Dr. Hubert Jäger | Dr. habil. Ralf Rieken |
23. Mai 2014
1. Einleitung
2. Die Versiegelung der Sealed Cloud
3. Anwendung durch öffentliche Verwaltung und Unternehmen
4. Fazit
» Das gesamte White Paper kostenlos als PDF herunterladen.
Dieser Artikel stellt die Versiegelung des „Sealed Cloud“ genannten Systemkonzepts vor. Dieses schützt nicht nur Inhalte einer Datenverarbeitung oder Kommunikation, sondern auch Metadaten, z.B. Verbindungsdaten, die aufzeigen, wer mit wem, wann und wie lange kommuniziert. Solche Metadaten sagen viel über die Absichten der betroffenen Parteien aus und sind einfach zu analysieren. Aus diesem Grund erfordern ein adäquater Datenschutz und die Informations-Sicherheit auch den Schutz dieser Metadaten. Das System der Sealed Cloud verhindert auf technische Weise jeglichen Zugang zu Daten, auch während deren Verarbeitung. Normalerweise sind Mitarbeiter eines Anbieters in der Lage, Metadaten mitzulesen, selbst wenn Ende-zu-Ende-verschlüsselte Daten übertragen werden. Die technischen Maßnahmen, die den Anbieter vom Lesen dieser Daten ausschließen können, sind: eine geeignete Schlüsselverteilung, ein Data-Clean-Up im Fall eines Zugriffsversuchs und eine Dekorrelation der Datenströme, die in die Sealed Cloud hinein- und herausfließen. Mit Ende 2014 bietet das System eine offene und versionierte Schnittstellenschicht für Cloud-Dienste an. Mit dieser können andere Dienste das umfassende Sicherheitskonzept der versiegelten Cloud nutzen. Im Rahmen des Trusted Cloud Programms des Bundesministerium für Wirtschaft und Energie wird dies am Beispiel zweier Cloud-Anwendungen demonstriert: Mit deleGate zum Management von Identitäten für webbasierte Dienste und dem Kommunikationsdienst IDGARD für eine sichere und abhörsichere Kommunikation.
Um ein Ausspähen von Daten zu verhindern, verlässt sich die Mehrheit der Systeme heute auf Verschlüsselung, so dass nur die jeweiligen Sender und Empfänger die kommunizierten Daten entschlüsseln können. Der physische Zugriff zu Signalen und Daten während der Übertragung oder der Speicherung kann toleriert werden, ohne unbefugtes Lesen der Inhalte befürchten zu müssen. Allerdings müssen bisherige Unicast-Systeme immer die Empfängeradressen dem Betreiber offenbaren, damit dieser die Nachrichten korrekt weiterleiten kann. Den Anbietern der Kommunikationsdienste liegen damit die Verbindungsdaten, die aufzeigen, wer mit wem, wann und wie lange kommuniziert, offen vor. Solche Metadaten sagen viel über die Absichten der betroffenen Parteien aus und sind einfach zu analysieren. Aus diesem Grund erfordert der Datenverkehr zwischen Bürgern, Unternehmen und öffentlichen Einrichtungen auch den Schutz der Metadaten.
Dies kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Weisen erfolgen: (1) Entweder durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten1, (2) durch einen Multicast-Ansatz2 oder (3) durch den Einsatz von Mix-Netzen3.
Bei Ersterem werden die Personen, die technisch Zugang zu den Metadaten haben, vertraglich zur Geheimhaltung verpflichtet. Im besten Falle werden die Tätigkeiten mit Zugang zu den Metadaten, nach dem Vier-Augen-Prinzip durch mehrere, sich gegenseitig überwachende Personen, gemeinsam ausgeführt. Die Datenskandale der letzten Monate zeigen, dass Metadaten mittels organisatorischer Maßnahmen jedoch nicht ausreichend sicher geschützt sind.
Beim Multicast-Ansatz werden asymmetrisch verschlüsselte Daten nicht nur vom Sender an den Empfänger geschickt (wie bei Unicast-Systemen), sondern zusätzlich an mehrere andere Teilnehmer des Netzes verteilt. Weil die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wurde, kann nur dieser mit seinem privaten Schlüssel die Nachricht entschlüsseln. Die anderen Empfänger der verschlüsselten Information können den Adressaten der Nachricht nicht ableiten, sondern durch Entschlüsselungsversuche nur feststellen, dass sie nicht zu den Adressaten zählen. Der Anbieter und der Netzbetreiber wissen nur, welcher Netzteilnehmer wann wie viel versendet, jedoch nicht mit wem er kommuniziert. Die Verbindungsdaten bleiben ihm verborgen. Allerdings ist dieser Ansatz nur für Schmalband-Anwendungen geeignet, da sowohl bei den Netzteilnehmern sehr viel Rechenleistung als auch im Netz sehr hohe Übertragungskapazitäten benötigt werden.
Ein dritter Ansatz verhindert den Zugriff auf die Empfängeradressen gar nicht, sondern verschleiert die Absenderadresse. Dies erfolgt über so genannte Mix-Netze, in denen die Nachrichten von der Senderadresse entkoppelt und an mehreren Zwischenknoten voneinander unabhängiger Betreiber mit einer Mehrzahl anderer Nachrichten vermischt werden. Damit kann der Empfänger der Nachricht die Absenderadresse für eine verbindliche Kommunikation zwar aus dem verschlüsselten Teil der Nachricht entnehmen, einem einzelner Betreiber der Knoten des Mix-Netzes bleibt dies verborgen. Auch dieser Ansatz ist aufgrund der hohen Verzögerungen in einem solchen Netz eher für Schmalband-Anwendungen geeignet.
» Das gesamte White Paper kostenlos als PDF herunterladen.