Gateway steuert Zugriff

Einen anderen Ansatz verfolgt das Darmstädter IT-Security-Unternehmen Eperi. Es hat ein Gateway entwickelt, mit dem sich sensible Daten selektiv verschlüsseln lassen. Zudem behält der Nutzer die Schlüssel und damit die Hoheit über seine Daten – auch wenn diese in einem Cloud-Rechenzentrum lagern. Das Gateway arbeitet wie ein transparenter Proxy, der einer Anwendung vorgelagert ist. Alle Daten, die ein Nutzer mit dieser Anwendung bearbeitet, werden in Echtzeit automatisch verschlüsselt, sobald sie das Gateway passieren.

Die Gateway-Software hat Eperi als Open Source auf seiner Webseite offengelegt. Somit kann jeder Anwender die kryptografischen Grundlagen sowie das Rollen- und Benutzermanagement überprüfen. Eine spezielle Variante, das Eperi-Gateway for Cloud Apps, ist für Cloud-Anwendungen konzipiert. Unterstützt werden Office 365 und Salesforce.com. Word-Dokumente, die ein Nutzer zum Beispiel mit Office 365 bearbeitet, werden verschlüsselt, bevor sie auf One­Drive oder SharePoint landen. Auf dieselbe Weise werden E-Mails und andere Daten geschützt, die ein Nutzer auf Cloud-Plattformen ablegt.

Auch Datenbanken lassen sich mit dem Gateway verschlüsseln, etwa IBM DB2, Maria­DB, Microsoft SQL Server und Oracle 11gR2 bis 12c. Implementiert wird Eperi als Image in einer Cloud oder als virtuelle Appliance beziehungsweise Virtual Machine im eigenen Rechenzentrum. Eine dritte Möglichkeit ist, das Gateway auf einem hausinternen Java-Application-Server laufen zu lassen.

Für Firmen, die Public-Cloud-Dienste nutzen wollen, aber nur bei minimalem Risiko, sind Lösungen wie das Eperi-Gateway eine interessante Option. Denn sie bieten gewissermaßen eine Extraportion Sicherheit, selbst in per se unsicheren Umgebungen wie einer Public Cloud.

Unternehmen, die sicherstellen möchten, dass vertrauliche Daten nicht bei ausländischen Behörden oder Hackern landen, müssen keinen Bogen um die Cloud machen, auch nicht um Public-Cloud-Dienste. Nach derzeitigem Stand erfüllen auch Anbieter mit Hauptsitz in den USA die Vorgaben der Datenschutz-Grundverordnung, sofern sie Rechenzentren in Deutschland betreiben und garantieren können, dass Daten von Kunden ausschließlich dort verarbeitet werden.

Ein Unsicherheitsfaktor bleibt jedoch: Die US-Regierung könnte Provider wie AWS, Google oder IBM dazu nötigen, solche Informationen auch dann herauszugeben, wenn sie in Frankfurt am Main oder Hamburg lagern. Offen ist, ob sich ein amerikanisches Unternehmen auf Dauer diesem Druck widersetzen könnte. Daher ist es für Anwender durchaus eine Überlegung wert, zumindest als Backup einen Cloud-Service-Provider mit Hauptsitz in Deutschland in petto zu haben. Dies umso mehr, als eine solche Multi-Cloud-Strategie die Abhängigkeit von einem Anbieter verringert.

Keine tragfähige Alternative ist es dagegen, Public Clouds zu meiden. Services, wie sie über solche Cloud-Umgebungen verfügbar sind, in Eigenregie zu implementieren, ist schlichtweg unrentabel. Hinzu kommt, dass viele Unternehmensrechenzentren nicht die gleichen Sicherheitsstandards aufweisen wie Cloud-Datacenter von Providern.

Wichtig und praktikabel sind dagegen Sicherheitsver­fahren wie Datenverschlüsselung. Denn nicht erst seit Edward Snowden ist bekannt, dass Geheimdienste und Hacker mit einer starken Verschlüsselung massive Probleme haben.