Kategorien
Kommentar

Die Schlüssel gehören in die Hände der Anwender: TeamDrive erhält vierte ULD Datenschutz Rezertifizierung in Folge

Das Vertrauen in eine verschlüsselte Kommunikation zur Übertragung von sensiblen Informationen über das Internet wird immer wichtiger. Dabei gilt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unter der Leitung von Thilo Weichert als Vorreiter, wenn es um die unabhängige Überprüfung und Zertifizierung von Datenschutz und sicherheitsrelevanter Themen im Bereich der Informationstechnologie geht. TeamDrive hat sich im Laufe der letzten Jahre als die Dropbox Alternative für Unternehmen etabliert und setzt in Punkto Sicherheit konsequent auf eine End-to-End Verschlüsselung. Der Anbieter aus Hamburg und Gartner Cool Vendor in Privacy 2013 hat erfolgreich seine vierte ULD Datenschutz Rezertifizierung in Folge erhalten.

Die Schlüssel gehören ausschließlich in die Hände der Anwender

Im Rahmen der Rezertifizierung wurde die Sicherheit von TeamDrive in der Version 3 erneut erhöht. Neben der 256 Bit AES End-to-End Verschlüsselung wurde die Sicherheit zusätzlich mit einer RSA 3072 Verschlüsselung erweitert. Die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation nimmt immer weiter zu. Das bedeutet, dass der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist.

In diesem Zusammenhang ist es wichtig zu verstehen, dass sich der private Schlüssel für den Zugriff auf die Daten und des Systems ausschließlich im Besitz des Anwenders befinden darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten.

Trotz aller Versprechungen ist eine Verschlüsselung nutzlos, wenn Anbieter wie Dropbox oder Box über den Schlüssel verfügen und alle Daten entschlüsseln können. Die Kontrolle darüber gehört ausschließlich in die Hände der Anwender. Das muss jedes Unternehmen bei der Auswahl eines vertrauenswürdigen Anbieters berücksichtigen.

Kategorien
Analysen

Wie schützen Unternehmen ihre Daten gegen die Überwachung in der Cloud?

Die US-Regierung hat mit PRISM die Verunsicherung bei Internetnutzern und Unternehmen weiter vergrößert und damit den Vertrauensverlust gegenüber US-amerikanischen Anbietern enorm verstärkt. Nach dem Patriot Act, der oftmals als das Hauptargument gegenüber dem Einsatz von Cloud-Lösungen US-amerikanischer Anbieter genannt wurde, hat nun die Überwachung durch die NSA das Fass zum Überlaufen gebracht. Aus der Sicht eines Unternehmens kann unter diesen Umständen die Entscheidung derzeit nur lauten, sich gegen einen Cloud Anbieter aus den USA zu entscheiden, selbst dann, wenn dieser ein Tochterunternehmen mit Standort und Rechenzentrum in Europa oder Deutschland hat. Darauf hatte ich bereits in diesem Artikel hingewiesen. Nichts desto trotz muss das Wirtschaftsleben weitergehen, was auch mit der Cloud funktionieren kann. Hier gilt es allerdings auf die technische Sicherheit zu achten, die in diesem Artikel thematisiert wird.

Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die „National Security Letter (NSL)“ des US Patriot Act und den „Foreign Intelligence Surveillance Act (FISA)“. Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, „Kopier-Räume“ oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der „Bundesnachrichtendienst (BND)“ die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine „Anti-FISA-Klausel“ in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

  • Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
  • Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
  • Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

  • Die Benutzerregistrierung
  • Die Anmeldung
  • Den Datentransfer (Versand/ Empfang)
  • Übertragung der Schlüsselpaare (Public/ Private Key)
  • Der Speicherort auf dem Server
  • Der Speicherort auf dem lokalen Endgerät
  • Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)“ mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners „Cool Vendor in Privacy“ 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.

Kategorien
Services

Boxcryptor veröffentlicht Technical Preview der kommenden Version

Boxcryptor, das deutsche Startup zur Verschlüsselung von Daten auf bekannten Cloud Storage Services wie Dropbox, Google Drive und Microsoft SkyDrive hat erste technische Informationen zur neuen Boxcryptor Generation bekanntgegeben, dessen offizieller Release noch in diesem Quartal erfolgen soll.

Boxcryptor in a Nutshell

BoxCryptor integriert sich in einen Cloud Storage und synchronisiert die Daten verschlüsselt. Dazu wird zum Beispiel einfach unter dem Dropbox Ordner ein neuer Ordner beliebigen Namens angelegt. In diesem werden anschließend die Dateien und weitere Ordner abgelegt, die mit dem AES-256 Standard verschlüsselt in der Dropbox abgelegt werden. Derzeit unterstützt BoxCryptor DropBox, Google Drive, SugarSync und Microsoft SkyDrive.

Auf Grund einer breiten Plattformunterstützung, darunter Windows, Mac, Linux, Android und iOS wird der Vorteil der Ortsunabhängigkeit der Cloud ausgenutzt und es kann plattformübergreifend auf die Daten zugegriffen werden.

Mehr unter BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Neuigkeiten der Technical Preview

Die offizielle neue Boxcryptor Version beinhaltet ein neues Schlüsselmanagement und einfachere und bessere Kollaborationsmöglichkeiten insbesondere für Teams im Geschäftsumfeld. Zu nennen sind u.a. die Festlegung von Richtlinien und eine zentralisierte Verwaltung. Aber auch private Nutzer können mit der neuen Version Zugriff auf verschlüsselte Dateien freigeben, ohne dem Partner das eigene Passwort mitteilen zu müssen. Die Verschlüsselung in der neuen Boxcryptor Version beruht dann auf RSA (4096 bit) und AES (256 bit).

Folgende Features sind bereits in der Technical Preview für Windows vorhanden:

  • Sichere Zugriffsfreigabe: Das private Boxcryptor Passwort muss nicht mehr geteilt werden, um geteilte Dateien entschlüsseln zu können. Das private Passwort bleibt immer geheim und wird niemals übertragen. Wichtig hierbei: Boxcryptor hat auch nach wie vor zero knowledge.
  • Einfacherer Zugriff auf Dateien: Es gibt keinen speziellen Boxcryptor Ordner und mehrere Laufwerke mehr wie in den 1.x Versionen. Vielmehr gibt es nur noch ein Boxcryptor Laufwerk über das auf alle verschlüsselten Ordner zugegriffen werden kann.
  • Gruppenfunktion: Mit der Gruppenfunktion kann schnell und einfach der Zugriff auf Dateien für eine Gruppe ermöglicht werden. Des weiteren können Gruppen auch neu erstellt werden bzw. Gruppenmitglieder hinzugefügt und entfernt werden. Diese Funktion wird es später allerdings nur in der Business-Version geben.

Auch für Android ist eine erste Technical Preview verfügbar. Diese beinhaltet allerdings nur Grundfunktionen wie den Up- und Download zu Dropbox (hier können auch mehrere Konten parallel eingerichtet werden) sowie die lokale Speicherung auf dem Gerät selbst.

Kommentar

Boxcryptor gehört zu den wenigen deutschen Startups im Cloud Computing Markt, bei denen man von einer echten Innovation sprechen kann. Was Robert Freudenreich und sein Team mit ihrer Lösung bisher auf die Beine gestellt haben, trifft genau die Sorgen und Bedürfnisse der Anwender, um Daten unabhängig verschlüsselt von einem Cloud Anbieter in dessen Cloud Storage zu speichern. Boxcryptor schafft damit einen echten Mehrwert im Bereich der Cloud Storage Services, was meiner Einschätzung nach dazu führen wird, dass die ersten Übernahmeangebote nicht mehr lange auf sich warten lassen.

Kategorien
Services

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Cloud Storage Services wie Dropbox, Google Drive, SkyDrive oder Box erfreuen sich großer Beliebtheit, stehen aber ebenfalls immer wieder in der Kritik bzgl. des Datenzugriffs durch staatliche Organe oder den Anbietern selbst. Zwar werden die Daten verschlüsselt in den Cloud Storage übertragen. Die Daten werden aber in der Regel im Klartext und unverschlüsselt dort abgelegt. Das Startup die Secomba GmbH aus Deutschland (mal nicht Berlin) möchte diesen Missstand aus dem Weg schaffen und hat mit ihrem BoxCryptor einen Client für Dropbox und Google Drive entwickelt, der die Verschlüsselung übernimmt. Mitbegründer Robert Freudenreich hat mich auf der SecureCloud und CloudZone gefunden und mir den Boxcryptor vorgeführt.

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Um Daten verschlüsselt in einem Cloud Storage abzulegen behelfen sich viele mit der Software TrueCrypt, was „… insbesondere der vollständigen oder partiellen Verschlüsselung von Festplatten und Wechseldatenträgern“ dient. Zudem hat TrueCrypt den einen oder anderen Kniff, den es zu bewältigen gilt.

BoxCryptor integriert sich in den jeweiligen Cloud Storage und synchronisiert die Daten dann verschlüsselt. Dazu wird z.B. einfach unter dem Dropbox Ordner ein neuer Ordner beliebigen Namens angelegt. In diesem werden dann die Dateien und weitere Ordner abgelegt, die mit dem AES-256 Standard verschlüsselt in der Dropbox abgelegt werden sollen. Derzeit unterstützt BoxCryptor DropBox und Google Drive.

Auf Grund einer breiten Plattformunterstützung, darunter Windows, Mac, Linux, Android und iOS wird der Vorteil der Ortsunabhängigkeit der Cloud ausgenutzt und es kann plattformübergreifend auf die Daten zugegriffen werden.

Preise und Leistungen

BoxCryptor bietet drei verschiedene Preisstufen. Free, Unlimited Personal und Unlimited Business.

Die „Free“ Variante, wie der Name bereits sagt, ist kostenlos und verschlüsselt bis zu 2GB an Daten mit dem AES-256 Algorithmus. Darüber hinaus kann ein Laufwerk eingebunden werden.

Für „Unlimited Personal“ entstehen einmalige Kosten in Höhe von 29,99 EUR. Hier ist das Verschlüsselungsvolumen dann unbegrenzt. Verschlüsselt wird natürlich auch hier mit AES-256, zusätzlich gibt es noch die Dateinamenverschlüsselung und Nutzung mehrerer Laufwerke.

Einzig die „Unlimited Business“ Variante darf offiziell geschäftlich genutzt werden. Das ist für die beiden anderen Varianten untersagt. Diese Version kostet Einmalig 69,99 EUR und hat ansonsten dieselben Funktion wie die „Unlimited Personal“, also AES-256 Verschlüsselung, ein unbegrenztes Verschlüsselungsvolumen, Dateinamenverschlüsselung und die Möglichkeit zur Nutzung mehrerer Laufwerke.

Verbesserungspotential

BoxCryptor: Datenverschlüsselung für Dropbox, Google Drive & Co.

Was aktuell fehlt, ist die Entschlüsselung der Daten auf dem Cloud Storage, wenn man über die Webseite des Service auf die Daten zugreifen möchte. Aktuell werden die Daten dort halt verschlüsselt und als kryptische Datei- und Ordnernamen angezeigt, da für die Ver- und Entschlüsselung der lokale Client benötigt wird. Wie mir Robert allerdings verraten hat, arbeitet das Entwicklerteam bereits daran, auch hierfür eine Lösung zu finden. Wenn das Team um BoxCryptor es schafft diese Funktion zu implementieren, sind sie allerdings auf dem besten Weg damit einen Meilenstein im Bereich Cloud Storage Security zu leisten.

Fazit: BoxCryptor ist echt heißes Zeug und für alle ein Muss, die skeptisch gegenüber dem Datenschutz im Cloud Storage sind. Also anschauen und herunterladen unter http://www.boxcryptor.com

Kategorien
Events

Event-Tipp: SecureCloud 2012

Vom 9. bis 10. Mai 2012 findet die SecureCloud 2012, ein internationales Treffen von Cloud Computing Sicherheitsexperten, im Sheraton Congress Hotel in Frankfurt am Main statt.

Event-Tipp: SecureCloud 2012

Die SecureCloud 2012 wird von der Cloud Security Alliance (CSA), der European Network and Information Security Agency (ENISA), dem Center for Advanced Security Research Darmstadt (CASED)/Fraunhofer Institute for Secure Information Technology und der ISACA (previously the Information Systems Audit and Control Association) veranstaltet.

Die zweitägige Veranstaltung fokussiert sich auf neue technische Entwicklungen, erfolgreiche Strategien für das Risikomanagement sowie Änderungen der EU-Datenschutzrichtlinien und deren Bedeutung für Unternehmen. Zu den Themen der Englisch sprachigen Konferenz gehören:

  • Die neuen EU-Richtlinien und ihre Bedeutung für Cloud-Nutzer und Anbieter
  • Umgang mit Zwischenfällen in der Cloud
  • Cloud-Sicherheit aus der Kundenperspektive
  • Steuerung, Risiko und Compliance in der Cloud
  • Überwachung von Sicherheits- und Dienstebenen
  • Sicherheit von Virtualisierung
  • Praxisnahe Verschlüsselung für die Cloud
  • Cloud Forensic

Zu den Referenten der SecureCloud 2012 gehören unter anderem:

  • Dr. Carl-Christian Buhr
    European Commission, Mitglied im Kabinett der EU-Vizepräsidentin Neelie Kroes
  • Dr. Waldemar Grudzien
    Bundesverband Deutscher Banken e.V., Direktor
  • Thomas Endres
    Lufthansa, CIO
  • Eran Feigenbaum
    Google, Director of Security Google Apps
  • Billy Hawkes
    Irish Data Protection Commissioner
  • CJ Moses
    Amazon, Amazon Web Services Deputy, Chief Information Security Officer
  • Ari Juels
    RSA, Chief Scientist
  • Monika Josi
    Microsoft, Chief Security Advisor EMEA

Weitere Informationen zum Programm und die Anmeldung sind unter https://cloudsecurityalliance.org/events/securecloud-2012 zu finden.