Informationssicherheit und die End2End-Lüge

Der Sicherheit in der Informationsverarbeitung, vor allem für Cloud-basierte Lösungen wird ein immer größerer Stellenwert zugeschrieben. Leider ist die Umsetzung mit allerhand Fallstricken verbunden, wobei klar ist: eine einfach und generalisierte Lösung gibt es nicht. Hier kommt dann die End-to-End Verschlüsselung (kurz: E2E-Encryption) als Lösungsbaustein zutage, doch handelt es sich keinesfalls um eine Pauschallösung für die Sicherheitsprobleme, wie dies im Cloud-Kontext suggeriert wird.

First Step: Sicherheitsbedarf ermitteln mit der Schutzbedarfsanalyse

Aber fangen wir am Anfang an, denn es geht zunächst nicht um Lösungen, sondern um die Fragen: Was für einen konkreten Bedarf haben Sie? Welche Sicherheitsanforderungen bestehen bei Ihnen? Hierzu dient eine Sicherheitsanalyse oder auch VIVA-Analyse genannt. VIVA steht für die Kernaspekte von Sicherheit:

  • Vertraulichkeit – Nur berechtigte Personen sollen Zugriff auf die Informationen erhalten.
  • Integrität – Die Informationen sollen nicht unbemerkt ergänzt, verändert oder gekürzt werden können.
  • Verfügbarkeit – Die Informationen sollen dann zur Verfügung stehen, wenn sie gebraucht werden.
  • Authentizität – Es soll sichergestellt sein, dass eine Information auch aus der Quelle stammt, für die sie sich ausgibt.

Sicherheit bedeutet also weit mehr als der vertrauliche Umgang mit Informationen.

Die richtige Dosierung finden

Neben der Art des Sicherheitsbedarfes muss auch geklärt werden, wie hoch der Schutzbedarf ist. Eine Möglichkeit ist die Klassifizierung in die üblichen Kategorien:

  • öffentlich
  • intern (z.B. “normale” Arbeitsunterlagen)
  • vertraulich
  • streng vertraulich

Unüberlegte oder überzogene Anforderungen können kontraproduktiv für die Sicherheit sein oder Auswirkungen z.B. auf Akzeptanz und Kosten haben. Ausgangsbasis ist hier die richtige Einstufung von Inhalten, denn nicht alle Inhalte sind gleich schützenswert.

Warum ist eine solche Unterteilung wichtig? Ganz einfach: Je größer der Schutzbedarf ist, desto größer ist der damit verbundene Aufwand und oft auch die damit einhergehenden Einschränkungen. Wer mag schon seine normalen Arbeitsunterlagen (Klassifizierung „intern“), die problemlos im Ablagefach auf dem Schreibtisch liegen können, in den Tresor sperren? Das ist nicht nur lästig und behindert die Arbeit, sondern verwandelt sich schnell in Kontraproduktivität.

Nehmen wir das altbekannte Spiel mit den „Passwortregeln“: Kontinuierliche Passwortwechsel und Regeln, um sicherere Passwörter zu erzwingen sind bis zu einem gewissen Grad sinnvoll. Erreichen die Regeln allerdings die Schmerzgrenze der Mitarbeiter, suchen sich diese Auswege. Das Passwort wird z.B. aufgeschrieben und steht unter der Tastatur oder baumelt sogar auf einem Post-It am unteren Rand des Monitors – damit ist niemandem geholfen.

Die Erkenntnis: Auf die Verhältnismäßigkeit der Mittel kommt es an.

Warum E2E-Encryption ?

Der Einsatz von End2End-Encryption kann selbstverständlich ein sinnvolles Mittel sein. Aber es sollte stets im Blick behalten werden, dass es nicht pauschal ist und am tatsächlichen Sicherheitsbedarf vorbei gehen kann.

Doch woher kommt die End2End-Lüge, vor allem im Kontext von Cloud-Lösungen?

  1. Es liegt vielfach keine fundierte Sicherheitsanalyse und Ableitung verhältnismäßiger Maßnahmen vor. Stattdessen wird auf Marketing-Aussagen vertraut.
  2. Cloud-Angebote gelten als unsicher, nicht vertrauenswürdig und benötigen daher besonderen Schutz.

Zur Absicherung nicht vertrauenswürdiger Angebote ist End2End-Encryption tatsächlich eine sinnvolle Maßnahme, wenn ein entsprechender Schutzbedarf vorliegt. Gegebenenfalls muss man sich aber auch über die angesprochenen Seiteneffekte bewusst sein. Usability, Funktionen und auch die Sicherheit kann davon negativ betroffen sein.

 

Wie kann End2End-Encryption die Sicherheit negativ beeinflussen?

Beispiel: Jedes moderne Email-System in Unternehmen besitzt Schutzmechanismen vor Spam und gefährlichen Anhängen mit Malware.

Ein Cloud-Storage-System mit End2End-Encryption bietet diese Option nicht. Grund ist die durchgängige Verschlüsselung, die es verwehrt, an zentraler Stelle entsprechende Schutzmaßnahmen zu realisieren. So gesehen reißen solche Systeme ein Loch in die Sicherheitsarchitektur eines Unternehmens.

Von anderen Risiken ganz zu schweigen: Wer garantiert bspw. die Verfügbarkeit? Gibt es Backups? So ganz außer Acht lassen sollte man diese Aspekte nicht, auch wenn es Zusicherungen gibt – schließlich liegt ja ein Misstrauen gegenüber dem Anbieter vor.

Wie funktioniert die e2e Lüge

Was ist die Alternative?

Ausgangspunkt sollte immer eine Sicherheitsanalyse samt Ableitung von angemessener Maßnahmen sein.

Angenommen, wir sprechen nicht von einer Hochsicherheitslösung, ist eine vertrauenswürdige Umgebung ausreichend, um z.B. End2End-Encryption durch verschlüsselte Kommunikation und evtl. verschlüsselte Ablage der Daten zu ersetzen. Zwei Beispiele hierfür sind:

  • Private Cloud – Ein Unternehmen kann Software auch selbst on premise / in der eigenen Cloud betreiben.
  • SaaS Angebote vertrauenswürdiger Anbieter – Handelt es sich um interne oder vertrauliche Daten, können auch SaaS-Angebote in Betracht kommen, die über entsprechende Service Level Agreements (SLAs) verfügen und deren Einhaltung über sinnvolle Zertifizierungen (z.B. ISO 27001, Informationssicherheitsmanagementsystem (ISMS)) verfügen.

 

Fazit – ein Weg aus der End2End-Lüge

Angemessene Lösungen zu finden muss das Ziel sein. Die Basis hierfür stellt eine umfassende Schutzbedarfsanalyse (VIVA) samt Schutzkonzept (Security Design) dar. Auf jeden Fall lohnt sich ein tiefergehender Blick, um einerseits bei keiner Scheinsicherheit zu enden, die andererseits das Business behindert.

 

Datensicherheit in Ihrer Fileshare Cloud

 

 

End2End-Verschlüsselung – Das Allheilmittel für die Cloud?

end2end-Verschlüsselung_CloudDass die Cloud neben vielen Vorteilen auch Probleme mit sich bringt ist  mittlerweile bekannt. Eines der Hauptprobleme sind Sicherheitsfragen. Sie resultieren daraus, dass bislang in vertrauenswürdigem Kontext wie z.B. dem geschützten Firmennetzwerk, abgelegte Daten nun an einem deutlich weniger vertrauenswürdigen Ort – eben der Cloud –  abgelegt werden.

Mehr

Dateitransfer: FTP, MFT, EFSS: Ein Streifzug durch die Geschichte

Geschichte des Dateitransfers_Julien-Eichinger-Fotolia.comZum Austausch von Dateien wurden bereits in den 1980er Jahren mit FTP (File Transfer Protokoll), Email-Attachments und Co. technische Lösungen geschaffen. Diese sind auch heute noch vielfach im Einsatz, weisen jedoch einige Schwachstellen auf. Sicherheitsprobleme, das Fehlen einer zentralen Verwaltung und Usability-Schwächen sind nur die wichtigsten.
Mehr

Datenschutz in der Cloud: Das Spiel mit der Angst

IT-Sicherheit_copyright-fotolia_lucadp-1Angst ist bekanntlich kein guter Ratgeber. Dass man dennoch leicht in die Angst-Falle tappt, ist nicht zuletzt auch Lobbyisten bekannt. So preisen die einen die Vorzüge der Cloud an und die nächsten warnen vor den Sicherheitsrisiken, die sich dahinter verbergen. Dass diese Risiken nicht ganz von der Hand zu weisen sind, ist unbestritten. Jedoch lohnt sich ein genauerer Blick.Mehr

Orientierungshilfe für OpenStack-Einsteiger

Auch wenn derzeit sehr viel zum Thema OpenStack berichtet wird, ist das Wissen darüber vielfach noch nicht vorhanden. Die Diskussionen werden oft mehr von Glaube als Fakten dominiert.

Ein Grund von vielen, weshalb es so schwer ist, sich als Einsteiger einen Überblick zu verschaffen, ist die Vielzahl an Services und der unklare Reifegrad für den praktischen Einsatz.

Eine kleine Hilfe, um sich einen Überblick zu verschaffen, hat nun OpenStack.org in Form des „Project Navigator“ (https://www.openstack.org/) veröffentlicht.

Dieser bietet eine gute Orientierungshilfe über Module inkl. deren Einsatz/Reife.

Hybrid Cloud – was ist das überhaupt?

Kommunikation über die Cloud - Hybrid CloudDerzeit ist in aller Munde: „Die Hybrid Cloud vor dem Durchbruch“. Immer mehr Unternehmen setzen auf eine Mischung von Angeboten aus Public Cloud und eigenen, sogenannten Private Cloud-Services. Die IT-Fachzeitschrift „Funkschau“ hat sich vor kurzem intensiv mit diesem Thema auseinandergesetzt (1). Auch die Ergebnisse großer Forschungsinstitute zeigen dahingehend einen klaren Trend auf: Schon bald wird der Cloud-Markt von der hybriden Wolke bestimmt werden. Gartner beispielsweise prognostiziert, dass bereits in drei Jahren circa 50 % aller Cloud-Lösungen auf hybrider Basis realisiert werden (2). Und dennoch können unserer Erfahrung nach bisher nur wenige Fachleute erklären, was eine Hybrid Cloud wirklich ist.Mehr