Durchgängig verschlüsselt bleibt geschützt
Von Claudia Seidl, Uniscon
Woher weiß man, ob eine Cloud-Anwendung sicher ist? Besonders seit durch die NSA-Ausspähaffäre bekannt wurde, dass diverse Dienste mithilfe massenhaft ausgewerteter Daten Wirtschaftsspionage im großen Stil betreiben. Tatsächlich gibt es auch für den Mittelstand Wege und Mittel, unternehmenskritische Daten schützen. Hilflos sind Unternehmen nicht.
45 % der mittelständischen Unternehmen fehlt das nötige IT-Security-Know-how, um objektiv beurteilen zu können, ob eine Cloud-Anwendung sicher ist. Diese Zahl wurde in einer Langzeituntersuchung – dem IT-Cloud-Index – aus den eigenen Angaben der Führungskräfte erhoben. Gerade jetzt aber ist die Frage nach der Datensicherheit in der digitalen Geschäftskommunikation in allen Köpfen. Denn die NSA-Ausspähaffäre hat kleinen und mittleren Unternehmen (KMU) eines deutlich gezeigt: Sie machen sich mit der Nutzung von internationalen Cloud-Diensten transparent. Die gesammelten und in riesigen Datenbanken gespeicherten Metadaten geben genau Auskunft, wer mit wem wann wie viel Kontakt hatte. Ein geübter Online-Analyst kann in wenigen Sekunden herausfinden, welche Geschäftsbeziehungen ein Unternehmen hat – einfach nur mit einer Liste der Telefonanrufe und E-Mail-Kontakte. Sobald er tieferen Einblick in Verhandlungen, Verträge oder Bonität nehmen will, braucht er sich nur zunutze machen, dass viele Mitarbeiter ihre E-Mails nicht verschlüsseln.
Doch nicht nur die Transparenz bereitet Führungskräften Kopfzerbrechen: Firmen machen sich strafbar, wenn sie personenbezogene Daten ihrer Kunden unerlaubt weitergegeben. Sobald die Daten von unbefugten Dritten – kommerziellen Datensammlern oder Geheimdiensten – herausgefiltert und Profilen zugeordnet werden, ist die Verschwiegenheitspflicht nach § 203 StGb verletzt. Das könnte in den Unternehmen zukünftig einiges an Kosten verursachen. In Spanien z.B. kann es nach dem Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) mit bis zu 300.000 Euro bestraft werden, wenn Firmen Gmail oder Office 365 benutzen. Deshalb fragen sich viele Entscheider zu Recht, ob sie die Geschäftskommunikation komplett neu organisieren sollen. Und wenn ja, wie?
Für PGP sind Anwender zu faul
Eine schon seit Jahren bekannte Methode ist die Peer-to-Peer-Verschlüsselung, die Datenschützer und IT-Sicherheitsexperten empfehlen. Eine populäre Umsetzung findet sich in PGP (Pretty Good Privacy) und der freien Software GnuPGP. Letztere nutzen z.B. viele Anwälte, um die Kommunikation mit Mandanten zu verschlüsseln. Dazu wird der öffentliche Schlüssel auf der Website bereitgestellt. Wer ihn hat, kann dem Eigentümer Nachrichten schicken, die dann wirklich nur dieser mit seinem privaten Schlüssel decodieren und lesen kann.
Claudia Seidl ist freie Journalistin in München und leitet das Redaktionsbüro SCOMM Intercultural. Sie hat Geschichte, Philosophie und Soziologie studiert, Jahre in Mexiko und den USA verbracht. Wegen ihrer internationalen Erfahrungen spezialisiert sie sich auf gesellschaftliche Aspekte im interkulturellen Zusammenhang. Dazu gehören aktuell auch die Debatten über Privatsphäre im Internet auf www.privacyblog.de.
Peer-to-Peer-Verschlüsselung ist jedenfalls eine der sichersten Methoden, E-Mails mit unternehmenskritischem Inhalt zu verschicken. Leider wird sie wegen des Schlüsselmanagements aber auch oft als umständlich empfunden: Mitarbeiter tendieren dazu, sie aus Bequemlichkeit nicht zu benutzen.
De-Mail ist sicher – auf dem Papier
Die vom deutschen Bundesgesetz als „sicher“ erklärte De-Mail soll dieses Dilemma lösen. Wer De-Mails verschicken möchte, braucht sich nur mit seinem Personalausweis bei einem De-Mail-Anbieter registrieren und dort ein spezielles Postfach einrichten. Seine Mail erscheint dann mit einem digitalen Zertifikat. Betrug ist so fast ausgeschlossen. Allerdings ist jede Mail kostenpflichtig, was mit der Zeit ins Geld gehen kann.
Verschlüsselungsexperten sind außerdem skeptisch und kritisieren das System vehement: Denn die vertraulichen und eigens gesicherten Nachrichten werden in den Rechenzentren entschlüsselt, auf Viren überprüft und dann wieder verschlüsselt und an den Empfänger geschickt. Mitarbeiter des Diensteanbieters (z.B. die Systemadministratoren) könnten somit auf die unverschlüsselten Daten zugreifen – eine Sicherheitslücke, die schon etliche Unternehmen in Schwierigkeiten gebracht hat. Das aktuellste Beispiel dürfte der NSA-Whistleblower Edward Snowden sein.
Besser versiegelt und verplombt
Um Mitarbeitern den Zugang zu unverschlüsselten Daten generell zu verwehren, haben die Entwickler des Münchener Unternehmens Uniscon ein weltweit patentiertes System entwickelt: die Basistechnologie Sealed Cloud. Sie macht es Dritten – auch den Systemadministratoren eines Cloud-Dienstebetreibers – technisch unmöglich, auf unverschlüsselte Daten zuzugreifen.
Beim Sealed-Cloud-Konzept bleiben die Daten auch im Rechenzentrum unter Verschluss. (Grafik: © Uniscon)
Noch gibt es nicht viele IT-Dienste, die sich dieser sowohl betreibersicheren als auch datenschutzkonformen Technologie bedienen. Aber für Unternehmen existiert mit dem Cloud-Dienst Idgard von Uniscon bereits ein kostenpflichtiges Angebot im Bereich sicherer Geschäftskommunikation. Mit ihm kann man anhand eines einfachen Boxensystems datensensible Dokumente verwalten und firmenübergreifend austauschen.
Dazu gibt es ab August 2013 eine abhörsichere Chat-Funktion, die es Mitarbeitern ermöglicht, schnell und unkompliziert zu kommunizieren – wie sie es mit den Social-Media-Tools gewohnt sind. Das dürfte sich besonders bei der firmenübergreifenden Kommunikation und für mittlere und kleine Unternehmen bezahlt machen. Die Daten sollen nur auf Servern landen, die ausschließlich in Deutschland stehen, wo die geltenden Datenschutzgesetze Unternehmen mehr schützen als anderswo. Deshalb synchronisiert der Dienst Idgard die Daten der Endgeräte nur mit deutschen Servern.
Weil viele mittelständische Firmen den Aufwand für eine wirklich sichere Kommunikationslösung oft als zu hoch empfinden, hat das Münchner IT-Unternehmen Uniscon seinen Web Privacy Service IDGARD für Unternehmen entwickelt. IDGARD verschlüsselt selbsttätig die Daten, die Mitarbeiter und externe Partner über das Web austauschen. Dazu nutzt der Dienst ein elektronisch, kryptografisch und elektromechanisch versiegeltes Datenzentrum, genannt Sealed Cloud. Sealed Cloud bietet ein hohes Sicherheitsniveau, selbst Uniscon als Betreiber des Systems hat keinen Zugriff auf die Daten. In dieser „Cloud im Käfig“ stellt der Service sogenannte Privacy Boxes zur Verfügung, über die man geschäftliche Dokumente – auch über Firmengrenzen hinweg – sicher austauschen kann. Weder Hacker noch Administratoren können dann mitlesen.
Für die Arbeit mit IDGARD ist keinerlei zusätzliche Software auf dem Endgerät erforderlich. Die Bedienung ist einfach und anwenderfreundlich. Zur bequemen Integration in die vorhandene Geschäftssoftware gibt es kostenfreie Add-ins, z.B. für Outlook.
Und: Alle Daten des Nutzers bleiben in Deutschland. Das betrifft auch sensible Dokumente, die heute beim Anschauen auf Smartphones und Tablets oft für den Nutzer unbemerkt auf ausländische Server geladen werden. Hier sorgt der Service für einen Verbleib der Dokumente in den versiegelten Bereichen der Sealed Cloud in Deutschland und vermeidet so kritische Verstöße gegen geltendes Datenschutzrecht und Compliance-Regeln. Die Kosten sind erschwinglich: So zahlt ein Unternehmen pro IDGARD-Arbeitsplatz lediglich 6 bis 8 Euro monatlich für den gesamten Service.
Interessante Anwendungen von IDGARD sind z.B.
- die versiegelte Speicherung von Dokumenten für den mobilen Zugriff (der mobile Datenzugriff, z.B. via Smartphone, gilt in vielen Firmen als besonders risikobehaftet),
- der Austausch von geschäftlich sensiblen Dokumenten aller Art (Angebote, Verträge, technische Unterlagen, Analysen u.v.m.) über Firmengrenzen hinweg,
- ein versiegelter Arbeitsbereich für firmenübergreifende Projektteams oder Vertragsverhandlungen mit externen Partnern sowie
- die Recherche via Internet (z.B. für Patente, in der Entwicklung, im Marketing oder auch in Rechtsabteilungen).
Uniscon universal identity control GmbH, Agnes-Pockels-Bogen 1, 80992 München, (089) 38153876-0, contact@uniscon.de, www.uniscon.de; www.sealedcloud.de
