IaaS und PaaS - Erhöhte Anforderungen an Datenschutz
Das IT-Grundschutz-Kompendium ist auf die Sicherheitsanforderungen in Unternehmen und Behörden zugeschnitten. Ziel ist, dass die Anwender die für sie relevanten Bausteine auswählen können, um die Informationssicherheit zu verbessern. Die neue Edition ist zertifizierungsrelevant und löst damit die Edition 2018 ab. Neben technischen werden zugleich infrastrukturelle, organisatorische sowie personelle Aspekte berücksichtigt. Beispielsweise gibt es auch Abschnitte zu möglichen Fallstricken sowie „Maßnahmen für erhöhten Schutzbedarf“ (2.3), die über den Stand der Technik hinausgehen. Dazu zählt auch der Einsatz von Verschlüsselung (OPS.2.2.M17). Dabei unterscheidet das BSI zwischen der Verschlüsselung der Daten „in Motion“ (also beim Transport) und „at Rest“ (am Ablageort). Das Dokument rät dazu, dass alle Daten, die zwischen einer Organisation und einem Cloud-Provider übertragen werden, per Transportverschlüsselung gesichert werden sollten. Das ist jedoch die minimalste Anforderung, die eine Verschlüsselungslösung erfüllen sollte. Sensible Daten sollten nicht nur „in Motion“, sondern auch „at Use“ und „at Rest“ zu jedem Zeitpunkt verschlüsselt sein. Der Grund ist einfach: Nur so kann ein Unternehmen sicherstellen, dass weder Angreifer noch Unbefugte Dritte – und dazu zählen beispielsweise auch Administratoren von Cloud-Providern – Zugriff auf die Daten haben.
Zusätzlich weist das BSI darauf hin, dass Daten außerdem entweder im Unternehmen oder alternativ in der Cloud-Anwendung verschlüsselt werden können. Bei letzterem gibt es jedoch ein entscheidendes Problem: Die kryptografischen Schlüssel und der Verschlüsselungsvorgang der Daten liegen beim Cloud-Provider. Damit hat er Zugriff auf die unverschlüsselten Daten. „Darüber hinaus sollte vereinbart werden, dass der Cloud-Anwender bei Bedarf die Neuvergabe von Schlüsseln anstoßen und die Lebenszyklen der Schlüssel beeinflussen kann. Es ist zu beachten, dass bei der Verschlüsselung durch den Cloud-Diensteanbieter er auch für das Schlüsselmanagement verantwortlich ist. Mitarbeiter des Cloud-Diensteanbieters, die Kenntnis von den entsprechenden Schlüsseln haben, können so auf die Daten der Institution zugreifen.“ (OPS.2.2.M17 Einsatz von Verschlüsselung bei Cloud-Nutzung [ISB, IT-Betrieb](IA)). Deswegen sollten Unternehmen genau überlegen, ob sie einem Drittanbieter die Kontrolle über ihre kryptografischen Schlüssel und ihre Datenschutzprozesse überlassen. Gerade im Hinblick auf die Europäische Datenschutzgrundverordnung (EU-DSGVO) müssen die Unternehmen beachten, dass sie allein für den Schutz ihrer sensiblen Daten haften. Dies können sie nicht an Drittanbieter – auch nicht an die Cloud-Provider – delegieren.
Um das Schlüsselmanagement in der eigenen Hand zu behalten, empfiehlt das BSI Unternehmen, „eigene Verschlüsselungsmechanismen einzusetzen“. Als Beispiel werden HSM – also Hardware-Security-Module – genannt. Diese können sowohl das Schlüsselmanagement als auch die Verschlüsselung übernehmen. Der Nachteil: Bevor die Daten von einem HSM verschlüsselt werden können, werden sie unverschlüsselt an dieses übermittelt. Unternehmen benötigen also zusätzlich noch eine Lösung, die die Daten bereits verschlüsselt, bevor sie die sichere Unternehmensumgebung verlassen und an einen Drittanbieter geschickt werden. Also warum nicht gleich zwei Fliegen mit einer Klappe schlagen? Eine Verschlüsselungslösung wie das eperi Gateway bündelt sowohl den Verschlüsselungsprozess als auch das Schlüsselmanagement und könnte zusätzlich sogar an ein HSM angebunden werden, falls der Kunde das wünscht. Dabei stellt das Gateway außerdem sicher, dass es sich einfach in die bestehende IT-Infrastruktur integrieren lässt. Über API-Schnittstellen können außerdem CRM-Datenbanken problemlos verschlüsselt werden.
Unternehmen sollten sich eins vor Augen führen: Niemand kann verhindern, dass Daten gestohlen werden. Aber das eperi Gateway hilft dabei, dass Angreifer nichts mit den Daten anfangen können.