Sichere Cloud durch Verschlüsselung aus Europa

Wie die Vorteile von Cloud-Computing nutzen, ohne dabei aber mit den eigenen unternehmenskritischen Daten hausieren zu gehen? Antworten auf dieses aktuelle Dilemma versuchten Branchenvertreter und Sicherheitsexperten vergangene Woche im Fabasoft TechSalon in Wien zu geben. „Einerseits ist unsere europäische Demo­kratie durch die Erosion der Privatsphäre gefährdet, andererseits ist technologische Innovation lebensnotwendig für unsere Zukunft“, fasste Gastgeber Helmut Fallmann, Vorstandsmitglied von Fabasoft, die Problemstellung zusammen.

Schlüssel zur sicheren Cloud

Abgesehen von den gesetzlichen Rahmenbedingungen, die im Zuge einer europäischen Datenschutz-Novelle noch auf eine Umsetzung warten, sei in erster Linie die technische Herangehensweise der Schlüssel zur sicheren Cloud, so die Diskussionsteilnehmer. Reinhard Posch, Leiter des Zentrums für sichere Informationstechnologie A-SIT plädierte für eine strikte Trennung von Cloud-Services wie Datenspeicherung und –verarbeitung und den Sicherheitsmechanismen, die den Schutz der Daten vor unbefugtem Zugriff garantieren. Um entsprechend starke Identifikationstechnologien zu etablieren, müsse die Branche in Richtung standardisierter Schnittstellen arbeiten.

Für Helmut Leopold, Leiter der Abteilung Digital Safety & Security (DSS) am Austrian Institute of Technology (AIT), bieten neue Verschlüsselungskonzepte interessante Möglichkeiten, um die Sicherheit in der Cloud zu gewährleisten. Neben End-to-End-Verschlüsselung, aber auch Private-Cloud-Diensten, bei denen die Services vom Anbieter im unternehmenseigenen Netzwerk betrieben werden, kann sich Leopold auch vorstellen, Daten in Einzelteilen bei verschiedenen Providern abzulegen: „So kann gewährleistet werden, dass die jeweiligen Provider selbst auf die Gesamtheit der Daten niemals Zugriff haben bzw. diese nicht unbemerkt verändern können.“

Dass eine geografisch begrenzte Insellösung für Cloud-Services im Zeitalter vernetzter Infrastrukturen, Applikationen und Komponenten des Internets der Dinge kaum Sinn ergibt, darüber waren sich die Teilnehmer einig. „Gerade in Europa müssen wir die Forschung und Entwicklung im Breich Cloud massiv vorantreiben und dadurch Unternehmen hervorbringen, die solche Lösungen auf Basis europäischer Standards global anbieten können“, meinte Posch. Er zeigte sich zuversichtlich, dass europäische Technologien die Zuverlässigkeit von kritischen IT-Infrastrukturen in Zukunft gewährleisten können.

Made in Europe

Fabasoft-Vorstand Fallmann verwies auf die langjährigen Bemühungen seines Unternehmens in diesem Bereich und strich die wirtschaftlichen Chancen der europäischen IT-Wirtschaft hervor. „Bei unserer Initiative ‚Cloud made in Europe‘ geht es uns nicht um eine protektionistische Abschottung des europäischen IT-Marktes auf Kosten von US- und internationalen Unternehmen, sondern um faire Wettbewerbsbedingungen und vor allem um größtmögliche Datensicherheit für Unternehmen und Privatpersonen“, unterstrich Fallmann.

Der Fabasoft-Vorstand schlägt unter anderem einen europäischen Cloud-Gütesiegel vor, der die Wertschöpfungskette, aber auch Nutzungsverträge und Service Level Agreements nach europäischen Standards berücksichtigt. Auch die in Europa verortete Infrastruktur sowie das Sicherheits-Set-up auf Basis anerkannter europäischer Institutionen wie der ENISA könnten Teil eines solchen Zertifikats sein. Dass der neue EU-Kommissar für Digitale Wirtschaft und Gesellschaft, Günther Oettinger, den europäischen Datenschutz öffentlich als Qualitätsmerkmal für Informationstechnologie „made in Europe“ bezeichne, wertet Fallmann als vielversprechendes Zeichen.

Verschlüsselungslösung

Als Beispiel dafür, wie Wirtschaft und Forschung gemeinsam eine innovative Lösung entwickeln können, wurde im Rahmen der Diskussion auch die neue Kryptografie-Lösung „SECOMO Appliance“ vorgestellt, die das Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie (IAIK) der TU Graz mit Fabasoft entwickelt hat. „Das besondere an der Lösung ist, dass sie echte End-to-End-Verschlüsselung für die Datenübertragung erlaubt. Die Kryptografie greift nicht erst auf dem Server, sondern auf allen im Einsatz befindlichen Geräten, sei es mobil oder auch auf Workstations im Büro“, erklärt Peter Teufl vom IAIK der TU Graz. Hardware-Sicherheitsmodule bieten einen zusätzlichen Schutz, da sich diese bei nicht autorisiertem Zugriff selbst zerstören.

Dieser Artikel entstand im Rahmen einer Kooperation mit Fabasoft.