Moderne Verschlüsselungs-Tools
Verschlüsselung von Cloud bis Social
Verschlüsselung für Clouds
Werden Clouds als StorageStorage genutzt, sollten sowohl die Übertragung als auch die Speicherung der Daten verschlüsselt erfolgen, da Unternehmen Cloud-Storage-Lösungen zunehmend für vertrauliche Inhalte nutzen. Dabei sollte die Verschlüsselung vom Betreiber der Cloud unabhängig sein. Alles zu Storage auf CIO.de
Verschlüsselungs-Tools wie der IndendenceKey, Boxcryptor oder Cloudfogger erlauben zum Beispiel die Verschlüsselung der Daten bei Nutzung von Dropbox, Skydrive oder Google Drive. Wuala bietet sich als Cloud-Speicher mit integrierten Sicherheitsfunktionen an, wozu auch eine Datenverschlüsselung vor Übertragung in die Cloud gehört.
Foto: Intellicomp GmbH
Verschlüsselung für Social Media
Auch wenn eine Verschlüsselung bei sozialen MedienMedien wie FacebookFacebook auf den ersten Blick ungewöhnlich erscheint, kann auch hier der Bedarf an verschlüsselter Kommunikation bestehen. Marktanalysen gehen davon aus, dass die elektronische Kommunikation zunehmend über soziale Netzwerke stattfinden wird. Alles zu Facebook auf CIO.de Top-Firmen der Branche Medien
Sollen vertrauliche Nachrichten zum Beispiel auf Facebook vor Unbefugten geschützt werden, kann eine Lösung wie Scrambls Enterprise helfen. Über spezielle Browser-Erweiterungen können Nutzer, die das entsprechende Passwort kennen, die verschlüsselten Statusnachrichten auf Facebook & Co. lesen. Andere Nutzer können nicht Einsicht nehmen.
- Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen: - Mangel an Kontrolle:
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public-Cloud-Services. Da - Unzureichende Transparenz:
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen. - Virtualisierung:
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter. - Ort der Datenspeicherung:
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud-Service-Providers. - Public Clouds:
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet. - Zugriff auf die Cloud von privaten Systemen aus:
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile-Device- Management-Software. - Audits und Überwachung von Sicherheits-Policies:
Compliance- Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service- Provider im Spiel ist, sind entsprechende Audits aufwendig. - Risiken durch gemeinsame Nutzung von Ressourcen:
In Cloud- Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Wichtig für alle Verschlüsselungslösungen
Was für jeden Anwendungsbereich beachtet werden sollte: Verschlüsselungs-Tools schützen nur dann zuverlässig, wenn sie die Datenübertragung vom Sender bis zum Empfänger vollständig verschlüsseln. Datenschützer fordern deshalb für eine sichere elektronische Kommunikation eine Ende-zu-Ende-Verschlüsselung.
Bei der sicheren Datenspeicherung und bei der geschützten Datenübertragung sollte zudem immer eine Verschlüsselung nach dem Stand der Technik genutzt werden, wie im Bundesdatenschutzgesetz (BDSG) gefordert. Was als Stand der Technik hinsichtlich Schlüssellängen und Verfahren betrachtet werden kann, zeigt insbesondere ein Blick in die Technische Richtlinie "BSI TR-02102 Kryptographische Verfahren: Empfehlungen und Schlüssellängen" des Bundesamtes für Sicherheit in der Informationstechnik. So wichtig komfortable Verschlüsselungs-Tools für die Umsetzung der gesetzlichen Forderungen auch sind: Es hilft wenig, wenn die Verschlüsselung zwar ohne Widerwillen genutzt wird, aber dafür zu schwach ist.
Beispiele für Verschlüsselungs-Tools
|
Verschlüsselungsbereich |
Zu verschlüsselnde Daten |
Beispiel-Tools |
|
Speichermedien |
Gespeicherte Daten |
DataLocker EncryptDisc, Protectorion ToGo Pro, Sophos SafeGuard Encryption |
|
Mobile Endgeräte |
Gespeicherte DatenTelefonateSMSE-Mails |
Kaspersky Mobile Security, etaPhone, PhoneCrypt, SecuSUITE for BlackBerry 10 |
|
|
E-Mails, E-Mail-Anhänge |
E-Mail-Clients mit S/MIME, Secardeo certBox, Z1 SecureMail Gateway E-Mail, Verschlüsselungsservice von antispameurope |
|
Netzwerke |
Übertragene Daten, Datenzugriff |
VPN-Clients wie NCP Secure Entry, ClientVPN-Sticks wie SINA Business |
|
Cloud |
Übertragene Daten, Datenzugriff (vom Cloud-Betreiber unabhängige Verschlüsselung!) |
Boxcryptor, Cloudfogger, IndendenceKey, Wuala |
|
Social Media |
Vertrauliche Statusinformationen und Nachrichten |
Scrambls Enterprise |