Um ein Ausspähen von Daten zu verhindern, verlässt sich die Mehrheit der Systeme heute auf Verschlüsselung, so dass nur die jeweiligen Sender und Empfänger die kommunizierten Daten entschlüsseln können. Der physische Zugriff zu Signalen und Daten während der Übertragung oder der Speicherung kann toleriert werden, ohne unbefugtes Lesen der Inhalte befürchten zu müssen. Allerdings müssen bisherige Unicast-Systeme immer die Empfänger-
adressen dem Betreiber offenbaren, damit dieser die Nachrichten korrekt weiterleiten kann. Den Anbietern der Kommunikationsdienste liegen damit die Verbindungsdaten offen vor, die aufzeigen, wer mit wem, wann und wie lange kommuniziert. Solche Metadaten sagen viel über die Absichten der betroffenen Parteien aus und sind einfach zu analysieren. Aus diesem Grund erfordert der Datenverkehr zwischen Bürgern, Unternehmen und öffentlichen Einrichtungen auch den Schutz der Metadaten.

Dies kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Weisen erfolgen:

• Entweder durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten [1],
• durch einen Multicast-Ansatz [2] oder
• durch den Einsatz von Mix-Netzen [3].

Bei Ersterem werden die Personen, die technisch Zugang zu den Metadaten haben, vertraglich zur Geheimhaltung verpflichtet. Im besten Falle werden die Tätigkeiten mit Zugang zu den Metadaten nach dem Vier-Augen-Prinzip durch mehrere, sich gegenseitig überwachende Personen, gemeinsam ausgeführt. Die Datenskandale der letzten Monate zeigen, dass Metadaten mittels organisatorischer Maßnahmen jedoch nicht ausreichend sicher geschützt sind.

Beim Multicast-Ansatz werden asymmetrisch verschlüsselte Daten nicht nur vom Sender an den Empfänger geschickt (wie bei Unicast-Systemen), sondern zusätzlich an mehrere andere Teilnehmer des Netzes verteilt. Da die Nachricht mit dem öffentlichen Schlüssel des Empfängers verschlüsselt wurde, kann nur dieser mit seinem privaten Schlüssel die Nachricht entschlüsseln. Die anderen Empfänger der verschlüsselten Information können den Adressaten der Nachricht nicht ableiten, sondern durch Entschlüsselungsversuche nur feststellen, dass sie nicht zu den Adressaten zählen. Der Anbieter und der Netzbetreiber wissen nur, welcher Netzteilnehmer wann wie viel versendet, jedoch nicht mit wem er kommuniziert. Die Verbindungsdaten bleiben ihm verborgen.

Allerdings ist dieser Ansatz nur für Schmalband-Anwendungen geeignet, da sowohl bei den Netzteilnehmern sehr viel Rechenleistung als auch im Netz sehr hohe Übertragungskapazitäten benötigt werden.

Ein dritter Ansatz verhindert den Zugriff auf die Empfängeradressen gar nicht, sondern verschleiert die Absenderadresse. Dies erfolgt über so genannte Mix-Netze, in denen die Nachrichten von der Senderadresse entkoppelt und an mehreren Zwischenknoten voneinander unabhängiger Betreiber mit einer Mehrzahl anderer Nachrichten vermischt werden. Damit kann der Empfänger der Nachricht die Absenderadresse für eine verbindliche Kommunikation zwar aus dem verschlüsselten Teil der Nachricht entnehmen, einem einzelnen Betreiber der Knoten des Mix-Netzes bleibt dies verborgen. Auch dieser Ansatz ist aufgrund der hohen Verzögerungen in einem solchen Netz eher für Schmalband-Anwendungen geeignet.

Die Versiegelung des Rechenzentrums 

Die der Sealed Cloud zu Grunde liegende Idee besteht darin, die Leistungsfähigkeit und Bedienungsfreundlichkeit eines normalen Web-Dienstes mit der gebotenen Sicherheit auszustatten.

Mit „Leistungsfähigkeit“ ist gemeint, dass die Signale weder nach einem Multicast-Schema noch über ein Netz von Mixknoten, sondern direkt mit der den Dienst bereitstellenden Infrastruktur ausgetauscht werden können. Mit „gebotener Sicherheit“ ist gemeint, dass ein Satz aus rein technischen Maßnahmen den Zugriff sowohl zu den Inhalten als auch zu den Metadaten wirksam unterbindet. Insbesondere soll als Schutz gegen Angriffe von Innen wie von Außen keine Notwendigkeit für organisatorische Maßnahmen entlang der ersten Verteidigungslinie mehr bestehen, d. h. der Unsicherheitsfaktor Mensch soll ausgeschlossen werden (siehe Bild 1).

Bild 1: Ausschluss des Unsicherheitsfaktors „Mensch“

Der Satz aus technischen Maßnahmen setzt sich wie folgt zusammen [4]:

a)    Sichere Verbindung zum Rechenzentrum

Damit keine besondere Software installiert werden muss, erfolgt die Verbindung vom Gerät des Nutzers aus zur Sealed Cloud mit einer klassischen SSL-Verschlüsselung. Allerdings werden nur starke Cipher, d. h. solche, mit langen Schlüsseln und ohne bekannte Implementierungsschwächen, akzeptiert. Da – anders als bei gewöhnlichen Web-Servern – keine privaten Schlüssel auf Server-Seite bekannt sein dürfen, kommt ein speziell abgesicherter Import des privaten Schlüssels durch einen unabhängigen Auditor nur zur Laufzeit des Servers zum Einsatz. Als Schutz gegen so genannte man-in-the-middle-Attacken stehen eine Browser-Erweiterung und − für mobile Geräte − Apps zur Verfügung, die bei falschen Zertifikaten sofort den Nutzer alarmieren. Nutzer können mit einem Einmalpasswort-Generator in Scheckkartenformat oder einem Zahlencode per SMS einen zweiten Faktor zur Absicherung der Authentisierung verwenden.

b)    Sicherheit gegen Zugriff auf die Daten während der Verarbeitung

Damit weder der Betreiber der Infrastruktur noch der Anbieter des Dienstes die Möglichkeit hat, auf die Nutzerdaten während der Verarbeitung zuzugreifen, kommt ergänzend zur Verschlüsselung die neuartige „Versiegelung“ zum Einsatz. Hierzu sind um alle Anwendungsserver des Dienstes in der so genannten „data-clean-up-area“ mechanische Käfige mit elektro-mechanischen Schlössern angebracht. Auch sind alle elektronischen Schnittstellen zu den Servern entweder entfernt oder mit Filtern versehen, die nur den Nutzer-Zugriff gestatten; kein direkter Administrator-Zugang ist vorgesehen. Keiner dieser Server hat persistenten Speicher. Die elektronischen Schnittstellen sowie die mechanischen Komponenten der Käfige sind mit einer Vielzahl von Sensoren ausgestattet, die bei einem Zugangsversuch unmittelbar alarmieren.

Im Falle einer solchen Alarmierung wird dann der „data-clean-up“ ausgelöst. Das heißt: die Sitzungen der Nutzer, die sich auf den betroffenen Servern befinden, werden automatisch auf nicht betroffene Segmente umgelenkt und sämtliche Daten in den betroffenen Segmenten gelöscht. Zur Absicherung des Löschvorgangs wird sogar die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen. Dieselbe Prozedur wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt.

c)    Sichere Speicherung bei der Sealed Cloud

Das Prinzip der „Versiegelung“ umfasst des Weiteren eine besondere Schlüsselverteilung, so dass der Betreiber über keinen Schlüssel zur Entschlüsselung der Profile in der Datenbank sowie der Dateien in den File-Systemen verfügt. Konkret werden die Schlüssel für die Profile in der Datenbank durch Hashketten aus Nutzername und Passwort erzeugt. Sobald die Hashwerte ermittelt sind, werden Nutzername und Passwort sofort wieder verworfen. Am Ende der Sitzung wird auch der ermittelte Hashwert gelöscht. Damit schließlich auch aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb der erwähnten „data-clean-up-area“ ein rein volatiler „meta-mapping server“ betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf hat. Sollte jemand einen Zugriff versuchen, würde der beschriebene „data-cleanup“ automatisch ausgelöst. Da dieser Server jedoch rein volatil betrieben wird, ist für eine hohe Verfügbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig, zweitens müssen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden können.

d)    Zusätzliche Maßnahmen zum Schutz der Metadaten

Damit von Außen durch die Beobachtung des Verkehrsaufkommens keine Rückschlüsse auf die Metadaten erfolgen können, werden Benachrichtigungen über eben diesen Verkehr aufkommensabhängig zufällig verzögert. Außerdem wird die Größe der übertragenen Dateien künstlich auf die nächsthöhere Standardgröße erweitert, damit sich Metadaten weder über Zeit- noch über Größenkorrelationen ableiten lassen [5].

Technische Maßnahmen und resultierender Schutz

Damit der für die geschilderte „Versiegelung“ notwendige kanonische Umfang der technischen Maßnahmen auch tatsächlich entsprechend der Spezifikation implementiert ist, ist eine Auditierung durch unabhängige Prüfer unabdingbar.

Eine Integritätsprüfung durch eine vollständige „chain of trust“ ist je Server installiert. Nicht vorgesehene Software kann daher nicht ausgeführt werden.

Bild 2: Kanonischer Umfang der technischen Maßnahmen

Darüber hinaus muss die Implementierung so modular gestaltet sein, dass die Komplexität einer Prüfung überhaupt zugänglich ist. Der daraus resultierende Schutz für die Daten der Nutzer in einer versiegelten Verarbeitung umfasst beim Austausch von Ende-zu-Ende verschlüsselten Daten auch die Metadaten und bei allgemeineren Cloud-Anwendungen sowohl die Inhalte als auch die Metadaten auf rein technische und somit nicht kompromittierbare Weise. Wird im herkömmlichen Sicherheitskalkül mit Verschlüsselung und organisatorischen Maßnahmen gearbeitet, bleiben zwei Herausforderungen unbeantwortet:

1. Der Schutz für Inhalte und Metadaten, wenn unverschlüsselte Daten verarbeitet werden und
2. der Schutz für die besonders einfach analysierbaren Metadaten, wenn verschlüsselte Daten geroutet werden.

Mit dem kanonischen Satz an technischen Maßnahmen wird das grundsätzliche Sicherheitskonzept ergänzt, wie es zum Beispiel bei der Versiegelung erfolgt. Mit der technischen Versiegelung können die Nutzerdaten gegen Angriffe von Außen und Innen geschützt werden. Mit dieser Versiegelung werden sowohl Inhalte als auch Metadaten vor unbefugten Zugriffen bewahrt (siehe Bild 2).

Anwendung für Unternehmen: Ein Kommunikationsdienst

Das Thema Sicherheit in der Kommunikation mit externen Personen und Einrichtungen ist heute für Behörden und Unternehmen oft nur kompliziert lösbar. In Folge leidet die Sicherheit. Dieses Thema betrifft nahezu alle Organisationen, denn der Firmengrenzen überschreitende Austausch von Dokumenten erfolgt heute fast immer ohne Schutz – meist einfach per E-Mail.

Der auf der Sealed Cloud basierende Kommunikationsdienst Idgard kann mit seinen Funktionen zum sicheren Austausch von Dokumenten und Nachrichten über Firmengrenzen hinweg kritische Herausforderungen lösen und das bei einer einfachen Nutzung und geringen Kosten – ohne dafür neue Software zu benötigen. Es genügt ein Web-Browser (siehe Bild 3).

Bild 3: Anwendung für Unternehmen

Dank der Sealed-Cloud-Technologie kann der Dienst unter anderem, folgende Anwendungsfälle anbieten:

1. einen versiegelten Austausch vertraulicher Dokumente über Firmengrenzen hinweg,
2. einen versiegelten Team-Arbeitsbereich und Datenräume für eine firmenübergreifende Zusammenarbeit,
3. einen sicheren, mobilen Zugriff auf geschäftliche Unterlagen,
4. einen versiegelten Chat von allen Endgeräten aus,
5. ein versiegeltes Termin- und Ressourcen-Abstimmungstool

Effektivitätssteigerungen 

Die „store & share“-Kommunikation des Dienstes vermeidet den Wechsel zwischen separaten Systemen und ist auf allen Systemen und Geräten verfügbar – PC, Smartphone und Tablet.

Datenschutz und Rechtsrahmen 

Da die Anwendung dank der Sealed-Cloud kostengünstig angeboten werden kann und auch eine hohe Bedienerfreundlichkeit aufweist, muss das System bei der Abwägung der Verhältnismäßigkeit als Datenschutzmaßnahme gemäß § 3a und3.9 BDSG i.d.R. berücksichtigt werden. Der Dienst sichert dergestalt ab, dass der relative Personenbezug bei der Verarbeitung nicht auflebt. Dadurch entfällt für Anhänger des Prinzips des relativen Personenbezugs die Verpflichtung zum Abschluss einer Vereinbarung zur Verarbeitung der Daten im Auftrag gemäß § 11 BDSG [6]. So sichert er Inhalte und Metadaten ab. Der Anbieter des Dienstes hat keine Möglichkeit zur Kenntnisnahme der verarbeiteten Daten. Dadurch kann er sogar Berufsgeheimnisträgern eine rechtskonforme, elektronische Kommunikation über Organisationsgrenzen hinweg anbieten. Dies ist zurzeit nur mit der weltweit patentierten [7] Plattform „Sealed Cloud“ möglich.

Schlüsselwörter:

Verschlüsselung, IaaS, Cloud Computing, Metadaten, Sicherheit, Compliance, Datensicherheit

Literatur:

[1] e.g. das Informations-Sicherheits-Management nach BSI IT-Grundschutz
[2] e. g. https://freenetproject.org/
[3] e. g. www.anonym-surfen.de/
[4] Hubert Jäger et.al. _A Novel Set of Measures against Insider Attacks – Sealed Cloud_, in: Detlef Hühnlein, Heiko Roÿnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223, ISBN 978-3-88579-617-6, pp. 185-195.
[5] Hubert Jäger, et.al. _The First Uniscast Communication System protecting both Content and Metadata_, accepted for publication in the proceedings of the World Telecommunication Congress 2014.
[6] e. g. Steffen Kroschwald, „Verschlüsseltes Cloud Computing“ Zeitschrift für Datenschutz, 2/2014, S.75-84.
[7] EP 389641 und andere