist das vergleichbar mit einer Einbahnstraße, die auch nur in einer Richtung befahren werden kann. Da die asymmetrische Verschlüsselung damit nicht dieselben Sicherheitsprobleme aufweist wie die symmetrische Variante, lässt sich ein öffentlicher Schlüssel ohne Bedenken weitergeben.
Verschlüsselung bei der Übertragung bezieht sich dagegen auf die Verschlüsselung von Daten, während sie sich gerade durch ein Netzwerk bewegen, also zum Beispiel zwischen Servern, Nutzern und der Infrastruktur. Beim Surfen im Internet auf mit HTTPS gesicherten Webseiten erfolgt ebenfalls eine Verschlüsselung bei der Übertragung. HTTPS ist sogar ein gutes Beispiel dafür, wie asymmetrische und symmetrische Verschlüsselung zusammenarbeiten können. Gemeinsam sorgen sie für einen sichereren Prozess.
Abbildung 1: Symmetrische und Asymmetrische Verschlüsselung im Vergleich.
Ein Nachteil der asymmetrischen Verschlüsselung ist allerdings, dass sie relativ viel Rechenperformance benötigt. Ein Webserver, der damit arbeitet, kann daher weniger Anfragen verarbeiten. Als Workaround wird die asymmetrische Verschlüsselung nur zur Verbindungsaufnahme und zur sicheren Übertragung eines symmetrischen Schlüssels genutzt. Letzterer wird dann für die eigentliche Session verwendet. Diese Methode reduziert nicht nur den CPU-Bedarf, sondern hält auch Cyberangreifer und Spione fern.
Verschlüsselung umfangreich anwenden
Eine moderne IT-Umgebung enthält in der Regel zahllose vertrauliche Informationen. Die Administratoren sollten daher alle vorhandenen Daten verschlüsseln. Anstatt sich folglich zu fragen, „Warum sollen wir das verschlüsseln?“, sollten Sie sich die Frage stellen, „Warum eigentlich nicht?“. Die Kosten für eine Verschlüsselung sind minimal im Vergleich zu den später anfallenden Kosten für einen Datenverlust oder einen Diebstahl.
Für alle Daten, die am dringendsten verschlüsselt werden müssen, können die Anwender eine dafür geeignete Lösung bereits bei der Arbeit mit diesen Daten nutzen. So lassen sich etwa virtuelle Maschinen (VMs) bereits im laufenden Betrieb verschlüsseln. Das verhindert, dass ein böswilliger Prozess in einer VM auf eine andere virtuelle Maschine zugreift und dort Daten aus dem Arbeitsspeicher klaut.
Unternehmen können Verschlüsselung nutzen, um ihre Daten in vielen verschiedenen Situationen zu schützen. Eine der am häufigsten verwendeten Methoden ist die Verschlüsselung von ruhenden Daten. Nahezu alle Cloud Provider bieten eine solche Verschlüsselung ruhender Daten auf Festplatten und allen anderen wichtigen Medien an.
In hoch regulierten Umgebungen kann der Verlust einer nicht verschlüsselten Festplatte zu erheblichen Schäden am Ruf des betroffenen Unternehmens sowie zu finanziellen Belastungen führen. Ein Speichermedium, das zwar verloren, aber vorher verschlüsselt wurde, ist dagegen weit weniger brisant. Auch die Auswirkungen auf die Öffentlichkeit dürften hier in der Regel geringer sein.
Verwalten Sie Ihre Schlüssel sorgsam
Auch wenn die Schlüssel selbst eine relativ einfache Sache sind, darf ihre Verwaltung in einer sorgfältig aufgesetzten Umgebung aber nicht vernachlässigt werden. Die meisten Cloud Provider bieten spezielle Key Vaults an, in denen vertrauliche Daten wie API-Schlüssel (Application Programming Interface) und Zertifikate abgelegt werden können. Beispiele sind der Google Secret Manager, Azure Key Vault sowie AWS Key Management Service.
Der Aufwand und die Kosten für Verschlüsselung sind unerheblich im Vergleich zu den Kosten eines Datenverlustes oder -diebstahls.
Auch für verschlüsselte VMs gilt, dass die Cloud Provider selbst ein großes Interesse daran haben, dass die von ihnen angebotene Verschlüsselung eine hohe Qualität hat und dass sie sicher ist. Ein Haken an der Sache ist allerdings, dass viele Kunden ihre Schlüssel aus verständlichen Gründen nicht an ihren Dienstleister übertragen wollen.
Abhängig vom gewählten System können viele Anbieter auch alle erforderlichen Prozesse zur Verschlüsselung von Daten verwalten.
Die meisten Provider unterstützen die Funktionalität, nicht nur den Cloud-Speicher zu verschlüsseln, sondern auch die in ihrer Umgebung untergebrachten virtuellen Maschinen. Der wichtigste Aspekt ist dabei der verantwortungsvolle Umgang mit den verwendeten Schlüsseln. Die Cloud-Anbieter sind ein wichtiger Verbündeter im Ringen um eine sichere und verlässliche Verschlüsselung. Nichtsdestotrotz sollte die eigene IT-Abteilung dafür Sorge tragen, dass Sie eine optimale Strategie für die Verschlüsselung Ihrer Daten finden und in der Praxis anwenden.
