Wenn Flexibilität und kurzfristige Skalierbarkeit gefragt sind, lagern viele Unternehmen Geschäftsprozesse in die Cloud aus. Der Schutz firmeninterner Informationen – und vor allem personenbezogener Daten – ist bei Cloud-Applikationen allerdings immer eine besondere Herausforderung. Die überwiegende Mehrheit aller Cloud-Provider bietet daher die Möglichkeit, Daten während der Übertragung (Data in Motion) und bei der Speicherung in der Cloud (Data at Rest) zu verschlüsseln.

Die DSGVO (Datenschutzgrundverordnung) nennt explizit Verschlüsselung als eine der wirkungsvollsten Maßnahmen zum Schutz personenbezogener Daten über deren gesamten Lebenszyklus hinweg, angefangen von der Erfassung und Bearbeitung bis hin zur Weiterleitung und Archivierung. Das gilt für alle Applikationen, egal ob lokal oder in der Cloud. Allerdings zeichnet sich die interne Verschlüsselung der Cloud-Provider durch eine starke Integration in deren jeweiligen Services aus. In einigen Fällen mag das ausreichen, etwa dann, wenn Unternehmen alle Cloud-Services von nur einem Anbieter nutzen.

Trennung der Verantwortlichkeiten verbessert IT-Security

Für besonders kritische Daten gehen Unternehmen dazu über, die Verschlüsselung und alle damit verbundenen Verwaltungs- und Update-Aufgaben an einen anderen Provider zu übertragen. Die Verschlüsselung übernimmt dann ein Cloud-Security-Spezialist. Auf diese Weise lässt sich eine klare Trennung der Verantwortlichkeiten (Funktionstrennung, Segregation of Duty) und ein Schutz der Daten gegenüber dem Cloud-Anbieter sicherstellen. Ist das gesamte Schlüssel-Management von Anfang an bei einem anderen Provider implementiert, ist es für Unternehmen auch einfacher, ihre Applikationen und Daten von einem zu einem anderen Cloud Provider zu migrieren. In einigen Fällen können Unternehmen nicht die Standardverschlüsselung ihres Cloud-Anbieters in Anspruch nehmen, weil ihre Kunden, Geschäftspartner oder Lieferanten in Verträgen ein getrenntes Schlüssel-Management, also eine Segregation of Duty, fordern.

Eine Verschlüsselungslösung, inklusive Key-Management, sollte zum einen so flexibel sein, dass sie sich an jede Cloud- oder Web-Anwendung, Datenbank und jedes Filesystem anpassen lässt. Zum anderen darf sie die Funktionalität der Applikationen trotz sicherer Verschlüsselung und Pseudonymisierung, also das Ersetzen von Namen durch mehrstellige Zahlen- oder Buchstabenkombinationen, nicht beeinträchtigen.

Die „Key Protection Platform“ von NTT Security schützt private Schlüssel von PKI-Systemen und ermöglicht auch eine Absicherung der Master Keys für File- und Folder-Verschlüsslung sowie für Datenbanksysteme. (Bild: NTT Security)

Auf dem Markt sind eine Reihe von Verschlüsselungs-Services verfügbar: File Folder Protection as a Service, Database Encryption as a Service, Virtual Machine Protection as a Service, Salesforce Protection as a Service und Key Protection as a Service. NTT Security beispielsweise hat in seiner „Key Protection Platform“ alle zentralen Funktionen für den Schutz von Daten und Schlüsseln im Unternehmen und in der Cloud zusammengefasst. Eine gute Ergänzung der Services bilden Beratungsangebote zu Themen wie Enterprise-Key-Management und PKI (Public Key Infrastructure) und in einigen Anwendungsszenarien auch die Anbindung an Trustcenter-Lösungen sowie die Berücksichtigung von Anforderungen aus dem Bereich Governance, Risk and Compliance (GRC).

Eine wichtige Komponente bildet ein Hardware-Sicherheitsmodul (HSM, Hardware Security Module). Dieser HSM as a Service wird nicht bei einem Cloud-Anbieter, sondern von einem Cloud-Security-Spezialisten in dessen eigenem Rechenzentrum gehostet. Eines der Anwendungsszenarien ist die Absicherung einer Privileged-Identity-Management-Lösung wie CyberArk PAS (Privileged Account Security). Die Applikation und die Daten befinden sich beim Cloud Provider A, die Lösung von CyberArk beim Cloud Provider B. Die Schlüssel hält man jedoch weder beim Provider A oder B, sondern beim HSM-as-a-Service-Betreiber vor. Dadurch gelingt die angestrebte Trennung der Verantwortlichkeiten. So schafft man außerdem eine gute Voraussetzung zur Einhaltung von Compliance- und anderen gesetzlichen Anforderungen. Die verstärkte Nutzung von Cloud-Angeboten bei gleichzeitig weiter verschärften Compliance-Vorgaben, etwa in Form der Datenschutzgrundverordnung, führen dazu, dass an den Themen Verschlüsselung, Schlüsselsicherheit und Governance kaum ein Unternehmen vorbeikommt.

Weitere Einsatzgebiete von HSM as a Service sind die Anbindung an eine Microsoft PKI auf Basis eines Active Directory Certificate Services (AD CS) sowie der Schutz privater Schlüssel in PKI-Umgebungen und die Absicherung von Master Keys für Datei- und Ordnerverschlüsselung oder von Datenbanksystemen.

Höheres Schutzniveau realisieren

Mit der „Key Protection Platform“ als Service sind Unternehmen beispielsweise in der Lage, ohne umfangreiche eigene Investitionen kryptografische Schlüssel zu schützen. Vor allem aber erreichen sie gesamtheitlich ein höheres Schutz- und IT-Sicherheitsniveau. Bei der Nutzung eines Service benötigen Unternehmen darüber hinaus kein spezielles Wissen mehr, um Hardware-Sicherheitsmodule in die eigene IT-Landschaft oder die genutzten Private- und Public-Cloud-Umgebungen zu integrieren.

Frank Balow ist Senior Manager ist CISSP bei NTT Security, www.nttsecurity.com.