Tag: Sicherheit


Digitale Transformation: „Stell Dir vor es ist Cyberkrieg, und Du bist mittendrin!”

Man muss kein Sony-Vorstand sein um zu verstehen, dass durch einen erfolgreichen Angriff viel auf dem Spiel steht. Sei es die Reputation durch gestohlene Kundendaten oder sensible Unternehmensinformationen. Denn digitale Daten haben sich in allen Unternehmen zu kostbaren Werten entwickelt, die es zu schützen gilt. Es ist somit nur eine Frage der Zeit, bis man selbst ins Fadenkreuz von Hackern oder gar politisch motivierter Extremisten und Geheimdienste gerät. Das muss nicht zwangsläufig heute oder morgen passieren. Allerdings führt die sich stetig ausbreitende Digitalisierung zu einem höheren Vernetzungsgrad, den sich Angreifer zu nutze machen werden, um ihre Attacken zu planen. Continue reading “Digitale Transformation: „Stell Dir vor es ist Cyberkrieg, und Du bist mittendrin!”” »



Die Schlüssel gehören in die Hände der Anwender: TeamDrive erhält vierte ULD Datenschutz Rezertifizierung in Folge

Das Vertrauen in eine verschlüsselte Kommunikation zur Übertragung von sensiblen Informationen über das Internet wird immer wichtiger. Dabei gilt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) unter der Leitung von Thilo Weichert als Vorreiter, wenn es um die unabhängige Überprüfung und Zertifizierung von Datenschutz und sicherheitsrelevanter Themen im Bereich der Informationstechnologie geht. TeamDrive hat sich im Laufe der letzten Jahre als die Dropbox Alternative für Unternehmen etabliert und setzt in Punkto Sicherheit konsequent auf eine End-to-End Verschlüsselung. Der Anbieter aus Hamburg und Gartner Cool Vendor in Privacy 2013 hat erfolgreich seine vierte ULD Datenschutz Rezertifizierung in Folge erhalten.

Die Schlüssel gehören ausschließlich in die Hände der Anwender

Im Rahmen der Rezertifizierung wurde die Sicherheit von TeamDrive in der Version 3 erneut erhöht. Neben der 256 Bit AES End-to-End Verschlüsselung wurde die Sicherheit zusätzlich mit einer RSA 3072 Verschlüsselung erweitert. Die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation nimmt immer weiter zu. Das bedeutet, dass der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist.

In diesem Zusammenhang ist es wichtig zu verstehen, dass sich der private Schlüssel für den Zugriff auf die Daten und des Systems ausschließlich im Besitz des Anwenders befinden darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten.

Trotz aller Versprechungen ist eine Verschlüsselung nutzlos, wenn Anbieter wie Dropbox oder Box über den Schlüssel verfügen und alle Daten entschlüsseln können. Die Kontrolle darüber gehört ausschließlich in die Hände der Anwender. Das muss jedes Unternehmen bei der Auswahl eines vertrauenswürdigen Anbieters berücksichtigen.



Wie schützen Unternehmen ihre Daten gegen die Überwachung in der Cloud?

Die US-Regierung hat mit PRISM die Verunsicherung bei Internetnutzern und Unternehmen weiter vergrößert und damit den Vertrauensverlust gegenüber US-amerikanischen Anbietern enorm verstärkt. Nach dem Patriot Act, der oftmals als das Hauptargument gegenüber dem Einsatz von Cloud-Lösungen US-amerikanischer Anbieter genannt wurde, hat nun die Überwachung durch die NSA das Fass zum Überlaufen gebracht. Aus der Sicht eines Unternehmens kann unter diesen Umständen die Entscheidung derzeit nur lauten, sich gegen einen Cloud Anbieter aus den USA zu entscheiden, selbst dann, wenn dieser ein Tochterunternehmen mit Standort und Rechenzentrum in Europa oder Deutschland hat. Darauf hatte ich bereits in diesem Artikel hingewiesen. Nichts desto trotz muss das Wirtschaftsleben weitergehen, was auch mit der Cloud funktionieren kann. Hier gilt es allerdings auf die technische Sicherheit zu achten, die in diesem Artikel thematisiert wird.

Betroffene Parteien

Diese ganze Thematik gilt zwangsläufig nicht nur für Unternehmen, sondern für jeden Nutzer der aktiv in der Cloud kommuniziert und seine Daten teilt und synchronisiert. Zwar darf in diesem Zusammenhang das Thema Datenschutz nicht vernachlässigt werden, für Unternehmen steht in der Regel jedoch noch mehr auf dem Spiel, wenn Informationen mit Firmeninterna abgefangen werden oder Sprach- und Videokommunikation überwacht wird. An dieser Stelle muss erwähnt werden, dass dies in erster Linie nichts mit der Cloud zu tun hat. Datenkommunikation wurde lange vor Cloud-Infrastrukturen und -Services betrieben. Jedoch führt die Cloud in Zukunft zu einer immer stärkeren Vernetzung und dient als Dreh- und Angelpunkt moderner Kommunikations- und Kollaborationsinfrastrukturen.

Die aktuelle Sicherheitslage

Der PRISM Skandal zeigt das gesamte Ausmaß der Möglichkeiten, die es den US-Sicherheitsbehörden erlaubt, ungehindert und ungeachtet auf die weltweite Datenkommunikation zuzugreifen. Dazu nutzen die US-Behörden offiziell die "National Security Letter (NSL)" des US Patriot Act und den "Foreign Intelligence Surveillance Act (FISA)". Auf Grund dieser Anti-Terror Gesetze sind die US-Anbieter und deren Töchterfirmen im Ausland dazu verpflichtet Auskünfte über angefragte Informationen zu erteilen.

Im Rahmen der PRISM Enthüllungen wird ebenfalls über vermeintliche Schnittstellen, "Kopier-Räume" oder Backdoors bei den Anbietern spekuliert, mit denen Dritte direkt und ungehindert die Daten abgreifen können. Das widersprechen die Anbieter jedoch vehement.

US-Anbieter, nein Danke?

Während der Auswahl eines Cloud-Anbieters* werden verschiedene Segmente betrachtet die grob in technische und organisatorische Bereiche unterteilt werden können. Der technische Bereich spiegelt in diesem Fall die technische Sicherheit und der organisatorische die rechtliche Sicherheit wieder.

Die organisatorische Sicherheit ist mit Vorsicht zu genießen. Der Patriot Act öffnet den US-Sicherheitsbehörden legal die Türen, soweit ein Verdachtsfall vorliegt. Inwieweit dieses immer im rechtlichen Rahmen bleibt, vagen mittlerweile viele zu bezweifeln. An dieser Stelle ist Vertrauen gefragt.

Technologisch betrachtet sind die Rechenzentren der Cloud-Anbieter als sicher einzustufen. Der Aufwand und die Investitionen die von den Anbietern betrieben werden, kann kein normales Unternehmen erbringen. Aber auch hier gilt 100% Sicherheit kann niemals gewährleistet werden. Soweit möglich sollte der Nutzer zusätzlich eigene Sicherheitsmechanismen einsetzen. Weiterhin sollten die Gerüchte über staatliche Zugriffe der NSA nicht ungeachtet bleiben. Über zwei US-amerikanische Telefonanbieter gibt es bestätigte Berichte, in denen über direkte Zugriffe auf die Kommunikation durch die NSA und stark gesicherte Räumen, die über modernste Überwachungstechnologien verfügen, die Rede ist. In diesem Zusammenhang sollten auch die Anbieter von on-Premise IT-Lösungen betrachtet werden, inwieweit diese unterwandert sind.

Unter beiden Gesichtspunkten und der aktuellen Sicherheitslage sind US-amerikanische Anbieter mit Vorsicht zu genießen. Das gilt ebenfalls für deren Tochterfirmen mit einem Sitz in der EU. Denn auch diese sind nicht in der Lage zumindest die notwendige rechtliche Sicherheit zu erfüllen.

Aber auch der deutsche Geheimdienst darf nicht ungeachtet bleiben. Neueste Meldungen weisen daraufhin, dass der "Bundesnachrichtendienst (BND)" die Überwachung des Internets ebenfalls weiter massiv ausbauen wird. Dazu stehen Mittel in Höhe von 100 Million EUR bereit, von denen von der Bundesregierung bereits fünf Millionen EUR freigegeben wurden. Im Gegensatz zur NSA wird der BND nicht den vollständigen Datenverkehr im Internet speichern, sondern nur auf bestimmte verdächtige Inhalte prüfen. Dazu darf er laut dem G-10-Gesetz bis zu 20 Prozent der Kommunikationsdaten zwischen Deutschland und dem Ausland mitlesen.

Hardliner müssen mit sofortiger Wirkung sämtliche digitale sowie analoge Kommunikation einstellen. Das wird allerdings nicht mehr funktionieren, da die Abhängigkeit zu groß geworden ist und das moderne unternehmerische Dasein von der Kommunikation bestimmt wird. Es müssen daher andere legale Wege gefunden werden, trotz Überwachung, eine sichere Kommunikation und Datenübertragung zu gewährleisten.

* Ein Cloud-Anbieter kann in diesem Zusammenhang ein Service-Anbieter oder ein Anbieter von Private Cloud oder IT-Hard- und Software-Lösungen sein.

Anforderungen an sichere Cloud-Services und IT-Lösungen

Zunächst muss klar gesagt werden, dass es kein Allheilmittel gibt. Die Gefahr geht spätestens von dem Nutzer aus, der über die Gefahrenlage nicht aufgeklärt ist oder mit Absicht Unternehmensdaten entwendet. Ungeachtet dessen führen die PRISM Erkenntnisse zu einer neuen Sicherheitsbetrachtung im IT-Bereich. Und es ist zu hoffen, dass sich damit ebenfalls das Sicherheitsbewusstsein der Anwender vergrößert.

Unterstützung können Unternehmen dabei von Cloud-Services und IT-Lösungen erhalten, die das Thema Sicherheit von Beginn an zum bedingungslosen Teil ihres Leitmotivs gemacht haben. Das sollten unter den aktuellen Umständen bevorzugt Anbieter aus Europa oder Deutschland sein. Auch wenn es bereits erste Berichte über Verzwickungen und Einflüsse der US-Regierung und von US-Anbietern auf die Europäische Kommission gibt, die eine "Anti-FISA-Klausel" in der EU-Datenschutzreform verhindert haben, existieren in Europa keine vergleichbaren Gesetze wie der US Patriot Act oder FISA.

Demnach können auch europäische und deutsche IT-Anbieter, die nicht dem Patriot Act unterstellt und nicht staatlich unterwandert sind, US-amerikanischen Anwendern dabei helfen ihre Datenkommunikation sicher zu betreiben.

Kriterien für die Anbieterauswahl

Beim Thema Sicherheit geht es immer wieder verstärkt um Vertrauen. Und genau dieses Vertrauen erreicht ein Anbieter nur durch Offenheit, indem er sich von seinen Kunden technologisch in die Karten schauen lässt. IT-Anbieter stehen oftmals in der Kritik zu verschlossen zu sein und keine Auskünfte über ihre proprietären Sicherheitsprotokolle zu machen. Das stimmt zum Teil, denn es gibt auch Anbieter die darüber bereitwillig sprechen und kein Geheimnis daraus machen. So einen Anbieter gilt es zu finden.

Neben dem subjektiven Thema Vertrauen, ist es aber insbesondere die implementierte Sicherheit, die eine sehr wichtige Rolle spielt. Hier sollte darauf geachtet werden, dass der Anbieter aktuelle Verschlüsselungsmechanismen einsetzt, dazu gehören:

  • Advanced Encryption Standard – AES 256 für die Verschlüsselung der Daten.
  • Diffie-Hellman und RSA 3072 für den Schlüsselaustausch.
  • Message Digest 5/6 – MD5/MD6 für die Hash-Funktionalität.

Weiterhin nimmt die Bedeutung der End-to-End Verschlüsselung der gesamten Kommunikation immer stärker zu. Das bedeutet das der gesamte Prozess, den ein Nutzer mit der Lösung durchläuft, von Anfang bis Ende durchgehend verschlüsselt ist. Das beinhaltet u.a.:

  • Die Benutzerregistrierung
  • Die Anmeldung
  • Den Datentransfer (Versand/ Empfang)
  • Übertragung der Schlüsselpaare (Public/ Private Key)
  • Der Speicherort auf dem Server
  • Der Speicherort auf dem lokalen Endgerät
  • Die Sitzung während ein Dokument bearbeitet wird

In diesem Zusammenhang ist es wichtig zu verstehen, dass der private Schlüssel für den Zugriff auf die Daten und das System ausschließlich im Besitz des Anwenders sein darf. Und auch nur ausschließlich auf dem lokalen System des Anwenders verschlüsselt gespeichert wird. Der Anbieter darf über keine Möglichkeiten verfügen, diesen privaten Schlüssel wiederherzustellen und niemals auf die gespeicherten Daten Zugriff erhalten. Achtung: Es gibt Cloud-Storage Anbieter, die sowohl den privaten Schlüssel wiederherstellen, als auch auf die Daten des Nutzers Zugriff nehmen können.

Weiterhin gibt es Anbieter, von denen die Kontrolle über die eigenen Daten thematisiert wird. Das ist zwar richtig. Allerdings wird zwangsläufig früher oder später extern kommuniziert und dann ist eine harte End-to-End Verschlüsselung unumgänglich.

Empfehlung für das Management

In diesem Zusammenhang möchte ich gerne TeamDrive erwähnen, die ich vor kurzem analysiert habe. Die deutsche Filesharing und Synchronisations-Lösung für Unternehmen wurde vom "Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)" mit dem Datenschutz-Gütesiegel ausgezeichnet und gehört zu Gartners "Cool Vendor in Privacy" 2013. In den Medien wird TeamDrive hin und wieder als proprietär und verschlossen beschrieben. Das kann ich allerdings nicht bestätigen. TeamDrive hat mir für meine Analyse bereitwillig umfangreiche Informationen (z.T. unter NDA) zur Verfügung gestellt. Auch das selbst entwickelte Protokoll wird auf Anfrage für einen Audit offen gelegt.

Weitere Informationen zur Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung

Ich möchte noch auf meinen Sicherheitsvergleich zwischen TeamDrive und ownCloud hinweisen, in dem ich beide Sicherheitsarchitekturen gegenübergestellt habe. Der Vergleich gibt zudem weitere Hinweise, was bei der Auswahl einer sicheren Share-, Sync- und Collaboration-Lösung zu beachten ist.



Sicherheitsvergleich: TeamDrive vs. ownCloud

Dropbox polarisiert innerhalb der IT-Abteilungen. Vom Vorstand bis hin zum normalen Mitarbeiter greifen viele auf den beliebten Cloud-Storage Service zurück. Das liegt vor allem an der einfachen Nutzung, die von den internen IT-Abteilungen heute nicht so unkompliziert bereitgestellt wird. Hier greifen insbesondere zwei aus Deutschland heraus entwickelte Lösungen an, die es Unternehmen erlauben, eigene Dropbox ähnliche Funktionen innerhalb einer selbstverwalteten IT-Infrastruktur zu implementieren, TeamDrive und ownCloud. TeamDrive vertritt dabei einen vollständig kommerziellen und proprietären, ownCloud hingegen einen vermeintlichen Open-Source Ansatz, dem aber ebenfalls eine kommerzielle Version zu Grunde liegt. Beide beanspruchen für sich den Titel "Dropbox für Unternehmen". Bewegen wir uns allerdings genau in diesem Umfeld, spielt das Thema Sicherheit eine sehr wichtige Rolle.

Hintergrund zu TeamDrive und ownCloud

TeamDrive und ownCloud verfolgen zwei unterschiedliche Geschäftsmodelle. Wo sich TeamDrive als vollständig kommerzielles Produkt für Unternehmen am Markt positioniert, setzt ownCloud auf die Open-Source Community, um damit Marktanteile zu gewinnen. Mit einer kommerziellen Version adressiert ownCloud allerdings auch den Markt für professionelle Unternehmenslösungen.

Über TeamDrive

TeamDrive ist eine Filesharing und Synchronisations-Lösung für Unternehmen, die ihre sensiblen Daten nicht bei externen Cloud-Services speichern wollen und es ihren Teams zudem ermöglichen möchten, Daten oder Dokumente zu synchronisieren. Dazu überwacht TeamDrive beliebige Ordner auf einem PC oder Notebook, die man mit eingeladenen Anwendern gemeinsam nutzen und bearbeiten kann. Damit stehen Daten jederzeit, auch offline zur Verfügung. Eine automatische Synchronisation, Backups und Versionierung von Dokumenten schützen die Anwender vor Datenverlust. Mit der Möglichkeit die TeamDrive Registration- und Hosting-Server im eigenen Rechenzentrum zu betreiben, lässt sich TeamDrive in vorhandene IT-Infrastrukturen integrieren. Dafür stehen alle notwendigen APIs zur Verfügung.

Über ownCloud

ownCloud ist eine Open-Source Filesync- und –sharing-Lösung für Unternehmen und Organisationen, die ihre Daten weiterhin selbst unter Kontrolle behalten möchten und nicht auf externe Cloud-Storages zurückgreifen wollen. Der Kern der Anwendung besteht aus dem ownCloud Server über welchen sich die Software zusammen mit den ownCloud-Clients nahtlos in die existierende IT-Infrastruktur integriert und die Weiternutzung bereits vorhandener IT-Management-Tools ermöglicht. ownCloud dient als lokales Verzeichnis, bei dem unterschiedliche lokale Speicher gemountet werden. Dadurch stehen die entsprechenden Dateien allen Mitarbeitern auf allen Geräten zur Verfügung. Neben einem lokalen Storage können ebenfalls Verzeichnisse über NFS und CIFS angebunden werden.

TeamDrive und ownCloud: Die Sicherheitsarchitektur

In diesem Vergleich soll es um die Sicherheitsarchitektur hinter TeamDrive und ownCloud gehen. Der sonstige Funktionsumfang der beiden Lösungen wird nicht betrachtet. Es geht also um die Betrachtung der Verschlüsselungsverfahren, Datenhaltung, Datenverarbeitung und der Benutzerautorisierung, soweit Informationen zur Verfügung stehen. Dabei wird davon ausgegangen, dass grundlegende Kenntnisse zum Thema Sicherheit bekannt sind.

TeamDrive: End-to-End Verschlüsselung

TeamDrive ist trotz seines kommerziellen Ansatzes recht auskunftsfreudig und stellt einige Sicherheitsinformationen öffentlich zur Verfügung. Darunter zu dem Thema Verschlüsselung. Zudem wird mit dem Datenschutzsiegel des „Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)“ geworben. Nach einer Anfrage wurden bereitwillig umfangreiche Informationen zur Verfügung gestellt, wobei einige jedoch einem NDA (Non-Disclosure Agreement) unterliegen.

Verschlüsselungsverfahren

TeamDrive setzt auf die folgenden Verschlüsselungsmechanismen:

  • Advanced Encryption Standard – AES 256
    Zur Verschlüsselung der Daten setzt TeamDrive auf das Advanced Encryption Standard (AES) Kryptosystem mit einem 256 Bit Schlüssel und verwendet die C Code Implementation der OpenSSL library.
  • Diffie-Hellman und RSA 3072
    Für den Schlüsselaustausch setzt TeamDrive bei seinen älteren Clients auf den Diffie-Hellman Algorithmus. Neue Clients hingegen verwenden RSA 3072. Die Diffie-Hellman Implementierung basiert dabei auf der C Code Implementation wie sie von der OpenSSL library zur Verfügung gestellt wird.
  • Message Digest 5/6 – MD5/MD6
    Der TeamDrive Hash-Funktionalität liegt der MD5 bzw. MD6 Algorithmus zu Grunde, wobei der Hashwert mit einer zufällig gewählten Zeichenfolge (Salt) gespeichert wird.
  • PrimeBase Privacy Guard – PBPG
    Der PrimeBase Privacy Guard (PBPG) ist ein proprietäres Public/Privat Schlüsselsystem, das auf dem Diffie-Hellman Schlüsselaustausch und der AES Verschlüsselung aufsetzt. Das Verhalten von PBPG für den Anwender gleicht dem bekannten Public/Privat Schlüsselsystemen von PGP oder GnuPG. Die PBPG-Verschlüsselung generiert zufällige Änderungen und verifiziert die Dateien während des Austauschs, damit PBPG erkennen kann, ob eine Nachricht oder ein Schlüssel manipuliert oder anderweitig verändert worden sind. Zwei Nachrichten sind dabei niemals gleich. Dabei wird nicht nur für jeden Benutzer ein Schlüsselpaar erzeugt, sondern ebenfalls für jede Installation. Die PBPG Implementierung ist offen und kann bei Bedarf von Partnern und anderen Interessierten überprüft werden.

Systemarchitektur

Daten werden bei TeamDrive in einem sogenannten Space gespeichert, auf dem eine festgelegte Anzahl von Nutzern Zugriff erhalten kann. Der Austausch findet über ein Space Depot statt, welches auf einem TeamDrive Hosting Server oder WebDAV liegen kann.

Jeder Space verfügt über seinen eigenen 256 Bit AES Schlüssel, der für die Verschlüsselung der Daten in diesem Space genutzt wird, wenn die Daten das Endgerät des Nutzers verlassen. Dabei hat nur die TeamDrive Software, welche auf dem Endgerät der anderen Nutzer eines Spaces installiert ist, Kenntnisse über den Schlüssel.

Jeder Server auf dem ein Space Depot zur Verfügung steht, ist für das Speichern, Weiterleiten und Anpassen von Veränderungen innerhalb des Depots verantwortlich. Damit können die Clients auch dann Daten austauschen, wenn nicht alle zur selben Zeit online sind. Alle Daten, die auf dem Server gespeichert sind, werden mit einem 256 Bit AES Schlüssel des Spaces verschlüsselt.

Benutzerautorisierung

Die Anmeldung eines Nutzers erfolgt über die TeamDrive Client-Software, die ihn gegen den TeamDrive Registrierungsserver überprüft. Das erfolgt grundsätzlich über die Eingabe einer E-Mail Adresse oder eines Benutzernamens und eines Passworts.

Die Autorisierung zwischen dem TeamDrive Client und dem Registrierungsserver erfolgt auf Basis des Public Key des Registrierungsserver. Informationen wie die E-Mail-Adresse und das Registrierungspasswort plus weitere Daten des Benutzers werden unter der Verwendung des Public Key des Registrierungsservers verschlüsselt an den Registrierungsservers übertragen.

Einzig der Aktivierungscode wird unverschlüsselt über eine ebenfalls unverschlüsselte E-Mail an den Nutzer verschickt. Zudem wird eine verschlüsselte Antwort mit der Device ID an den TeamDrive Client gesendet. Nach der Aktivierung durch den Nutzer generiert die Client-Software einen PBPG Key und einen passenden Public Key. Im Anschluss schickt die Client-Software das Registrierungspasswort und den Public Key verschlüsselt, unter Verwendung des Public Keys des Servers, an den Registrierungsserver zurück. Der Aktivierungscode wird verifiziert und der Public Key des Nutzers gespeichert. Alle im Anschluss folgenden Nachrichten, die an den Registrierungsserver geschickt werden, sind mit dem PBPG Public Key des Nutzers verschlüsselt und benötigen die Geräte-ID und das Registrierungspasswort zur Autorisierung.

Datenhaltung und Verarbeitung

Zum Erzeugen eines Space, benötigt der Benutzer ein Space Depot und dessen Passwort. Damit weiß der TeamDrive-Client, mit welchem Server er Kontakt aufnehmen muss, um den Space zu erzeugen. Anschließend fordert die Client-Software den Public Key des TeamDrive Hosting Servers an. Die Client Software sendet die Geräte-ID, die Space Depot ID, Benutzername, Benutzer-ID, den Public Key des Benutzers und den Namen des Spaces als verschlüsselte Nachricht an den TeamDrive Server. Die Nachricht wird mit dem Public Key des Servers verschlüsselt übertragen. Die Space Depot ID und das Passwort werden überprüft. Für die verschlüsselte Übertragung der Antwort wird der Public Key des Benutzers verwendet. Der TeamDrive Server erstellt einen neuen Space auf dem vorgegebenen Space Depot. Ein 128 Bit "Genehmigungscode" wird zufällig für den neuen Space erzeugt und an den Client zurückgesendet.

Für den Zugriff auf einen Space wird die entsprechende URL, ein Autorisierungscode und ein Space Datenschlüssel benötigt. In der URL ist die Adresse des Servers, über die das Space Depot mit dem Inhalt des Spaces angesprochen wird, sowie die Space ID, enthalten. Veränderungen in dem Space werden auf das Space Depot und in den Space hochgeladen bzw. heruntergeladen. Dabei werden HTTP PUT und POST Methoden verwendet. Bevor eine Datei den Client verlässt, wird diese komprimiert und mit dem 256-Bit AES Schlüssel verschlüsselt.

Um auf einen Space zuzugreifen, öffnet der TeamDrive Client eine Session mit dem Server. Darin wird zunächst die ID des Space, auf den der Zugriff stattfinden soll, übertragen. Der Server erzeugt nach erfolgreicher Prüfung eine neue Session ID mit einer 128-Bit Zufallszahl (RND) und sendet diese an den Client zurück, der hier lokal abgelegt wird. Für das Hochladen und Löschen von Daten verwendet der Client die RND und den Autorisierungscode des Space und verknüpft diese xor inkl. einer MD5 Operation auf dem Ergebnis. Das Ergebnis wird zusammen mit der Session ID und den verschlüsselten Daten an den Server geschickt.

Die Sicherheit eines Space Depot wird dadurch sichergestellt, dass nach jeder Anfrage ein zufälliger RND Wert zurückgesendet wird, die der Client jedes Mal für einen lokalen Wert neu berechnen muss. Zudem garantiert ein MD5 Hash, dass der Autorisierungscode des Space nicht abgeleitet werden kann. Auch dann wenn der RND und der lokale Wert auf der Client-Seite bekannt sind. Damit wird ebenfalls verhindert, dass ein Angreifer in eine Session eindringen kann, um Daten auf den Server hochzuladen.

Zusammenfassung

Die Datensicherheit in einem TeamDrive Space wird durch die Verschlüsselung der Daten mit einem 256-Bit AES Schlüssel sichergestellt. Dabei ist der Schlüssel nur den TeamDrive Clients bekannt die Mitglied eines Space sind. Anbieter von Storage-Services auf Basis von TeamDrive oder Systemadministratoren haben keinen Zugriff auf die Daten. Der Austausch der Space Autorisierungsschlüssel unter TeamDrive Nutzern erfolgt mit einem sicheren Public/Privat-Key Verfahren, welches selbst eine 256-Bit AES Verschlüsselung verwendet. Der Zugriff auf ein Space Depot bzw. einem Space wird mit einem 128-Bit Autorisierungscode geschützt. Mit dem Autorisierungscode wird verhindert, dass der Speicherplatz eines Space Depot bzw. eines Space von unautorisierten Dritten verwendet werden kann.

Neben der verschlüsselten Speicherung der Daten auf den Servern und den Clients, werden die Daten ebenfalls während der Übertragung immer komplett verschlüsselt, wodurch TeamDrive eine vollständige End-to-End Verschlüsselung der Daten gewährleistet.

Weiterhin ist zu erwähnen, dass TeamDrive von dem "Unabhängigen Landeszentrum für Datenschutz in Schleswig Holstein (ULD)" das Datenschutzgütesiegel erhalten hat. Die Prüfnummer lautet 2-3/2005. Darüber hinaus wurde TeamDrive im Mai 2013 von Gartner zum "Cool Vendor in Privacy" 2013 benannt.

ownCloud: Serverseitige Verschlüsselung

Bei ownCloud sucht man vergeblich nach öffentlichen Sicherheitsinformationen, die von ownCloud selbst zur Verfügung gestellt werden. Das verwundert ein wenig, da selbst in der ownCloud Community scheinbar viele offene Fragen [1], [2] hinsichtlich der Serverseitigen Verschlüsselung und der Verschlüsselung im Allgemeinen bestehen. Einzig ein Blog-Beitrag ist zu finden, in dem das grundsätzliche Verständnis von ownCloud zum Thema Sicherheit öffentlich dargestellt wird. Auf direkte Nachfrage bei ownCloud wurden jedoch anstandslos Fragen beantwortet und weitere Informationen zur Verfügung gestellt.

Verschlüsselungsverfahren

Für die Verschlüsselung der Daten setzt ownCloud 5.0 auf den Advanced Encryption Standard (AES) mit einem 256 Bit Schlüssel.

Der Sicherheitsblogger Pascal Junod hatte sich Anfang 2012 mit der Verschlüsselung von ownCloud 4.0 auseinandergesetzt. Die notwendigen Informationen sind in der OC_Crypt class zu finden. Junod hat in diesem Zusammenhang diese PHP Datei analysiert und entsprechende Informationen veröffentlicht. Demnach wird der Schlüssel in der mt_rand() PHP Routine generiert. Die den Mersenne Twister, einen Pseudozufallszahlengenerator, implementiert. Junod kommentiert, das es sich dabei nicht um eine kryptographisch gute Qualität handelt. Der generierte Schlüssel wird mit dem Benutzerpasswort in Verbindung mit dem symmetrischen Blockverschlüsselungsalgorithmus Blowfish im ECB Mode verschlüsselt und anschließend in der encryption.key gespeichert. Junod kommt zu der Schlussfolgerung, dass ein Angreifer im Besitz dieser Datei über die Brute-Force-Methode an das Passwort gelangen könnte. Er macht zudem darauf aufmerksam, dass dieser Schlüssel für die Verschlüsselung sämtlicher Daten eines Nutzers verwendet wird und dass die Daten serverseitig verschlüsselt werden. Er beschreibt weitere Möglichkeiten, um die encryption.key zu stehlen. So wird das Passwort, welches für die Verschlüsselung der Datei zuständig ist, in Klartext (einfaches HTTP) vom Client an den Server übertragen. Wird die Verbindung nicht mit HTTPS gesichert, ist jeder in der Lage die Kommunikation abzuhören und das Passwort zu stehlen und könnte somit auf den ownCloud Account und sämtliche Daten zugreifen. Weiterhin wird die encryption.key im Klartext in den Sitzungsdaten auf der Serverseite gespeichert. Die meiste Zeit im /tmp Verzeichnis. Das bedeutet, dass ein böswilliger ownCloud Serveradministrator in der Lage wäre, die Daten zu entschlüsseln. Zudem weißt Junod darauf hin, dass die Verschlüsselung serverseitig vorgenommen wird, wodurch ein Systemadministrator mutwillig die ownCloud Installation manipulieren könnte. Er empfiehlt daher ownCloud 4.0 niemals einzusetzen, um vertrauliche Informationen zu speichern.

ownCloud bestätigt in der Anfrage, dass ownCloud 5.0 selbst keine vollständig integrierte End-to-End Verschlüsselung in der Software implementiert hat. Dies kann jedoch mit Tools von Drittanbietern realisiert werden. Weiterhin wird Verschlüsselung "at rest" betrieben. Das bedeutet, dass die Daten physikalisch in verschlüsselter Form gespeichert werden. Die Verbindung zwischen den Endgeräten und dem Server wird mit SSL gesichert. Der Schlüsselaustausch erfolgt autorisiert über die Provisioning API. Ein umfangreiches Schlüsselmanagement soll in Zukunft folgen.

Systemarchitektur

ownCloud verfügt über ein Plugin für die serverseitige Verschlüsselung, mit der Administratoren die Daten verschlüsselt auf dem Server ablegen können. Nutzer erhalten Zugriff auf die Daten und können diese teilen, als seien sie unverschlüsselt. Das neue Plugin in ownCloud 5.0 ersetzt dabei die Sicherheitslücke in ownCloud 4.0, bei der ein böswilliger Systemadministrator die Sicherheitsarchitektur umgehen konnte, indem er Anpassungen am ownCloud Quellcode vornehmen konnte, um eine Backdoor oder einen Passwort Sniffer zu integrieren. Für die Verschlüsselung der Daten während der Übertragung vom Server zum Endgerät wird SSL verwendet. Das Passwort kann von einem Nutzer jederzeit geändert werden. Sämtliche Dateien werden anschließend mit dem neuen Passwort verschlüsselt.

Für eine serverseitige Sicherheit muss der Administrator die Verschlüsselungs-App in ownCloud der ownCloud Managementkonsole aktivieren und den Hacken „Verschlüsselung“ in der Admin-Oberfläche setzen. Anschließend wird ein Schlüsselpaar (Public/ Private) für alle Nutzer erstellt. Hierzu wird das Nutzerpasswort verwendet, um den privaten Schlüssel zu schützen. Darüber hinaus wird, für jede auf den Server hochgeladene Datei, ein symmetrisches Schlüsselpaar erstellt. Die von dem Nutzer hochgeladenen Daten werden mit dem symmetrischen Schlüssel verschlüsselt und gespeichert. Als Algorithmus wird der Advanced Encryption Standard (AES 256) verwendet. Der symmetrische Schlüssel wird mit dem privaten Schlüssel des Nutzers verschlüsselt und auf dem Server abgelegt. Werden die Daten von dem Server abgerufen, werden sie zunächst entschlüsselt und anschließend über eine SSL-Verbindung an den Client gesendet. Die Verschlüsselungsroutine verhält sich mit anderen, an ownCloud angebundenen Applikationen, wie der Web-Oberfläche, der Versionierung und dem Algorithmus für die Synchronisierung, exakt gleich. Ändert ein Nutzer sein Passwort, wird sein privater Schlüssel mit dem alten Passwort entschlüsselt und mit dem neuen Passwort erneut verschlüsselt.

Für den Nutzer gleicht eine auf den ownCloud Server hochgeladene und anschließend verschlüsselte Datei wie eine nicht verschlüsselte Datei. Die Verschlüsselung ist für ihn vollständig transparent. Wird eine Datei mit einem anderen Nutzer geteilt, werden die öffentlichen Schlüssel von jedem dieser Nutzer in der verschlüsselten Datei hinterlegt. Diese Nutzer können damit auf die Datei zugreifen und Änderungen an ihr vornehmen, als handelt es sich um eine unverschlüsselte Datei. Genauso verhält es sich mit einem Ordner. Nutzer können keine Dateien öffnen, die nicht für sie bestimmt sind. Sollte ein böswilliger Nutzer versuchen, Zugriff auf das Speicher-Backend zu nehmen, werden die Dateien und Schlüssel darin unlesbar.

Ist das entsprechende Plug-In aktiviert, ist ein Systemadministrator in der Lage, über die Kommandozeile, alle Dateien zu sehen, die auf ownCloud gespeichert sind. Allerdings sind die Inhalte der Dateien verschlüsselt. Es können weiterhin normale Backups vorgenommen werden, jedoch bleiben alle Dateien verschlüsselt. Selbst dann, wenn die Daten nach außerhalb des Systems kopiert werden. Ein Administrator kann zudem weitere Einstellungen vornehmen, um bestimmte Dateigrößen und -formate von der Verschlüsselung auszuschließen.

Zusammenfassung

Mit der Version 5.0 bietet ownCloud nun auch serverseitige Verschlüsselung der Daten an. Jedoch muss von einem Administrator dazu explizit ein Plug-In aktiviert werden, um Dateien mit AES 256 zu verschlüsseln. Verlässt eine Datei den ownCloud Server wird sie zunächst entschlüsselt und über eine SSL-Verbindung an den ownCloud-Client übertragen. Das bedeutet, dass eine vollständige End-to-End Verschlüsselung derzeit mit einfachen Bordmittel nicht zur Verfügung steht, was ownCloud selbst bestätigt.

Das ownCloud Encryption-Module wurde für den Einsatz innerhalb eines Unternehmens-Rechenzentrum, auf unternehmenseigenen Servern und unter der Verwaltung von vertrauensvollen Administratoren, entwickelt.

Empfehlung für das Management: TeamDrive vs. ownCloud

Der Vergleich von TeamDrive mit ownCloud stellt gewissermaßen auch einen kommerziellen einem Open-Source Ansatz gegenüber. Was hier jedoch ein wenig irritiert ist die Offenheit des kommerziellen Anbieters TeamDrive gegenüber ownCloud. Kommerzielle Anbieter werden oftmals kritisiert, wenig über ihre Sicherheitsarchitektur zu sprechen. In diesem Fall sehen wir genau das Gegenteil. Das mag bei ownCloud möglicherweise daran liegen, dass bisher nicht viel Sicherheit respektive Verschlüsselung implementiert war, über die man sprechen konnte. Erst mit der ownCloud Version 5.0 wurde ein Modul für die serverseitige Verschlüsselung implementiert. Dass allerdings Informations- aber insbesondere Sicherheitsbedarf besteht, zeigen die Fragen aus der ownCloud Community. Hier ist die ownCloud Community auch weiterhin gefordert, mehr öffentliche Informationen und Sicherheit einzufordern.

In diesem Zusammenhang macht der Inhalt des oben angesprochenen Blog-Artikels von ownCloud Sinn, der die grundlegende Sicherheitsphilosophie von ownCloud widerspiegelt. ownCloud sieht das Thema Verschlüsselung zwar als einen wichtigen Punkt an. Der Fokus sollte aber eher auf der Kontrolle der Daten liegen.

Sicherheit vs. Flexibilität

TeamDrive setzt auf einen vollständig integrierten Ansatz und bietet zudem eine End-to-End Verschlüsselung aller Daten, die vom Server zum Client des jeweiligen Endgeräts übertragen werden. Damit ermöglicht es TeamDrive trotz eines sehr hohen Anspruchs an das unbequeme Thema Sicherheit, die bequeme Nutzung eines Cloud-Storage Service. ownCloud entschlüsselt die Daten erst wenn diese vom Server geladen werden und überträgt sie in einer SSL-Verbindung. Die fehlenden Bordmittel zur End-to-End Verschlüsselung lassen sich mit externen Lösungen von Drittanbietern erreichen. Hier sollte jedoch bedacht werden, dass die Integration damit aufwändiger wird und ob ein Open-Source Ansatz speziell in diesem Fall noch Kostenvorteile bietet.

Verschwiegen werden darf nicht, dass ownCloud auf Grund seines Open-Source Ansatzes mehr Flexibilität bietet als TeamDrive und damit vollständig den eigenen Bedürfnissen nach an die eigene IT-Infrastruktur angepasst werden kann, wenn das erforderlich ist. Hinsichtlich der Sicherheit besteht bei ownCloud allerdings noch Nachholbedarf. Das hat zur Folge, dass die Lösung per se nicht den aktuellen Sicherheitsansprüchen von Unternehmen entspricht und daher nur bedingt zu empfehlen ist.

Am Ende muss die Entscheidung getroffen werden, ob ein Unternehmen einen kommerziellen und integrierten Ansatz inklusive Sicherheitsmechanismen anhand von Bordmittel erwartet oder eine Open-Source Software, für die weitere externe Sicherheitslösungen benötigt werden, die selbst zu integrieren sind. Wer eine All-in-One Lösung inklusive vollständiger End-to-End Verschlüsselung und damit gleichzeitig mehr Sicherheit sucht, sollte sich für TeamDrive entscheiden.



Mitarbeiter ignorieren Unternehmensrichtlinien zur Cloud-Nutzung (weil sie diese nicht kennen)

Die Bring your own Device (BYOD) Bewegung sorgt bei IT-Verantwortlichen, IT-Administratoren und IT-Security-Verantwortlichen ebenso für Sorgenfalten auf der Stirn wie die Nutzung unautorisierter Cloud Services. Dropbox, Amazon Web Services und Google Drive beziehungsweise Google Docs, um nur ein paar zu nennen. Zu hoch sind die Sicherheitsbedenken und das Risiko, dass Daten aus dem Unternehmen verschwinden. Das dies jedoch auch ohne die Cloud ohne weiteres möglich ist steht hier.

81 Prozent der Unternehmen haben klare Regelungen für die Cloud-Nutzung

Eine Symantec-Umfrage mit dem Namen "The Myth of Keeping Critical Business Information Out of Clouds" zeigt nun die große Kluft zwischen den Anwender und IT-Administratoren, wenn es darum geht Cloud Anwendungen zu nutzen. Die Umfrage unter 165 IT-Managern und Mitarbeitern ergab, dass 76 Prozent der Unternehmen die Regelungen hinsichtlich der Cloud-Nutzung überwachen. Dabei verfügen sogar 81 Prozent über klare Regelungen und Konsequenzen, wenn diese Regeln missachtet werden.

Dahingegen sind sich 55 Prozent der End-Anwender gar nicht darüber im Klaren, das solche Arten von Regelungen existieren und 49 Prozent der Anwender sagen, dass sie nicht über Konsequenzen wegen Missachtung der Regelungen informiert sind.

Technischer Overkill vs. Mangelhaftes Verständnis

Ein Problem besteht darin, dass IT-Administratoren verstehen, wo sich die Schwachstellen befinden, wenn es Kollegen erlaubt wird, Cloud Services nach eigenem Bedarf zu nutzen. Dazu stehen ihnen mittlerweile eine Vielzahl von Lösungen für die Überwachung und dem Aussperren von Dropbox & Co. zur Verfügung. Hinzu kommt, dass Private Cloud Anbieter damit begonnen haben, ihre Lösungen um Management und Zugriffskontrollen für die Public Cloud zu erweitern.

Auf der anderen Seite stehen die Anwender, die nicht verstehen, welchen Sicherheitsrisiken sie ausgesetzt sind und der Rest ignoriert sie aus Bequemlichkeit. Die Folge sind schlecht gewählte Passwörter und/ oder der Besuch von bösen Webseiten, auf denen sich Malware usw. befinden. Hat der Mitarbeiter nun kundenrelevante Daten in seiner Dropbox gespeichert und wird diese, z.B. auf Grund eines schlechten Passworts, gehackt, hat sein Arbeitgeber definitiv ein Problem!

Nicht alle Anwender trifft dieselbe Schuld. Wo die einen die Sicherheitsregeln bewusst vernachlässigen, ist die Mehrzahl nicht über Sicherheitsrisiken informiert. Es ist also die Aufgabe der IT-Abteilung diese Sicherheitslöcher zu stopfen und vor allem für Aufklärungsarbeit bei den Mitarbeitern zu sorgen und das Verständnis dafür zu gewinnen. Nur Regeln aufstellen reicht nicht aus, wenn der Mitarbeiter nicht weiß, wofür diese nützlich sind beziehungsweise das es überhaupt welche gibt.

Weitere Ergebnisse der Umfrage

  • 69 Prozent der Mitarbeiter geben zu gegen Unternehmensrichtlinien zu verstoßen und nutzen Cloud-basierte E-Mail und Kommunikationslösungen. Hingegen sagen 88 Prozent IT-Administratoren, dass Mitarbeiter die Richtlinien verletzen.
  • 59 Prozent der Mitarbeiter nutzen Cloud-basierte Storage- und File-Sharing-Lösungen. IT-Administratoren beziffern diesen Anteil auf 87 Prozent.
  • 63 Prozent der Admins sagen, sie verfügen über Regeln in Bezug auf E-Mail und Kommunikationslösungen. Dagegen sagen nur 50 Prozent der Mitarbeiter, dass sie darüber Kenntnis haben.
  • 74 Prozent der Administratoren haben Regeln für den Umgang mit File-Sharing-Lösungen eingeführt. Von diesen Regelungen wissen gerade einmal 42 Prozent der Mitarbeiter.
  • 77 Prozent der Admins haben Regelungen für Cloud-basierte Storage-, Backup- und Produktivitätslösungen sowie Apps für das Kontaktmanagement implementiert. Gerade einmal 49 Prozent der Mitarbeiter kennen die Regeln für die Nutzung von Cloud Storage Lösungen, 59 Prozent sind über die Nutzung der Produktivitätslösungen informiert und 48 Prozent wissen, wie sie sich mit einer App für das Kontaktmanagement verhalten sollen.
  • 60 Prozent der IT-Mitarbeiter halten die Vorteile und Risiken von Cloud Storage- und Backuplösungen für gleichwertig. Dieselbe Prozentzahl ergibt sich für das Vorteil-/Risikoverhältnis für Cloud-basierte Storage-, Backup- und Produktivitätslösungen sowie Apps für das Kontaktmanagement.
  • Bei File-Sharing-Lösungen sieht es ein wenig anders aus. Hier bewerten 50 Prozent der IT-Mitarbeiter die Vorteile und Risiken als gleich. 53 Prozent ergeben sich für das Vorteil-/Risikoverhältnis von Cloud-basierte E-Mail und Kommunikationslösungen.
  • Hingegen sagen 49 Prozent der Mitarbeiter, dass die Vorteile von Cloud-basierte E-Mail und Kommunikationslösungen die Risiken überwiegen. 38 Prozent äußerten sich so ebenfalls bei File-Sharing-Lösungen.
  • Nur 30 Prozent der Mitarbeiter sehen in Cloud-basierten Storage-, Backup- und Produktivitätslösungen sowie Apps für das Kontaktmanagement mehr Vorteile als Risiken.

Ausgehend davon, dass IT-Administratoren sich tatsächlich um Regelungen bemühen, stellt sich die Frage, wozu es diese und Konsequenzen bei einem Vergehen gibt, wenn sie flächendeckend nicht bekannt sind.

Wie wäre es mit Kommunikation!


Bildquelle: ©Gerd Altmann / PIXELIO



Dropbox testet Zwei-Faktor-Authentifizierung im Betastatus

Dropbox stand in den letzten Wochen auf Grund von diversen Sicherheitslücken in der Kritik. Als Reaktion darauf nahm das Unternehmen Änderungen an seinem Sicherheitssystem vor und versprach weitere Verbesserungen hinsichtlich weiterer Sicherheitsfunktionen. Einen ersten Schritt hat Dropbox nun gemacht und eine Zwei-Faktor-Authentifizierung im Betastatus ausgerollt.

Dropbox testet Zwei-Faktor-Authentifizierung im Betastatus

Zwei-Faktor-Authentifizierung im Betastatus

Die Zwei-Faktor-Authentifizierung ist derzeit noch eine experimentelle Funktion. Angemeldete Nutzer müssen dafür unter https://www.dropbox.com/try_twofactor eine temporärer URL aufrufen. Diese leitet in die Sicherheitseinstellungen des eigenen Accounts um, wo die Zwei-Faktor-Authentifizierung aktiviert werden kann.

Keine Hardware Tokens

Derzeit existieren keine Hardware Tokens für das System. Stattdessen kann sich ein Nutzer die Sicherheitscodes per SMS zuschicken lassen oder alternativ eine App nutzen, um die Tokens zu erhalten. Da Dropbox das "Time-based One-Time Password (TOTP) Protocol" einsetzt, hat sich das Unternehmen dafür entschieden keine eigene App dafür zu entwickeln. Benutzer stehen drei bestehende Apps zur Verfügung.

  • Google Authenticator (Android/iPhone/BlackBerry)
  • Amazon AWS MFA (Android)
  • Authenticator (Windows Phone 7)

Die Anmeldung erzeugt ebenfalls einen 16 Zeichen langen Code, der sicher aufbewahrt werden sollte. Der Code wird für den Fall benötigt, dass der Token nicht funktioniert und die Zwei-Faktor-Authentifizierung wieder deaktiviert werden muss.



Assure Analytics: BT veröffentlicht Big Data Lösung zur Analyse von Sicherheitsrisiken

Netzwerk- und IT-Dienstleister BT bringt mit Assure Analytics einen neuen Service für die Analyse von "Big Data" auf den Markt. Dieser ermöglicht es Unternehmen, große strukturierte und unstrukturierte Datenbestände zusammenzuführen, aufzubereiten und diese auszuwerten. Die Daten werden visuell aufbereitet, damit Entscheidungen sehr zeitnah und dennoch im Detail getroffen werden sollen. Im Vordergrund steht dabei die Analyse komplexer sicherheitsrelevanter Daten.

Assure Analytics: BT veröffentlicht Big Data Lösung zur Analyse von Sicherheitsrisiken

Big Data Analysen in Echtzeit

BT Assure Analytics ist in der Lage - fast in Echtzeit - strukturierte und unstrukturierte Daten aus verschiedenen Quellen – wie E-Mails, Reporting-Systemen, Datenbanken und News Feeds – zusammenzuführen und erzeugt aus den extrahierten Informationen grafische Darstellungen für die Anwender in Unternehmen. Dargestellt werden die Angriffs-Muster, Bedrohungen, Abhängigkeiten und möglichen Folgen für das Unternehmen in geografischen Karten und Diagrammen. Die Ergebnisse ermöglichen es, Richtlinien für den Einsatz von Ressourcen und den Umgang mit Bedrohungen und Sicherheitsrisiken zu entwickeln.

Eat your own dog food

BT setzt Assure Analytics bereits selbst ein, um sein Telefonnetz in Großbritannien vor Kabeldiebstahl zu schützen. Der Service hilft dem Unternehmen, Kriminalitätsstatistiken, Fehlermeldungen und geografische Informationen zu analysieren. So lassen sich Regelmäßigkeiten erkennen und die Regionen identifizieren, in denen besonders häufig Kabel gestohlen werden. Diese Informationen fließen in die Strategie zur Vorbeugung und Reaktion auf solche Vorfälle ein. Zudem besteht die Möglichkeit, die Anwendung in die unternehmenseigene Lösung "Rabit" zu integrieren. Sie alarmiert bei einem Kabeldiebstahl frühzeitig BT und die Polizei.

Kooperation mit Cisco

BT Assure Analytics setzt via SecureLogix auf den Cisco UC Gateway Services API, dessen Richtlinien für den Einsatz der Voice-Technologie sowie Sicherheitsanwendungen in den Voice Gateway integriert sind. Da der Service auf die Secure Logix- und Cisco-Lösungen aufbaut, kann er auf Daten- oder Voice-Pakete zugreifen – sowohl auf Basis von SIP (Session-Initiation-Protocol) als auch TDM (Time-Division-Multiplex). Er liefert somit Sicherheitsservices integriert und zentral auf einer Plattform, der Cisco ISR G2.



Google Apps Administratoren können nun die 2-Wege Authentifizierung erzwingen

Die 2-Wege Authentifizierung, mit der eine weitere Sicherheitsebene im Anmeldeprozess eingezogen wird, steht bereits seit dem Jahr 2010 innerhalb von Googles Office Suite Google Apps zur Verfügung. Aber erst jetzt haben Administratoren die Möglichkeiten, diese Sicherheitstechnologie zwingend für ihre Nutzer zu aktivieren.

Google Apps Administratoren können nun die 2-Wege Authentifizierung erzwingen

Mit einer weiteren Einstellungen in der Google Apps Management Konsole, können Admins nun erzwingen, dass sich ihre Nutzer über die 2-Wege Authentifizierung anmelden. Damit wird ein Nutzer nun nicht mehr nur nach seinem Password gefragt, sondern muss zusätzlich einen Code eingeben, den er via SMS oder Sprachnachricht auf sein Mobiltelefon erhalten hat.

Mit dem Einsatz einer 2-Wege Authentifizierung wird die Sicherheit des Systems erhöht, da ein Angreifer neben dem Passwort des Nutzers ebenfalls sein Mobiltelefon stehlen müsste.

Allerdings macht dieses Verfahren den Anmeldeprozess für die Nutzer komplizierter und verlangt eine Konfiguration auf dem jeweiligen Mobiltelefon. Folglich kann es dazu führen, das viele Nutzer die 2-Wege Authentifizierung verweigern werden.



Die Cloud ist angekommen: Anwender nutzen Cloud Services für die Sicherung ihrer privaten Daten

Europäische Anwender setzen verstärkt auf Cloud Services wenn es um die Sicherung ihrer privaten Daten geht. Das zeigt eine aktuellen Umfrage von Microsoft unter 10.544 europäischen Nutzern. Der wichtigste Aspekt für die Nutzung dieser Dienste sei dabei die Verfügbarkeit der Daten an jedem Ort und zu jeder Zeit – ein Vorteil, den 38 Prozent der Befragten nennt, um auf ihre online gespeicherten Daten wie E-Mails, Fotos und Dokumente zugreifen zu können.

Cloud Services werden private Daten zur Sicherung anvertraut

Demnach nutzen mehr als die Hälfte (56 Prozent) aller Teilnehmer der Umfrage täglich mindestens zwei, 28 Prozent sogar drei oder mehr internetfähige Geräte (PC, Laptop, Tablet oder Smartphone). Man höre und staune, bitte(!), der zweitwichtigste Grund für die Nutzung von Cloud Services ist das Thema Sicherheit: Jeder dritte Befragte (34 Prozent) nutzt Cloud Storages als Sicherungsmöglichkeit der eigenen Daten, falls der Laptop oder das Tablet einmal verloren oder gestohlen werden. Das ist doch genau das, was ich seit langer Zeit predige! Eine ähnliche Bedeutung bekommt die Möglichkeit, über die Cloud persönliche Daten mit Freunden, Familie oder Arbeitskollegen auszutauschen (32 Prozent) oder die eigene Festplatte durch Datenauslagerung zu entlasten (24 Prozent).

Fotos und Dokumente haben höchste Priorität

Die Umfrage, die im Zeitraum vom 13. April bis 2. Mai 2012 auf den MSN Landeshomepages von 15 europäischen Ländern sowie Südafrika durchgeführt wurde zeigt, dass Cloud Services ein fester Bestandteil in unserem täglichen Online-Leben sind. Am häufigsten werden Cloud Services dabei genutzt, um Fotos zu verwalten und zu teilen (58 Prozent) gefolgt von Dokumenten, Tabellen und Präsentationen (42 Prozent). Besonders achten die Nutzer dabei auf die Einhaltung der Privatsphäre (31 Prozent) dicht gefolgt von der verlässlichen Speicherung der Daten sowie dem Passwortschutz (beides 29 Prozent).


Bildquelle: http://gigaom.com



Google Apps erhält ISO-27001 Zertifizierung

Google hat seine Office Suite Google Apps von den Wirtschaftsprüfern Ernst & Young nach ISO-27001 zertifizieren lassen. Das teilt Google auf seinem Unternehmensblog mit und unterstreicht damit erneut das hartnäckige Ziel, auch Unternehmenskunden in seine Cloud begleiten zu wollen.

Google erhält damit die Bestätigung, dass sich Google Apps for Business an sämtliche Anforderungen für die "... Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der IT-Risiken... " hält.

Einzelne Nutzer oder Startups schauen in erster Linie nicht darauf, ob ein Unternehmen eine ISO-Zertifizierung besitzt. Allerdings erhalten größere Unternehmen sowie Entscheider, die sich mit ihrer Unterschrift für den Vertrag verantworten müssen, ein stück weit Sicherheit und dass sie bedenkenlos Googles Cloud Lösung nutzen können.

Die weltweite gültige Zertifizierung wurde von Ernst & Young durchgeführt und ergänzt Google Apps for Government, die bereits die Zertifikate SSAE 16/ISAE 3402 und Fisma besitzt. Allerdings sollte man nicht vergessen, dass dieses Zertifikat keinen Freifahrtschein für die 100%ige Sicherheit der Anwendung ausstellt. Unternehmen die sich nach ISO-27001 zertifizieren lassen, setzen sich lediglich selbst hohe Maßstäbe, um eine hohe Sicherheit zu gewährleisten. Ihre Sicherheitsvorkehrungen und Prozesse dokumentieren sie zudem sorgfältig, um zu zeigen, wie sie den eigenen hohen Erwartungen gerecht werden.

Unternehmen sollten weiterhin zur Kenntnis nehmen, dass Google seinen Kunden weiterhin nicht die Möglichkeit gibt, selbst zu entscheiden, wo die Unternehmensdaten - bspw. in Europa - gespeichert werden.

Weitere Informationen zu den Sicherheits-Audits und Zertifizierung für Google Apps stehen im Dokument [PDF] "Google Apps for Business Audit & Certification Summary".



Fraunhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive?

In einem Paper stellt das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter das vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) zertifizierte TeamDrive in Frage. Gründe für das Ergebnis sind technische Probleme und eine schlechte Nutzung der Angebote. Nach eigenen Angaben habe es Fraunhofer sogar geschafft über Suchmaschinen an sensible Daten zu gelangen.

Innerhalb der Studie, die vom Sommer 2011 bis Januar 2012 stattfand, wurden die Cloud Storage Services von Mozy, Dropbox, Cloudme, Crashplan, Ubuntu One, Wuala und Teamdrive betrachtet und insbesondere die Bereiche Datenverschlüsselung und Kommunikation untersucht.

Die Kritikpunkte

CloudMe

Ist für eine große Anzahl von Angriffen offen. Dazu gehören die Aufzählung von Benutzernamen, der Versand unerwünschter E-Mails, Cross-Side Request Forgery Angriffe sowie die Übernahme des Accounts und Incrimination Attacks.

CrashPlan

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich, einzelne Installationen zu entfernen.

Dropbox

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Es wird keine Client-seitige Verschlüsselung unterstützt. Es ist unklar, wie die Daten miteinander geteilt werden (die Art), wenn Nicht Dropbox Nutzer eingebunden werden.

Mozy

Verschlüsselt Dateien, aber nicht die Dateinamen. Die Deduplizierung über mehrere Benutzer hinweg ist nicht ausreichend gesichert. Zudem wird die Deduplizierung über mehrere Benutzer hinweg nicht sicher verwaltet. Weiterhin können schwache Passwörter verwendet werden, ohne das darauf hingewiesen wird.

TeamDrive

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich bereits aktivierte Geräte wieder zu entfernen. Wenn Nutzer aus Bereichen entfernt wurden, wird der kryptographische Schlüssel weiterhin verwendet, um diesen Bereich zu verschlüsseln. Anfangs wurde das Zurücksetzen des Passworts über eine einfache HTTP Verbindung ohne Verschlüsselung vorgenommen. Nach einem Hinweis durch Frauenhofer, hat das TeamDrive diesen Missstand umgehend beseitigt.

Ubuntu One

Verfügt über keine Verschlüsselung.

Wuala

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Die Verschlüsselung schützt nicht vor Angreifern, die Zugriff auf die unverschlüsselten Dateien haben. URLs die mit Nicht-Kunden geteilt werden enthalten den Benutzernamen.

Die Kritik an TeamDrive ist brisant

Insbesondere die Kritik an TeamDrive ist brisant. Denn der Cloud Storage aus Hamburg, der sich speziell an Unternehmen richtet, wurde vom ULD Schleswig-Holstein, das unserem wohl bekanntesten Datenschützer Thilo Weichert unterstellt ist, zertifiziert.

In einer ersten Stellungnahme von Sven Thomsen via Twitter wird das ULD die Ergebnisse der Studie nun zunächst prüfen. Von TeamDrive habe ich nach einer ersten Anfrage dazu bisher noch keine Reaktion erhalten.

UPDATE: Stellungnahme von Volker Oboda - Geschäftsführer TeamDrive

Ich habe von Volker Oboda, Geschäftsführer von TeamDrive, eben eine Stellungnahme zu den Vorwürfen von Fraunhofer erhalten:

"TeamDrive wurde insgesamt ja sachlich und korrekt dargestellt, aber es wurde lediglich der Cloud Storage Teil bewertet und die einzigartigen On-Premise Lösungen und die freie Serverwahl wurden vollständig verschwiegen. Es gab eigentlich nur eine Abwertung bei TeamDrive die aber völlig subjektiv aus der Luft gegriffen ist. Die Abwertung und Kritik von TeamDrive betrifft die eigenen Authentifizierungsalgorithmen (kein SSL/TLS) die nicht offen gelegt sind. Das solche Methoden nicht unsicher sind, wurde uns durch externe Audits durch das ULD und Gutachter bestätigt. Insofern ist die Abwertung ungerechtfertigt. Weiterhin waren zu dem Zeitpunkt unsere SmartPhone Clients für Android und iOS noch nicht lieferbar. Mit dem jetzigen Software Release TeamDrive 3 haben wir die Public/Private Key Verschlüsselung in RSA-2048 ausgetauscht und damit noch einmal erhöht. Auf Kundenanforderung könnten wir technisch auch auf eine HTTPS Übertragung in die TeamDrive Cloud umstellen. Das ist aber aus Sicherheitsgründen nicht relevant und führt nur zu einer höheren Belastung der Serversysteme. Deshalb haben wir uns dagegen entschieden.

Die weiteren einzigartigen Designmerkmale von TeamDrive (USPs) wie die freie Serverwahl und komplette "On Premise" Lösungen wurden in dem Gutachten überhaupt nicht erwähnt. Nach unserer Recherche dient das Dokument dem Fraunhofer Institut als Grundlage eigene Technologie zu entwickeln die den bestehenden Lösungen Wettbewerb bieten sollen."

Volker spricht einen Punkt an, der exakt meiner ersten Reaktion entsprach, als ich von den Fraunhofer Vorwürfen auf dem MIT-Blog gelesen hatte. Ich sehe es ebenfalls so, dass Frauenhofer diese Studie als reinen Selbstzweck veröffentlicht hat, um eigene (Sicherheits)-Lösungen zu vermarkten.

Zudem weist Volker darauf hin, dass das ULD und weitere Gutachter die eigenen Authentifizierungsalgorithmen von TeamDrive nicht für sicherheitskritisch halten.


Weitere Informationen und die Ergebnisse der Studie gibt es hier.

PS: Wer Angst um seine Daten hat und trotzdem Cloud Storage Services nutzen möchte, der sollte sich mal Boxcryptor anschauen, dieser verschlüsselt die Daten für Dropbox und Google Drive.



EU stellt Leitfaden für Cloud Sicherheit zur Verfügung

Die ENISA sieht Nachholbedarf in der sicheren Anbindung von Cloud Services. Laut der europäischen Sicherheitsagentur ist der Fokus darauf viel zu gering ausgerichtet und möchte mit einem neuen Leitfaden, beim öffentlichen Sektor das Verständnis für Cloud Sicherheit schärfen.

Die ENISA möchte das Verständnis für das Thema Cloud Sicherheit wecken.

Die Beschaffung und Verwaltung von Cloud-Service Verträgen wird eine immer wichtigere Aufgabe für IT-Mitarbeiter. Ein wesentlicher Bestandteil bei dieser Arbeit ist es, im Vorfeld die Sicherheitsanforderungen zu regeln. Aber noch wichtiger ist es, in der Lage zu sein diese Kriterien zu überwachen und zu prüfen und zu schauen ob diese Sicherheitsanforderungen zu einem bestimmten Zeitpunkt und während der gesamten Laufzeit des Vertrags erfüllt werden.

Dazu betrachtet der Leitfaden acht unterschiedliche Bereiche und Parameter, auf die ein IT-Mitarbeiter achten sollte. Dazu gehören u.a. die Service-Verfügbarkeit, die Reaktion im Fehlerfall sowie die technische Compliance und das Sicherheitsmanagement.

Der 64 Seiten umfassende Leitfaden "Procure Secure: A guide to monitoring of security service levels in cloud contracts" kann hier heruntergeladen werden.


Bildquelle: http://www.mxsweep.com, http://www.enisa.europa.eu



Google erhöht die Sicherheit für seine Cloud Developer Services

Google hat die Sicherheit seiner Cloud Services speziell für Entwickler noch einmal erhöht. So können Services wie Cloud Storage nun mit Anwendungen über Zertifikats-basierte Dienste kommunizieren.

Statt mit Shared Keys und Passwörtern zu arbeiten, wird mit Zertifikaten die Authentifizierung deutlich erhöht, da diese nicht von Menschen lesbar und zu erraten sind, schreibt Justin Smith in einem Blogbeitrag.

Zu den Google Services, die diese neue Authentifizierungsmechanismen nutzen gehören Google Cloud Storage, Google Prediction API, Google URL Shortener, Google OAuth 2.0 Authorization Server, Google APIs Console und Google APIs Client Libraries for Python, Java und PHP.

Google ist bereits dabei, weitere APIs und Client Libraries mit dem Mechanismus zu erweitern. Die Funktion ist als ein OAuth 2.0 Flow implementiert und entspricht dem Entwurf 25 der OAuth-2.0-Spezifikation.


Bildquelle: http://searchengineland.com, http://blogspot.com



Weltweite Cloud Computing Scorecard veröffentlicht – Deutschland auf Platz 3

Die Business Software Alliance (BSA), ein globale Fürsprecher der Software-Industrie gegenüber Regierungen und Kunden auf dem internationalen Markt hat die erste weltweite Cloud Computing Scorecard veröffentlicht. Deutschland belegt darin einen guten dritten Platz. "Weltmeister" ist Japan gefolgt von Australien.

Die erste weltweite Cloud Scorecard analysiert die rechtlichen und ordnungspolitischen Rahmenbedingungen sowie die Breitband-Infrastruktur von 24 Ländern, die zusammen 80 Prozent des weltweiten ITK-Markts ausmachen. Die Analyse ist in sieben Kategorien zusammengefasst, die von zentraler Bedeutung für das Wachstum und den Betrieb von Cloud Computing sind.

Analyse-Bereiche der Studie

Die Studie umfasst eine detaillierte Land-für-Land-Analyse der Gesetze, Vorschriften, Rechtsprechungen, Politik der Regierung und Standards. Die darin betrachteten Einschätzungen enthalten eine Bewertung der Umsetzung und Durchsetzung der bestehenden Gesetze in jedem Land sowie eine Bewertung der Übereinstimmung mit den einschlägigen Verträgen und gegebenenfalls globalen Vereinbarungen. Die Scorecard-Analyse basiert auf einer Kombination der veröffentlichten Informationen, Statistiken und Bewertungen durch unabhängige Experten der Galexia Consulting. Weitere Details bezüglich Quellen, einschließlich Links, sind in den einzelnen Berichten zu den Ländern vorhanden.

Thema Gewichtung Wert
Datenschutz 10% 10
Sicherheit 10% 10
Internetkriminalität 10% 10
Geistiges Eigentum 20% 20
Standards 10% 10
Förderung des freien Handels 10% 10
IKT-Bereitschaft, Breitbandausbau 30% 30

Die Punktzahl des jeweiligen Lands wurde unter Verwendung eines 66-Punkt Scoring-Gitter und Analysen berechnet. Die Punkte stammen aus einem gewichteten System, das jedem Abschnitt/ Frage eine unterschiedliche Gewichtung zuordnet. Eine Reihe von grundlegenden untersuchenden Fragen wurden aus dem Scoring-System ausgeschlossen. Jede Gruppe von Fragen wurde gewichtet, um ihre Bedeutung für das Cloud Computing zu reflektieren. Dabei wurde jede einzelne Frage ebenfalls gewichtet, um ihre Bedeutung innerhalb der Gruppe zu reflektieren. Um bei der Nutzung der Studie und dem Scoring zu helfen, basieren die Bewertungen auf einer Reihe von Fragen, die so aufgebaut sind, dass eine "Ja"-Antwort gute Rahmenbedinungen für das Cloud Computing in diesem Land wiederspiegelt.

Die Gewichtungen befinden sich in der obigen Tabelle. Die Ergebnisse können in der Studie nachgelesen werden.

Die berücksichtigten Länder der Studie

Die Scorecard soll eine Plattform für Diskussionen zwischen politischen Entscheidungsträgern und Anbietern von Cloud-Angeboten bieten und dabei einen Blick auf die Entwicklung einer international harmonisierten Regelung von Gesetzen und Verordnungen, die relevant für das Cloud Computing sind, bieten. Es ist ein Tool, mit dem Politiker eine konstruktive Selbst-Evaluation führen können und die nächsten Schritte ergreifen sollen, um damit dazu beitragen, das Wachstum des globalen Cloud Computing zu fördern.

Deutschland landet mit 79.0 Punkten in der Studie nach Japan (83.3) und Australien (79.2) weltweit auf Platz 3. Zu den weiteren Ländern gehören die USA, Frankreich, Italien, Großbritannien, Korea, Spanien, Singapur, Polen, Kanada, Malaysia, Mexiko, Argentinien, Russland, Turkei, Südafrika, Indien, Indonesien, China, Thailand, Vietnam und Brasilien.

Zusammenfassung der Bewertung für Deutschland

Laut der Studie verfügt Deutschland über umfassende Gesetzgebungen zur Bekämpfung des Cybercrime und ist bzgl. des Schutz des geistigen Eigentums immer auf dem aktuellen Stand. Die Kombination dieser Gesetze bietet einen angemessenen Schutz für Cloud Computing Services in Deutschland. Beide Gesetze sollen laut der Studie bald überprüft werden.

Es gibt jedoch eine anhaltende Unsicherheit darüber, ob Web-Hosting Anbieter und Internetzugangsanbieter für Urheberrechtsverletzungen auf ihren System haften müssen.

Deutschland verfügt ebenfalls über moderne E-Commerce Gesetze und ist dabei die elektronische Signatur einzuführen. Wie die meisten europäischen Länder verfügt Deutschland über umfassende Rechtsvorschriften zum Datenschutz, hat aber erschwerende Zulassungsanforderungen, die als Kosten Barriere für die Nutzung von Cloud Computing dienen können. Darüber hinaus hat Deutschland 17 Datenschutzbehörden, was zu Unsicherheiten bei der Anwendung von Gesetzen führt.

Deutschland hat ein starkes Engagement für internationale Standards und Interoperabilität, was ist mit den jüngsten politischen Änderungen verbessert wurde.

Im Jahr 2009 wurde in Deutschland die Breitbandstrategie der Bundesregierung veröffentlicht, welche die Internetzugangsanbieter verpflichtet, bis 2015 in 75% der Haushalte die Download-Geschwindigkeiten auf 50 Mbps zu erhöhen.

Rangliste

Platz Land Punkte
1. Japan 83.3
2. Australien 79.2
3. Deutschland 79.0
4. USA 78.6
5. Frankreich 78.4
6. Italien 76.6
7. Großbritannien 76.6
8. Korea 76.0
9. Spanien 73.9
10. Singapur 72.2
11. Polen 70.7
12. Kanada 70.4
13. Malaysia 59.2
14. Mexiko 56.4
15. Argentinien 55.1
16. Russland 52.3
17. Turkei 52.1
18. Südafrika 50.4
19. Indien 50.0
20. Indonesien 49.7
21. China 47.5
22. Thailand 42.6
23. Vietnam 39.5
24. Brasilien 35.1

Interessant in diesem Zusammenhang ist, dass die Amazon Web Services gerade verstärkt in Brasilien investieren! Es bleibt abzuwarten, ob sich dieses Engagement positiv auswirken wird.


Quelle: BSA Global Cloud Computing Scorecard



Cloud Computing ist eine Frage des Vertrauens, der Verfügbarkeit und Sicherheit!

Trotz der vielen Vorteile die uns Cloud Computing bietet, wie skalierbare Rechenleistung oder Speicherplatz, steht und fällt die Akzeptanz mit dem Vertrauen in die Cloud. Dazu greife ich drei grundlegende Fakten heraus, mit denen sich Anbieter auseinandersetzen müssen, wenn sie Services auf Basis von Cloud Computing anbieten wollen.

Verfügbarkeit

Durch den Einsatz z.B. der Amazon Web Services (AWS) oder Google Apps, kann nicht mit derselben Verfügbarkeit gerechnet werden, als wenn man die Anwendungen lokal auf einem System verwendet. AWS garantiert bspw. eine 99.9% Verfügbarkeit für die Simple Storage Services (S3) und 99,95% für die Elastic Compute Cloud (EC2). Google verspricht mit seine "Google Apps Premier Edition", die u.a. Mail, Calendar, Docs, Sites und Talk enthält, ebenfalls eine Verfügbarkeit von 99,9%.

Im Februar 2008 war Amazon S3 während eines Ausfalls vollständig nicht erreichbar und Google hatte im Mai 2009 ebenso einen Ausfall zu verweisen.

Und blicken wir auf das durch einen Bagger zerstörte Unterseekabel zurück, dass für die Internetversorgung im mittleren Osten zuständig ist, können Google und Amazon ihre SLA Versprechen gar nicht einhalten. Ich weiß, dass SLAs immer nur bis zu bestimmten Übergangspunkten definiert werden. Aber dennoch, auf solche Probleme hat ein Anbieter nun einmal keinen Einfluss und das muss mit bedacht werden.

Unternehmen müssen behutsam ihre kritischen (Geschäfts)-Prozesse von den weniger kritischen identifizieren. Nach dieser Klassifizierung sollten sie sich überlegen, die Kritischen im eigenen Rechenzentrum zu verarbeiten und die weniger Kritischen zu einem Cloud Anbieter auszulagern. Das bedeutet sicherlich einen nicht unerheblichen Aufwand, nährt aber die Vorteile.

Cloud Anbieter müssen für eine dauerhafte und stabile Verfügbarkeit ihrer Services sorgen. Eine Verfügbarkeit von 99,9% ist derzeit der Standard und wird von jedem Cloud Anbieter beworben. Stellt sich natürlich die Frage, ob das für die meisten Unternehmen (psychologisch) ausreicht. Denn das Gefühl, eine 100% Verfügbarkeit zu erhalten, wenn man alles selber macht, überwiegt. Daher wird sich Cloud Computing gefallen lassen müssen, 100% Verfügbarkeit als Zielvorgabe zu haben! Das Stromnetz sollte hierbei erneut das Vorbild sein! Natürlich sieht sich die Cloud weiteren Schwierigkeiten gegenübergestellt, kein Frage. Innerhalb der Cloud sind die 100% leicht zu erreichen. Dabei sollte der Weg in die Cloud (siehe oben) aber nicht vernachlässigt werden. Ein Unternehmen wird keine Cloud Services oder Cloud Anwendungen für kritische Geschäftsprozesse einsetzen, wenn die Verfügbarkeit nicht eindeutig geklärt ist.

Sicherheit

Wichtige Dateien höchstmöglich gegen den Fremdzugriff zu schützen hatte schon immer einen besonderen Stellenwert im Bereich der Informationstechnologie. Durch den Einsatz von Cloud Computing lagern Unternehmen ihre Informationen außerhalb ihres eigenen Bereichs aus und übertragen dazu die Daten über ein öffentliches Datennetzwerk.

SLAs (Service Level Agreements) sind in diesem Zusammenhang essentiell wichtig, da sie bis ins Detail beschreiben sollten, welche Maßnahmen Cloud Computing Anbieter bzgl. der Planung und Organisation zum Schutz der Daten unternehmen. Das kann früher oder später natürlich zu Rechtsstreitigkeiten führen, wenn ein Anbieter sich nicht daran hält und nicht behutsam mit sensiblen Daten umgeht.

Um diese Problematiken zu umgehen ist eine Hybrid Cloud ein guter Ansatz. Das Unternehmen verfügt über eine Private Cloud, in der alle kritischen Unternehmensdaten verarbeitet und gespeichert werden und bindet bei Bedarf die Public Cloud eines Anbieters an, um weitere Services der Private Cloud hinzuzufügen. Dazu sind natürlich gesicherte Netzwerkverbindungen unverzichtbar, die heutzutage aber ein Standard sein sollten. Dieser Ansatz löst natürlich nicht die Problematik, was mit meinen Daten passiert, wenn ich sie in die "Blackbox" übertrage.

Vertrauen

Insbesondere Versicherungs- und Finanzdienstleister sehen bzgl. des Data Managements und lokalen Datenschutzgesetzen im Thema Cloud Computing eine riesige Hürde. Der Einsatz einer Private Cloud stellt keine Probleme dar. Allerdings stehen dem Nutzen einer Public Cloud zu viele Argumente entgegen. Versicherungsunternehmen arbeiten mit sehr sensiblen (sozialen) Daten, wodurch kein Brief auf einem externen System geschrieben oder gespeichert werden darf. Unter anderem ist es einem deutschen Versicherungsunternehmen gesetzlich nicht gestattet, seine Daten auf einem Server in Amerika zu speichern

Cloud Computing Anbieter müssen daher dafür Sorgen ihre Dienstleistungen und vor allem wie sie arbeiten transparent und offen zu zeigen. Transparenz ist im Cloud Computing enorm wichtig für ein Unternehmen, dass seine Daten einem Anbieter anvertraut und bei dem die Daten vermeintlich auf dem selben physikalischen System gespeichert sind wie die eines Mitbewerbers. Denn Transparenz schafft Vertrauen!



Cloud Computing – Ein einleitender Überblick

Der Begriff Cloud Computing prägt seit nun mehr zwei Jahren das Bild der Informationstechnologie um Dienste und Infrastrukturressourcen über das Internet zu vermieten. Gartner sieht in Cloud Computing den Hype - siehe Graphik und prophezeit, dass es sich in den kommenden zwei bis fünf Jahren etabliert und die Welt der Informationstechnologie grundlegend verändern wird.

Die Idee IT-Ressourcen zu mieten anstatt diese zu kaufen ist allerdings nicht neu und blickt auf eine
lange Geschichte zurück.

Cloud Computing verspricht kostengünstig und schnell IT-Ressourcen und Dienste zu beziehen, was zunehmend von den Großen der Internetbranche sowie Anbietern von Software as a Service Diensten, Hostingprodukten und Netz- und Infrastrukturen vorangetrieben wird. Letztendlich ist jedes dieser genannten Angebote aber nur ein Teil dieses großen Puzzles. Nur die (Teil-)Kombination aller genannten Angebote führt am Ende zum Cloud Computing.

Cloud Computing soll zu einer dauerhaften Verbesserung der Kostenstruktur durch Kostenreduktion führen, indem die benötigten Leistungen nur nach Bedarf genutzt und anschließend abhängig vom Verbrauch abgerechnet werden. Weitere Vorteile werden in der nachhaltigen Produktivitätssteigerung und Flexibilität einer Organisation gesehen. Aber auch die Anbieter von Cloud Computing Diensten können ihren Profit anhand einer besseren Auslastung ihrer Ressourcen und die Nutzung von Skaleneffekten steigern.

Neben hellen existieren aber auch immer dunkle Wolken. Sicherheit, Datenschutz(!) und Qualitätssicherung sind Themen denen sich Anbieter von Cloud Computing Diensten stellen und Lösungen finden müssen. Des Weiteren macht Cloud Computing für die Anbieter nur Sinn, wenn sie ihre Angebote, Abläufe und Prozesse standardisieren. Stellt sich die Frage, ob Unternehmen bereit sind, sich ihre Geschäftsprozesse und die IT-Infrastruktur bis ins kleinste Detail diktieren zu lassen und die Angebote der Anbieter überhaupt den Anforderungen der Unternehmen entsprechen.

Graphik: