17. Dezember 2012 - Cloud und Verschlüsselung

Das lange Leben digitaler Schlüssel

Für den Schutz personenbezogener Daten in einer Cloud ist die starke Verschlüsselung elementar. Die beste Verschlüsselung hilft jedoch wenig, wenn der Anwender den digitalen Schlüssel nicht vor Missbrauch schützt. Prüfen Sie deshalb, ob das Schlüsselmanagement in Ihrem Unternehmen richtig funktioniert.

das-lange-leben-eines-digitalen-schlussels.jpeg
Verschlüsselung schützt auch personenbezogene Daten in der Cloud. Doch sollte der Schlüssel gut behütet werden. (Bild: Thinkstock)

Stellen Sie sich vor, bei einem Gebäude werden alle Türen und Fenster verriegelt, um die Wertgegenstände darin zu schützen. Dann aber legt man den Schlüssel zur Eingangstür einfach unter die Fußmatte. Das klingt nicht besonders klug. Im Fall der Verschlüsselung von Daten in der Cloud wird aber oftmals so vorgegangen: Die Daten werden scheinbar geschützt, der digitale Schlüssel aber wird vernachlässigt.

Der Schlüssel zur Cloud

Wie die Ponemon-Studie „Encryption in the Cloud“ zeigt, denken nur 36 Prozent der Befragten, dass die Verantwortung für das Schlüsselmanagement (Key Management) in erster Linie bei ihrem Unternehmen liegt. 22 Prozent glauben dagegen, dass hauptsächlich der Cloud-Anbieter für das Key Management zuständig ist. Auch von den Unternehmen, die ihre Daten selbst verschlüsseln, übertragen mehr als die Hälfte die Kontrolle über die digitalen Schlüssel auf den Cloud-Provider.

Schlüssel nicht nur sicher erzeugen

Kommt ein digitaler Schlüssel in die falschen Hände, kann er von Unbefugten zur Entschlüsselung der scheinbar geschützten Daten missbraucht werden. Wird der Schlüssel zum Beispiel dem Cloud-Anbieter zur Aufbewahrung überlassen, kann im Prinzip nicht ausgeschlossen werden, dass Innentäter beim Cloud-Anbieter die Verschlüsselung der Daten umgehen.

Meist wird zwar viel Wert darauf gelegt, die Schlüssel möglichst sicher zu erzeugen, also den Bereich abzuschirmen, in dem die Schlüssel generiert werden. Dann allerdings folgt eine unsichere oder zumindest unkontrollierte Aufbewahrung der Schlüssel. Oftmals erhalten die Nutzer selbst die Schlüssel. Dann stellt sich die Frage, wo die Nutzer den Schlüssel aufbewahren und wie er dort abgesichert ist.

Sicherer Umgang mit Schlüsseln

Im Extremfall werden Schlüssel ungeschützt lokal auf dem Computer abgelegt. Oder aber die Schlüssel werden auf einem speziellen USB-Stick gespeichert, der dann aber auch sicher aufbewahrt werden muss. Doch selbst mit der möglichst sicheren Aufbewahrung endet die Aufgabe, den Schlüssel vor Missbrauch zu schützen, nicht. Ein sicherer Umgang mit digitalen Schlüsseln muss die gesamte Lebensdauer des Schlüssels gewährleistet sein.

Vom Antrag bis zur Vernichtung des Schlüssels

Wenn Sie also im Rahmen der Datenschutzkontrolle die Verschlüsselung prüfen, sollten Sie gerade das Schlüsselmanagement in den Blick nehmen. Dabei sollten Sie prüfen, wie die Schlüssel geschützt sind und zwar für die gesamte Lebensdauer, von dem Antrag, der Erzeugung, der Aktivierung und der Speicherung, über die Verteilung, die Wiederherstellung, den Ersatz, die Aktualisierung, dem Zurückziehen, der Sicherung, bis hin zur Archivierung und zu der Zerstörung des Schlüssels.

Nur eine vollständige Absicherung der ganzen Lebensdauer eines Schlüssels gewährleistet eine zuverlässige Verschlüsselung. Bei der Prüfung des Schlüsselmanagements hilft Ihnen auch die aktuelle Arbeitshilfe, die Checkliste zum Schlüsselmanagement:


Download:


Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln