Verschleierung von Daten in der Cloud in Zeiten nach Safe Harbor

Fiodelis-security-Datenschutz

Das Safe-Harbor-Urteil des Europäischen Gerichtshofes hat einige Wellen geschlagen – je nach Interpretation im Prinzip aber an der Sachlage für Unternehmen wenig verändert. Sie waren auch zuvor gefordert, den Schutz ihrer sensitiven Daten bei der Nutzung von Cloud-Anwendungen zu garantieren, konnten sich juristisch jedoch mit Safe Harbor relativ sicher wähnen. Hier gilt es nun Mittel und Wege zu finden, Cloud Services weiter nutzen zu können, ohne Daten länderübergreifend zu exportieren. Generell ist Verschleierung der Daten hierzu eine wirksame Methode, Verschlüsselung und Pseudonymisierung bieten die Möglichkeit, die Vorzüge der Cloud zu nutzen, ohne auf Datenschutz zu verzichten.

Dass die Übermittlung und Verarbeitung kritischer und personenbezogener Daten in der Cloud der Gefahr eines unberechtigten Zugriffs unterliegt, ist hinreichend kommuniziert. Entsprechend haben sich nationale, internationale und branchenspezifische Institutionen daran gemacht, Richtlinien zu entwickeln und vorzuschreiben. Das Bekanntwerden der Zugriffe auch staatlicher Stellen auf private und Unternehmensdaten hat aus der Thematik ein Politikum werden lassen. Nicht nur in Deutschland und Europa, sondern auch in Ländern wie Russland oder Kanada verlangen etwa Gesetzgebungen die strikte Einhaltung von Datenschutz oder geben Residenzpflichten vor. Der Wegfall von Safe Harbor hat einem bekannten Problem nun lediglich eine neue Dynamik gegeben.

Unternehmen stehen seither vor einem Dilemma. Auf der einen Seite verspricht die Nutzung von Cloud-basierten Anwendungen ein hohes Maß an Flexibilität und Effizienz, verbunden mit geringeren Kapital- und Betriebskosten, auf der anderen Seite schränken die damit verbundenen Maßnahmen und Unsicherheiten den Enthusiasmus deutlich ein. Software-as-a-Service, wie ihn Applikationen wie etwa Salesforce, Oracle oder ServiceNow bieten, verliert an Attraktivität, wenn die Schutzanforderungen nicht erfüllt werden können. Manche Analysten halten die Fragen des Datenschutzes für den Hauptgrund vieler Unternehmen, von der Hinwendung zu SaaS Abstand zu nehmen.

Daten im Klartext keine Option

In Anbetracht der Residenz- und Compliance-Anforderungen besteht die Herausforderung darin, eine Balance zwischen dem Schutz sensitiver Daten und den Vorzügen der Nutzung von SaaS zu finden. Es ist offensichtliche keine Option, Daten als Klartext in die Cloud zu stellen in dem Vertrauen, dass der Provider schon die notwendigen Maßnahmen trifft. Selbst bei der Garantie der physikalischen Datenspeicherung an einem vermeintlich sicheren Standort ist damit noch lange nicht der Zugriff etwa durch Mitarbeiter und Administratoren des Anbieters unterbunden. Und die Feststellung des EuGHs, dass nationale Interessen u.a. der USA stärker wirken als Datenschutzvereinbarungen mit der EU hebelt dies weiter aus.

Der einzig gangbare Weg, das Eine zu nutzen, ohne auf das Andere zu verzichten, liegt in der Verschleierung der kritischen Daten. Dazu stehen zwei Techniken zur Verfügung: Verschlüsselung oder Pseudonymisierung, auch Tokenisierung genannt. Beide Verfahren sind auch im BDSG hinreichend bekannt und beschrieben, somit auch juristisch akzeptabel.

Auch wenn Verschlüsselung ein altbewährtes Verfahren ist, um Daten im Klartext dem unberechtigten Zugriff zu entziehen, so hat die praktische Anwendung in der Cloud durchaus noch Herausforderungen anderer Art, wie die Snowden Affäre bewiesen hat. Cloud-Provider, Encryption-Hersteller und Anwenderorganisationen arbeiten allerorts an geeigneten Lösungen für Umgebungen, in denen sich die Applikation, die Daten und die Schlüssel nicht an einem Ort und in voller Kontrolle des Unternehmens befinden. Gesucht ist ein effizientes Verfahren, um einerseits die Klartextinformationen zu verbergen, andererseits die Funktionalität der SaaS-Anwendung zu erhalten. Hierzu haben sich unterschiedliche Ansätze herausgebildet.

Eine verbreitete Methode ist die Verschlüsselung der gesamten Datenbasis eines Anwenders. Auch wenn dieser Ansatz die Daten vor unberechtigtem Zugriff durch Dritte schützt und viele Compliance-Anforderungen erfüllt, so ist er doch sub-optimal für SaaS-Anwendungen in der Public Cloud. Was noch schwerer wiegt, ist die Tatsache, dass die Verschlüsselung auf Datenbankebene die Funktionalität der SaaS-Applikation einschränkt. Es ist zum Beispiel nicht ohne weiteres möglich, verschlüsselte Werte zu suchen oder zu sortieren. Hier bieten unterschiedliche Anbieter verschiedene Lösungswege an, so dass z.B. mit einem Suchindex auf einem Datenschutz-Gateway auch diese Funktionalitäten sichergestellt sind.

Keine Ideallösung für Encryption in der Cloud

Die feldspezifische Verschlüsselung bietet bei geeigneter Implementierung demgegenüber die Möglichkeit einer starken Verschlüsselung. Bei dieser Methode werden lediglich diejenigen Datenfelder verschlüsselt, die kritische Daten enthalten. Auf der anderen Seite ist weiterhin etwa die Suche nach einem verschlüsselten Wert in der Cloud nicht oder nur bedingt möglich. Um dieses Problem zu umgehen, verändern manche Hersteller die Encryption-Algorithmen, was allerdings die Stärke der Verschlüsselung beeinträchtigt.

In der Praxis gibt es derzeit keine Ideallösung für alle Anforderungen der Verschlüsselung in der Cloud. Jedes Unternehmen muss für sich die Anforderungen definieren. Das gilt für den allgemeinen Verschlüsselungsansatz, die anzuwendende Verschlüsselungsstärke oder das Schlüsselhandling.

Die Frage der Schlüsselkontrolle ist so lange kein Problem, wie sich alle Elemente innerhalb des eigenen Rechenzentrums befinden. Dies verändert sich, sobald die Daten in die Cloud wandern. Dem SaaS-Provider die Kontrolle über einen Schlüssel zu übergeben, etwa um die Suche in einer Datenbank zu ermöglichen, kann prinzipiell Gesetze oder interne Richtlinien verletzen. Aus diesem Grunde sollte angestrebt werden, dass der Kunde jederzeit die Kontrolle über sämtliche Schlüssel behält. Allerdings liegt damit auch das Management der Schlüssel in der Verantwortung des Nutzers.

Dazu ist zu beachten, dass einige Regulatoren die Nutzung von Verschlüsselung in der Cloud als nicht akzeptabel einstufen, weil Verschlüsselung grundsätzlich mathematisch reversibel ist und in der Cloud Datenstrecken abgehört werden können. Es ist somit nicht die Frage, ob es mit vertretbarem Aufwand möglich ist, den Schlüssel zu knacken, sondern ob es grundsätzlich und rein theoretisch möglich ist, denn dann wäre dem Datenschutz nicht genüge getan.

Ersatzwerte in die Cloud

Viele Unternehmen setzen aus diesen Gründen zunehmend auf Tokenisierung als Technik der Wahl, um die Komplexität in Verbindung mit dem Schlüsselmanagement zu umgehen und insgesamt erst gar keine Daten in die Cloud auszulagern.

Tokenisierung ist gegenüber der Verschlüsselung eine grundlegend andere Technologie, die im Payment-Umfeld zur Erfüllung der Anforderungen des PCI-Standards entstanden ist. Während bei der Verschlüsselung prinzipiell die Klartextdaten mittels eines mathematischen Prozesses sichtbar gemacht werden können, wird bei der Tokenisierung oder Pseudonymisierung ein Ersatzwert oder „Token“ erzeugt und zufällig zugewiesen, der irreversibel ist. Der Token lässt in keiner Weise weder inhaltlich oder in der Form Rückschlüsse auf das Ursprungsdatum zu. In der am meisten verbreiteten Form der „Lookup Tokenisierung“ werden die erzeugten und zufällig zugewiesenen Ersatzwerte in einer hochsicheren Tabelle innerhalb des Unternehmensnetzes gespeichert. Es gibt keine mathematische Relation zwischen Klartext und Token oder zwischen Token untereinander. Selbst wenn ein Wert kompromittiert wurde, können daraus keine Schlüsse auf andere gezogen werden. Tokenisierung gilt entsprechend als stärkste Form der Verschleierung und ist das Mittel der Wahl der meisten Kunden.

Irreversible Tokenisierung

Bei der Nutzung von SaaS-Anwendungen werden lediglich die sensitiven (etwa personenbezogenen) Daten pseudonymisiert, bevor sie in die Cloud zur Verarbeitung oder Speicherung übermittelt werden. Die echten Daten werden im Token-Vault (einer entsprechend abgesicherten Datenbank) gespeichert, der wiederum selbst verschlüsselt ist und sich im Rechenzentrum des Unternehmens befindet – oder aber bei einem anderen IaaS-Provider, der die Sicherheits- und Residenzanforderungen erfüllt. Insbesondere in Ländern mit hohen gesetzlichen Anforderungen hinsichtlich Privacy und Residency ist dieser Ansatz gut geeignet, um die Vorschriften zu erfüllen.

Viele Unternehmen haben beispielsweise Anforderungen im Datenschutz, die sich aus Residenzpflicht der Daten ergeben, so z.B. in Russland. Hier ist seit September 2015 ein Gesetz in Kraft, welches Anbieter verpflichtet, die Daten russischer Bürger in einer primären Datenbank in Russland zu speichern und zu verarbeiten. Dies ist durch Verschlüsselung nicht gegeben und kann nur durch Tokenisierung erreicht werden, wobei die Token-Datenbank dann eben in Russland vorgehalten wird, somit die gesetzlichen Anforderungen erfüllt sind.

Es gibt jedoch keine allgemeingültige Empfehlung hinsichtlich der Frage, welche Technik der Verschleierung für das jeweilige Unternehmen am besten geeignet ist. Zudem stehen Encryption und Tokenisierung nicht notwendigerweise in Konkurrenz zueinander, sondern können im Rahmen hybrider Ansätze parallel genutzt werden. Die wichtigen Kriterien für die Erarbeitung eines gangbaren Weges sind ein starker Sicherheitsstandard, die weitestgehend mögliche Erhaltung der Funktionalität, die Bereitstellung eines hohen Maßes an Flexibilität sowie der Einsatz einer technischen Plattform, die einen holistischen Ansatz ermöglicht, indem sie beide Formen der Verschleierung für multiple SaaS-Clouds ermöglicht und nicht anbietergebunden ist.

Praktische Herangehensweise im Unternehmen

Im Hinblick auf die praktische Herangehensweise für ein Unternehmen empfiehlt sich ein dreistufiger Ansatz aus Discovery, Policy und Protect. Im ersten Schritt erfolgt die Analyse der bereits genutzten Cloud-Services, seien diese offiziell oder im Rahmen von Schatten-IT im Unternehmen vorhanden. Anschließend werden strikte Richtlinien für die Nutzung oder das Verbot dieser Cloud Services definiert und etabliert, schließlich bei den sanktionierten Cloud-Services die geeignete Lösung für den Datenschutz implementiert. Tatsächlich gibt es bereits eine Vielzahl praktischer Beispiel dafür, dass die Nutzung Cloud-basierter Services auch unter Einhaltung der stringenten Schutzrichtlinien möglich ist, ohne die Vorzüge von SaaS einzuschränken.

Ein Leben nach Safe Harbor

Somit zeigt sich, dass es möglich ist, auch ohne Regularien wie Safe Harbor diverse Cloud-Services Datenschutzkonform zu nutzen. Wird das EuGH Urteil vollständig zu Ende gedacht, helfen auch die jetzt von Anbietern vorgeschlagenen Lösungen der „Standardvertragsklauseln“ oder auch „Binding Corporate Rules“ nicht, da das Prinzip „Ober sticht Unter“ auch hier gilt. Solange nationale Interessen in den USA (z.B. Patriot Act) über einzelvertraglichen Regelungen stehen, kann die Lösung nur lauten, Daten nicht zu exportieren und dann ist das Mittel der Wahl ganz klar die Tokenisierung.

Schreibe einen Kommentar