Zum Inhalt springen Zur Navigation springen
Cloud-Verschlüsselung: Methoden & Anbieter für sicherere Daten

Cloud-Verschlüsselung: Methoden & Anbieter für sicherere Daten

Für die Nutzung von Clouddiensten gibt es eine Vielzahl von Gründen. An erster Stelle steht für die meisten sicherlich die Verfügbarkeit von Daten. Doch wie steht es um die Sicherheit der Daten? In diesem Artikel beleuchten wir das Thema Verschlüsselung von Daten in der Cloud.

Welche Möglichkeiten für Verschlüsselung in der Cloud gibt es?

Die Frage nach dem „wie“ und „wann“ sind von großer Bedeutung bei der Verschlüsselung von Daten. Verschiedene Arten der Verschlüsselung, wie z.B. symmetrische oder asymmetrische sowie „Ende-zu-Ende“, haben wir bereits im Beitrag Motivationen und Hemmnisse beim Einsatz von Verschlüsselung erläutert. Daneben ist jedoch ebenfalls wichtig zu wissen, an welcher Stelle die Daten verschlüsselt werden. Unterschieden wird hier zwischen den folgenden Methoden:

  • Transportverschlüsselung: Schützt Daten während der Übertragung
  • Serverseitige Verschlüsselung: Macht beim Anbieter gespeicherte Daten für Dritte unlesbar
  • Clientseitige Verschlüsselung sowie die damit verwandte „Ende-zu-Ende“-Verschlüsselung: Machen Daten auch für die Cloudanbieter selbst unlesbar

Die Transportverschlüsselung funktioniert automatisch über das HTTPS-Protokoll, dass das Standard-IP-Protokoll mit SSL ergänzt. Somit soll bei der Übertragung der Daten in die Cloud verhindert werden, dass potenziell abgefangene Daten für Angreifer lesbar sind.

Für die serverseitige Verschlüsslung ist der jeweilige Cloudanbieter zuständig. Hier werden die gespeicherten Daten in der Cloud verschlüsselt, um bei einem möglichen Diebstahl der Daten, deren Inhalt für Angreifer wertlos zu machen.

Die clientseitige Verschlüsselung sorgt durch das sog. „Zero Knowledge“-Prinzip dafür, dass auch der Cloudanbieter selbst die hochgeladenen Daten nicht einsehen kann. Dies wird erreicht, indem die Daten noch vor dem Hochladen in die Cloud verschlüsselt werden.

Wie sicher sind die Daten in der Cloud?

Es gibt verschiedene Methoden, sensible Daten durch die Cloud verfügbar für autorisierte Anwender und diese gleichzeitig unbrauchbar für nicht autorisierte Benutzer zu machen. Wichtig ist jedoch auch die sichere Aufbewahrung des Schlüssels und die Verwendung von 2FA. Denn geht der Schlüssel trotz allem verloren, haben potenzielle Angreifer es durch den zweiten Faktor schwer, die damit erbeuteten Daten zu verwerten. Wird der Cloudanbieter selbst Opfer eines erfolgreichen Angriffs, schützt die clientseitige Verschlüsselung vor unbefugtem Auslesen der Daten.

Neben dem Schutz der Daten vor Bedrohungen von außen, muss ebenfalls auf die Integrität der Daten geachtet werden. Es stellt sich u.a. die Frage, ob die gewählte Cloudlösung und der dahinterstehende Anbieter DSGVO-konform ist oder nicht. Hier spielen eine Menge Faktoren eine Rolle, wie z.B. der Standort der jeweiligen Rechenzentren und deren Sicherheitsstandards sowie Zertifizierungen. Diese datenschutzrechtlichen und weitere Themen bei der Auswahl eines Cloudanbieters haben wir bereits in diesem Beitrag behandelt.

„Sichere“ Cloudanbieter und Dienste für Cloud-Verschlüsselung

Im Folgenden wollen wir beispielhaft Anbieter vorstellen, die einen Standard in Fragen Sicherheit bieten, an welchem man sich bei der eigenen Auswahl eines Cloudanbieters orientieren kann.

pCloud: pCloud hat seinen Sitz in der Schweiz und unterliegt der entsprechenden Gesetzgebung. Gleichzeitig ist pCloud vollends DSGVO-konform. Auch die Lage der Rechenzentren und deren ISO-Zertifizierung kommen den Anwendern zugute. Für die Schlüssel pro Datei und pro Ordner wird 256-Bit-AES, ein symmetrisches Verschlüsselungsverfahren, verwendet.

HiDrive von Strato: HiDrive speichert Daten ebenfalls DSGVO-konform in Rechenzentren, die sich ausschließlich in Deutschland befinden und entsprechend ISO zertifiziert sind. Optional kann bei diesem Anbieter auch eine „Ende-zu-Ende“-Verschlüsselung sowie eine Zwei-Faktor-Authentifizierung aktiviert werden.

Cryptomator: Bei Cryptomator handelt es sich um eine einfache Lösung zur Verschlüsselung von Daten in der Cloud. Die Verschlüsselung einzelner Dateien erfolgt dabei bevor diese in die Cloud gelangen. Cryptomator schützt beispielsweise Unternehmensdaten in Clouds wie OneDrive, SharePoint, Dropbox oder Google Drive. Die Dateien werden dabei mit 256-Bit-AES „Ende-zu-Ende“ verschlüsselt. Die Software wird als Open Source angeboten und bietet im B2B-Bereich Kooperationsdienstleistungen an. Eine solche ist z.B. auch 1&1 eingegangen und hat daher Cryptomator von einem Cybersicherheitsunternehmen auditieren lassen.

Daneben muss natürlich auch geprüft werden, wie diese Dienste dann konkret im Unternehmen eingesetzt werden sollen. Zudem ist zu beachten, dass ein Anbieter nie vollkommene Sicherheit garantieren kann. Denn es liegt ebenso in der Verantwortung des Anwenders die Übertragung der Daten in oder aus der Cloud abzusichern und vor allem die sichere Aufbewahrung des einen oder optimalerweise der mehreren Schlüssel zu gewährleisten.

Verschlüsselung: Zwischen sicherer Verfügbarkeit und Datenverlust

Denn die Verwaltung von Schlüsseln in einem Unternehmensfeld kann aufwendig sein. Denn auch die Schlüssel an sich müssen sicher sein. So sind Achtsamkeit und festgelegte Regelungen angebracht, wenn z.B. der Anwender selbst den Verschlüsselungsschlüssel für den Zugriff in die Cloud erstellt. Doch auch das Sicherheitskonzept, so simpel es im Kern ist, bietet ein Risiko: Die verschlüsselten Daten sind ohne den passenden Schlüssel auch für eigentlich autorisierte Anwender unbrauchbar. So kann der Verlust eines Schlüssels auch zum Verlust der Daten führen.

In Fragen der Sicherheit ist die Verschlüsselung eine äußerst sinnvolle und in Sachen der Compliance sogar eine notwenige Methode, um sensible Daten zu schützen. Zudem steht die Flexibilität, welche Cloudlösungen anbieten, außer Frage. So werden sie auch vermehrt zwecks Risikominimierung als Backuplösung implementiert. Es bleibt festzuhalten, dass bei der Verarbeitung von sensiblen Daten bei einer gleichzeitig hohen Verfügbarkeit, eine mehrschichtige Verschlüsselung bei Anwendung von Cloudlösungen unabdingbar ist.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Sie haben Tresorit vergessen, die auch alle Ihre Kriterien erfüllen: tresorit.com/de.

  • Vielen Dank für Ihre Definitionen und einige beispielhafte Anbieter. Aus meiner Praxis im Unternehmensumfeld muss ich aber sagen: Die Darstellung greift bei Weitem zu kurz, weil es in den seltensten Fällen nur um die Ablage von Daten auf einem Speichersystem in der Cloud geht. Diejenigen Unternehmen, die Dienste wie Microsoft Azure oder Amazon Web Services nutzen, greifen auf eine Vielzahl angebotener Dienste dieser Cloud-Lösungen zurück, wie zum Beispiel den Betrieb von Applikationen in diesen Clouds, die Nutzung von managed Datenbanken bis hin zur Nutzung angebotener KI-Dienste oder Device-Farmen. Und spätestens dann ist eine komplette Verschlüsselung kaum noch durchzuhalten, weil für die eigentliche Verarbeitung von Daten durch eine KI, eine Datenbank, eine Device-Farm, einem E-Mail-Service etc. die Daten zumindest temporär unverschlüsselt vorliegen müssen. Eine Verschlüsselung von Daten „at rest“, also auf einer Festplatte/SSD in der Cloud und eine Transportverschlüsselung sind noch ganz gut abbildbar im Unternehmensumfeld – sogar, wenn man den Aufwand betreibt, mit eigenem „On Premise“ Schlüsselmanagement. Aber eben praktisch nicht mehr, wenn weitere Dienste genutzt werden sollen (die in der Regel von Europäischen Cloud-Dienstleistern in der Form auch gar nicht angeboten werden). Und dieses Dilemma scheint mir im Moment unauflösbar.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.