Thales und Microsoft kooperieren
Mit DKE zur DSGVO-konformen Cloud
Seit dem sogenannten Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2020 ist das Privacy-Shield-Abkommen zwischen den USA und der EU hinfällig – und damit die Nutzung US-amerikanischer Cloud-Services potenziell widerrechtlich. Denn laut EuGH ist davon auszugehen, dass die Übertragung personenbezogener Daten in die USA sowie in viele weitere Länder außerhalb der EU nicht dem europäischen Datenschutzrecht entspricht. Vor diesem Hintergrund hat Verschlüsselungsanbieter Thales zusammen mit Microsoft eine Lösung konzipiert, um die Nutzung von Microsoft 365 DSGVO-konform zu machen: Double Key Encryption (DKE).
Die Nutzung von Cloud-Services, so mahnte Armin Simon, Regional Sales Director für Deutschland bei Thales, im Gespräch mit LANline, sei ohne anwendereigene Schutzmaßnahmen nicht DSGVO-konform. Dies gelte auch für die BYOK-Verschlüsselungsansätze (Bring Your Own Key) von Provider-Seite: Denn die Speicherung dieser Schlüssel erfolge hier ebenfalls in der Cloud und widerspreche damit den Datenschutzregularien.
Die Thales-Lösung CipherTrust Manager (Bild oben) hingegen schütze Datenbestände außerhalb des Unternehmensnetzes – also einschließlich der Cloud – rechtskonform, da das Key-Management stets in den Händen des Anwenderunternehmens verbleibe. Neben Verschlüsselung unterstütze die Lösung auch Tokenization (Pseudonymisierung), was für manche Anwendungsfälle der (Auftrags-)Verarbeitung personenbezogener Daten etwa in der Cloud erforderlich ist, um dies DSGVO-gerecht umzusetzen.
Die in Microsofts Azure-Cloud genutzten Schlüssel werden beim DKE-Verfahren mittels der Thales-Lösung nochmals verschlüsselt. Den Hintergrund dieses „doppelt gemoppelten“ Vorgehens erläuterte Simon gegenüber LANline wie folgt: Microsofts SaaS-Lösungen sind darauf ausgelegt, mit dem Microsoft-eigenen Key-Management zu arbeiten. Da das Schrems-II-Urteil dies für unzulässig erklärte und die Cloud-Provider somit unter Druck setzt, schnell Abhilfe zu schaffen, ist eine zweite Verschlüsselung mittels DKE für Microsoft der schnellste Weg zur Konformität mit dem europäischen Datenschutzrecht.
Die DKE-Integration in CipherTrust Manager soll Anfang 2021 kommen. Die Schlüsselverwaltung für DKE soll zunächst manuell erfolgen, eine Integration in Thales’ HSM sei in Arbeit (siehe Grafik rechts).
Zugleich arbeitet Thales laut Simons Angaben auch an einer Integration in Googles EKM (External-Key-Management). Diese ist noch für dieses Jahr angekündigt. Thales sei dann der erste Anbieter, der Googles EKM-API nutzt, so Simon.
Thales akquirierte 2019 seinen Konkurrenten Gemalto und ist damit Marktführer im Segment Verschlüsselung. In der Lösung CipherTrust Manager hat der Konzern die Produkte beider Unternehmen zusammengeführt.
CipherTrust Manager umfasst zwei Module: für Data Discovery (also das Aufspüren schützenswerter Daten wie beispielsweise personenbezogener und somit DSGVO-relevanter Daten) und für die Datenverschlüsselung. Diese erfolgt laut Thales-Angaben transparent, also ohne dass der Endanwender es bemerkt. Nur der Dateneigentümer (Data Owner) habe dabei Zugriff auf die verschlüsselten Daten, nicht aber der Systemverwalter, so Thales.
Die Lösung umfasst ein Key-Lifecycle-Management, also Schlüsselverwaltung inklusive Schlüsselrotation, -versionierung und -Backup auf Datenbankbasis, bei nativem Betrieb mit eingebautem HSM (Hardware-Sicherheitsmodul), beim Betrieb in einer virtuellen Appliance unter Nutzung eines externen HSMs. Die Integration in Applikationen erfolgt per Connector, es gibt laut Armin Simon über 400 Lösungen, in die sich die Thales-Software integriert.
Laut dem Thales-Vertriebsleiter ist ein mögliches Vorgehen der Lösungseinführung, zunächst eine kritische Applikation – beispielsweise mit Kundendaten – per Verschlüsselung zu schützen und dann den angebundenen Applikationsbestand zu skalieren. Die Lizenzierung erfolgt beim Discovery-Modul nach dem Umfang der durchsuchten Datenmenge, beim Key Manager nach der Zahl der verwalteten Schlüssel. Die Connectoren sind separat zu lizenzieren. Die Lösung skaliere praktisch unbegrenzt. Der Vertrieb läuft über Thales’ Partnernetzwerk.
Weitere Informationen finden sich unter www.thalesgroup.com.
Lesen Sie mehr zum Thema
