Gibt es die sichere deutsche Cloud? Eine Suche.
Bodycam-Aufnahmen in der Amazon-Cloud? Als Anfang des Jahres bekannt wurde, dass die Bundespolizei für das Speichern der Daten von Körperkameras ein Cloud-Angebot von Amazon Web Services (AWS) nutzt, hagelte es scharfe Kritik. Und das völlig zu Recht: Durch US-Gesetze wie etwa den CLOUD Act haben US-Behörden theoretisch die Möglichkeit, Amazon zur Herausgabe vertraulicher Daten zu zwingen. Als Begründung für den Gang zu AWS teilte das Bundespolizeipräsidium mit, dass außer Amazons Cloud keine andere Infrastruktur die nötigen Anforderungen erfüllen würde – aber stimmt das wirklich? Gibt es tatsächlich keine sichere deutsche Cloud? Welche Anforderungen müsste eine solche Infrastruktur überhaupt erfüllen? Wir haben fünf Kriterien identifiziert, die eine sichere deutsche Cloud mitbringen muss.
Sichere Speicherung und Übertragung
Damit sensible Daten bei der Übertragung und Speicherung gegen Angriffe und unbefugte Zugriffe geschützt sind, müssen diese verschlüsselt werden. Die meisten Cloud-Anbieter setzen hierzu auf eine klassische SSL-Verbindung mit entsprechend großer Schlüssellänge. Diese häufig systemweit gültigen Schlüssel liegen in der Regel in Schlüsselspeichern innerhalb des Systems.
Auch in der Sealed Cloud erfolgten Speicherung und Übertragung verschlüsselt; die Schlüssellänge beträgt 2.048 Bit. Die nicht systemweit gültigen Schlüssel werden entweder aus den Geheimnissen der Nutzer oder automatisch erzeugt und unmittelbar nach der Abmeldung wieder gelöscht. So sind diese niemals einer natürlichen Person zugänglich.
Geschützte Verarbeitung
Bei modernen Cloud-Anwendungen ist es selbstverständlich, dass die Daten sowohl während der Übertragung als auch während der Speicherung verschlüsselt und somit ausreichend abgesichert sind. Bei der Verarbeitung in der Cloud müssen die Daten jedoch zwangsläufig unverschlüsselt vorliegen und sind dort quasi ungeschützt dem Zugriff durch Softwareadministratoren und Rechenzentrumsbetreiber ausgesetzt.
Im Gegensatz zu anderen Cloud-Lösungen ist es in der Sealed Cloud möglich, Daten so sicher zu verarbeiten, als wären sie verschlüsselt. uniscons einzigartige technische Versiegelung sorgt dafür, dass weder der Betreiber der Infrastruktur noch der Anbieter des Dienstes die Möglichkeit hat, während der Verarbeitung auf die Daten zuzugreifen.
Schutz der Metadaten
Auch wenn die Daten in der Cloud verschlüsselt sind – die Verbindungsdaten liegen den Anbietern meistens offen vor. Solche Metadaten sind einfach zu analysieren und können, wenn sie in Korrelation gesetzt werden, viel über die Absichten der betroffenen Parteien aussagen. Sie zeigen beispielsweise, wer mit wem wann und wie lange kommuniziert hat und wie groß die übertragenen Datenpakete sind.
Damit durch die Beobachtung des Verkehrsaufkommens keine Rückschlüsse auf die Metadaten erfolgen können, werden Benachrichtigungen über diesen Verkehr in der Sealed Cloud zufällig verzögert. Außerdem wird die Größe der übertragenen Dateien künstlich auf die nächst größere Standardgröße erweitert. So lassen sich Metadaten weder über Zeit- noch über Größenkorrelationen ableiten.
Firmensitz und Serverstandort Deutschland
Ist es nicht ziemlich egal, wo die Server eines Cloud-Providers stehen bzw. wo der Anbieter seinen Firmensitz hat? Nein, ist es nicht! Sitzt der Anbieter in Deutschland und stehen seine Server in einem deutschen Rechenzentrum, gelten auch die deutschen Datenschutzgesetze in vollem Umfang. Das erschwert u.a. ausländischen Behörden den Zugriff auf sensible Daten.
Die uniscon GmbH hat Ihren Firmensitz in München und betreibt ihre Server ausschließlich in deutschen Rechenzentren. BDSG und DSGVO finden hier uneingeschränkt Anwendung. Das erleichtert nicht nur Support und Service, sondern wirkt sich auch direkt auf das Datenschutzniveau aus.
Kein privilegierter Zugriff
Bei den meisten Cloud-Anbietern ist ein privilegierter Server-Zugriff für Administratoren oder Wartungspersonal vorgesehen. Dieser Personenkreis könnte sich unerlaubt Zugang zu sensiblen Daten verschaffen und diese entwenden oder manipulieren. Organisatorische Maßnahmen erschweren den Zugang zwar, lassen sich aber umgehen.
uniscons einzigartige Sealed-Cloud-Technologie verhindert den privilegierten Zugang durch rein technische Maßnahmen. Weder Admins noch der Cloud-Anbieter oder seine Mitarbeiter haben Zugang zu den Daten auf den Servern. Und zwar weder im verschlüsselten Zustand noch während der Verarbeitung.
Übrigens ist uniscons Sealed Cloud nicht die einzige Infrastruktur, die den privilegierten Zugang technisch unterbindet: Auch ucloud des Aachener Anbieters regio iT setzt auf einen Confidential-Computing-Ansatz und erfüllen die Anforderungen an eine sichere deutsche Cloud.
Weitere Beispiele für ähnliche Technologien stammen von den großen Prozessorherstellern Intel und AMD. Es handelt sich um Intels SGX (Software Guard Extensions) und AMDs SEV (Secure Encrypted Virtualization). Beide Konzepte sehen vor, dass schützenswerten Daten innerhalb der Prozessorkerne unverschlüsselt verarbeitet werden, außerhalb dieser jedoch nur verschlüsselt vorliegen.
Zertifikate können helfen
Mit einem Zertifikat oder Testat können Cloud-Anbieter ihren Kunden gegenüber nachweisen, die rechtlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben. Cloud-Nutzer wiederum können damit belegen, dass sie ihre per Gesetz geforderte Sorgfaltspflicht erfüllt haben. Mehr Infos zu Cloud- und Datenschutz-Zertifikaten finden Sie hier.
Testen Sie jetzt kostenlos die sichere deutsche Cloud!
Einfach ohne Risiko anmelden und 14 Tage alle Funktionen ausprobieren – inklusive Datenraum. Die Testphase endet automatisch.