Sealed Cloud
Sealed Cloud (deutsch etwa Versiegelte Wolke) ist eine patentierte[1] Basistechnologie, mit der Systeme in Rechenzentren so abgesichert werden können, dass die darüber laufenden Daten – Inhalte wie Metadaten – auch für den Betreiber unzugänglich sind. Diese Technologie wurde ab 2011 von einem Konsortium, das unter anderen aus dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), dem TÜV Süd Unternehmen Uniscon und SecureNet bestand, im Rahmen des Trusted Cloud Programms des Bundesministeriums für Wirtschaft und Energie für den Einsatz in der Industrie weiterentwickelt. Seit Ende 2014 existieren Schnittstellen für Cloud-Anwendungen in diversen Bereichen. Weitere Forschungsprojekte haben die Aufgabe, die versiegelte Infrastruktur für weitere Dienste und Anwendungen nutzbar zu machen[2].
Zielsetzung
Ziel ist es, unter Beachtung der in der Datenschutz-Grundverordnung (DSGVO) geforderten Prinzipien, Privacy by Design und Privacy by Default[3] eine „versiegelte“ Infrastruktur für Cloud Computing zu schaffen und auszubauen. Mit „Versiegelung“ ist Folgendes gemeint: Der Betreiber einer Infrastruktur wird mit technischen Maßnahmen grundsätzlich daran gehindert, auf unverschlüsselte Daten – Inhalte und Metadaten – zuzugreifen, auch während der Verarbeitung der Nutzerdaten.
Abgrenzung
Wenn personenbezogene Daten in der Cloud gespeichert oder verarbeitet werden, muss sich ein deutscher Auftraggeber vor Ort – also im Rechenzentrum – vorab und danach „regelmäßig nachvollziehbar“ – davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden, denn es ist für Nutzer riskant, die Daten bei Online-Diensten und deren Rechenzentren auszulagern. Dort liegen die Daten bei einem Drittanbieter, der theoretisch darauf zugreifen kann. Ab Mai 2018 müssen die nationalen Gesetze der DSGVO folgen, die von europäischen Unternehmen eine Reihe datenschutzrechtlicher Adaptierungen zum Schutz personenbezogener Daten einfordert. Besonders für Geheimnisträger besteht bei Cloud-Anwendungen, die Daten verarbeiten, etwa im Rahmen des Software as a Service (SaaS), für die Dauer der Verarbeitung der Tatbestand der Kenntnisnahme, da der Cloud-Anbieter bei den Anwendungsservern Zugriff auf den Datenbestand hat.[4]
Um sich gegen die Sicherheitsrisiken bei Webanwendungen gegen Angriffe von außen und innen abzusichern, setzen sicherheitsbewusste Betreiber von Cloud-Anwendungen technische und organisatorische Maßnahmen ein. Bei den Daten, die während der Verarbeitung unverschlüsselt sind, werden häufig organisatorische Maßnahmen wie das Vier-Augen-Prinzip oder Rollenkonzepte genutzt.
Beispiel: De-Mail.
Auch mit der Ende-zu-Ende-Verschlüsselung der Inhalte als technische Maßnahme versucht man eine Kenntnisnahme laut § 203 StGB zu erschweren[5].
Beispiel: Threema
Dies sind zwei Möglichkeiten, wie sich eine Kenntnisnahme von Inhalten verhindern lässt. Bei Metadaten sieht das anders aus:
Bisherige Unicast-Systeme müssen dem Betreiber die Empfängeradressen bekannt geben, damit dieser die Nachrichten korrekt weiterleiten kann. Daher liegen den Anbietern von Kommunikationsdiensten die Verbindungsdaten vor.
Diese Daten gelten aber als personenbezogene Daten. Sie unterliegen daher dem Datenschutz.
Der Schutz dieser Daten kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Arten erfolgen:
- Durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten.
- Beispiel: Die IT-Grundschutz-Kataloge basieren auf dieser Methode[6], siehe auch das Treuhand-Modell der Deutschen Telekom[7]
- Durch einen Multicast-Ansatz
- Beispiel: Das Freenet-Projekt. Dieser Ansatz ist eher für Schmalband-Anwendungen geeignet, da er bei den Netzteilnehmern viel Rechenleistung voraussetzt und auch im Netz hohe Übertragungskapazitäten benötigt.[8]
- Durch den Einsatz von Mix-Netzen
- Beispiel: Die Sicherheitssoftware Tor. Dieser Ansatz ist aufgrund der hohen Verzögerungen ebenfalls eher für Schmalband-Anwendungen geeignet.
Technologie
Das der Sealed Cloud zu Grunde liegende Konzept ruht auf drei Grundvoraussetzungen:
- Die Signale werden weder nach einem Multicast-Schema noch über ein Netz von Mixknoten ausgetauscht, sondern direkt mit der den Dienst bereitstellenden Infrastruktur.
- Gebotene Sicherheit
- Gemeint ist, dass der Dienst den gesetzlichen genauso wie den firmeninternen Anforderungen genügen muss. Mit Art. 5 Abs. 2 DSGVO verschärft sich die Rechenschaftspflicht für Unternehmen: Unternehmen müssen für jeden Verarbeitungsprozess vorab abklären, ob eine detaillierte Risikoanalyse erforderlich ist. Wenn die Verarbeitung Grundrechte verletzen könnte (personenbezogene Daten), müssen die Unternehmen ebenfalls vorab Rechenschaft ablegen, ob – unter dem Gesichtspunkt der Verhältnismäßigkeit – erstens bei der Verarbeitung der Stand der Technik zum Einsatz kommt, ob sie zweitens den Grundsätzen der datenschutzkonformen Technikgestaltung (Privacy by Design) folgt und drittens datenschutzfreundliche Voreinstellungen (Privacy by Default) vornimmt. Um diesen Prinzipien Rechnung zu tragen, unterbindet bei der Sealed Cloud Technologie ein Satz aus rein technischen Maßnahmen den Zugriff auf Inhalte und Metadaten.[9]
- Der Satz aus technischen Maßnahmen, der entwickelt wurde, um diese drei Vorgaben zu erreichen, setzt sich wie folgt zusammen:
Maßnahmen bei der Datenverbindung zum Rechenzentrum
Damit keine besondere Software installiert werden muss, erfolgt die Verbindung vom Gerät des Nutzers aus zur Sealed Cloud mit einer klassischen SSL-Verschlüsselung. Dabei werden ausschließlich starke Cipher (Verschlüsselungsalgorithmen, u. a. AES 256) akzeptiert, d. h. solche, mit langen Schlüsseln und ohne bekannte Implementierungsschwächen. Da keine privaten Schlüssel auf Server-Seite bekannt sein dürfen, kommt ein speziell abgesicherter Import des privaten Schlüssels zum Einsatz.
Als Schutz vor man-in-the-middle-Angriffe stehen eine Browser-Erweiterung und, für mobile Geräte, Apps zur Verfügung, die bei falschen Zertifikaten den Nutzer alarmieren. Nutzer können mit einem Einmalpasswort-Generator oder einem Zahlencode per SMS einen zweiten Faktor zur Absicherung der Authentifizierung verwenden.
Maßnahmen zum Schutz vor einem Zugriff auf die Daten bei der Verarbeitung
Alle Komponenten, die unverschlüsselte Daten verarbeiten, befinden sich in der so genannten Data-Clean-Up-Area. Dazu werden mechanische Käfige mit elektro-mechanischen Schlössern ausgestattet.[10] Auch sind alle elektronischen Schnittstellen so reduziert, dass nur Nutzern der Zugriff möglich ist; ein direkter Administrator-Zugang ist nicht möglich. Keine dieser Komponenten hat persistenten Speicher. Die elektronischen Schnittstellen sowie die elektro-mechanischen Komponenten der Käfige sind mit einer Vielzahl von Sensoren ausgestattet, die bei einem Zugangsversuch unmittelbar alarmieren. Im Falle einer solchen Alarmierung wird der Data-Clean-Up ausgelöst. Das heißt: Die Sitzungen der Nutzer auf den betroffenen Servern werden automatisch auf nicht betroffene Segmente umgelenkt und sämtliche Daten in den betroffenen Segmenten gelöscht. Zur Absicherung der Löschung wird die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen. Eine analoge Vorgehensweise wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt.
Maßnahmen bei der Speicherung
Das Prinzip der Versiegelung umfasst auch eine besondere Schlüsselverteilung. Der Betreiber verfügt nach Angaben des wissenschaftlichen Projektberichts über keinen Schlüssel zur Entschlüsselung, weder zur Entschlüsselung der Protokolle in der Datenbank, noch der Dateien in den File-Systemen.[11]
Die Schlüssel für die Protokolle in der Datenbank werden durch Hashketten aus Nutzername und Passwort erzeugt. Sobald die Hashwerte ermittelt sind, werden der Nutzername und das Passwort wieder verworfen. Am Ende einer Session wird auch der ermittelte Hashwert gelöscht. Damit aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb der Data-Clean-Up-Area ein rein volatiler Meta-Mapping-Server betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf hat. Sollte jemand einen Zugriff versuchen, würde der beschriebene Data-Clean-Up automatisch ausgelöst. Da dieser Server jedoch rein volatil betrieben wird, ist für eine hohe Verfügbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig, zweitens müssen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden können.
Zusätzliche Maßnahmen zum Schutz der Metadaten
Damit keine Rückschlüsse auf die Metadaten erfolgen kann, indem man das Verkehrsaufkommen beobachtet, werden Benachrichtigungen über ebendiesen Verkehr aufkommensabhängig „zufällig verzögert“. Außerdem wird die Größe der übertragenen Dateien künstlich auf die nächstgrößere Standardgröße erweitert, damit sich Metadaten weder über Zeit- noch über Größenkorrelationen ableiten lassen.
Auditierung
Damit sich der für die Versiegelung notwendige Umfang der technischen Maßnahmen entsprechend der Spezifikation nachweisen lässt, führen unabhängige Prüfer eine Auditierung durch. In jedem Server ist eine Integritätsprüfung mittels einer vollständigen Chain-Of-Trust installiert, damit Software, die nicht vorgesehen ist, auch nicht ausgeführt werden kann. Darüber hinaus ist die Implementierung modular gestaltet, damit sich die Komplexität des Systems überhaupt prüfen lässt.
Forschung
Zurzeit laufen folgende weiterführenden Forschungsprojekte, gefördert von EU, Bundesministerium für Bildung und Forschung (BMFB) und BMWi:
Bundesministerium für Bildung und Forschung
- SENDATE-SECURE-DCI[12] sollte klären, wie sich mit Hilfe der Nutzung optischer Technologien eine Verzehnfachung des Datendurchsatzes innerhalb und zwischen Datenzentren erreichen und sich dabei gleichzeitig der Energiebedarf verringern lässt. Das Projekt wurde im November 2019 abgeschlossen.
- PARADISE – Privacy-enhancing and Reliable Anti-Doping Integrated Service Environment[13]: Das Projekt wurde 2018 abgeschlossen und hatte zum Ziel, den Umgang mit personen- und ortsbezogenen Daten von Leistungssportlern zweckgebundener auszulegen. Die Ergebnisse des Projekts sind online einsehbar.
- Verif-eID: Das bereits im Juni 2017 abgeschlossene Projekt versuchte eine Lösung zu erarbeiten, die Nutzern eine zuverlässige und rechtssichere Identifizierung im Netz ermöglicht.
Bundesministerium für Wirtschaft und Energie
- CAR-BITS.de: Das Projekt entwickelt eine Service-Plattform, die eine datenschutzkonforme Nutzung der Fahrzeugdaten für neue Dienste ermöglichen soll. Uniscon hat die Forschungsergebnisse Ende 2018 auf dem IoT-Security Kongress vorgestellt.[14]
Europäische Union
- Privacy&Us[15]: Das Netzwerk hat sich zur Aufgabe gemacht, dreizehn junge Forscher auszubilden. Sie sollen neuartige Lösungen zu Fragen in Verbindung mit dem Schutz der Privatsphäre der Bürger erörtern, konzipieren und entwickeln. Projektende war im Oktober 2020.
Bayerische Landesregierung
- e-Freedom: Das Projekt soll zeigen, dass grundrechtskonforme Videoüberwachung mit automatischer Gesichtserkennung im öffentlichen Raum technisch realisierbar ist. Assoziierter Partner ist neben der TÜV SÜD-Tochter Uniscon GmbH der Lehrstuhl für Mensch-Maschine-Kommunikation der TU München.
- Privacy BlackBox: Ein IoT-System mit hoher Ende-zu-Ende-Sicherheit für künftige digitale Anwendungen. Der Fokus liegt zunächst auf Datenschreibern in Automobilen und der Industrie. Partner sind die Uniscon GmbH, die Universität Passau und das Fraunhofer-Institut AISEC.
Wissenschaftliche Publikationen
Neben den wissenschaftlichen Publikationen der Konsortiumsmitglieder im Rahmen des Trusted Cloud Programms beschäftigten sich bisher folgende akademische Institutionen mit der Sealed-Cloud-Technologie:
- Institut für Wirtschaftsrecht an der Universität Kassel[16]
- Erforscht wurde, ob die Sealed Cloud die datenschutzrechtlichen Anforderungen an eine sichere und zulässige Datenverarbeitung erfüllt.[17]
- Analyse der Besonderheiten im Design von Web-Schnittstellen (API), im Gegensatz zu traditionellen Software APIs.[18]
- Untersuchung der Datenspeicherung in der Cloud unter Berücksichtigung der Privatsphäre.[19]
- Abhandlung zu einer Suchmaschine mit Augenmerk auf die Privatsphäre[20]
- Institut für Telematik an der Universität Lübeck[21]
- Im Rahmen einer Masterarbeit über Privatsphäre beim Cloud Computing
- Hochschule für Ökonomie und Management in Hamburg[22]
- Analyse der Sealed Cloud Technologie
- Friedrich-Alexander-Universität Erlangen-Nürnberg; gefördert durch das Bundesministerium für Bildung und Forschung sowie durch das EU-Rahmenprogramm für Forschung und Innovation Horizont 2020.[23] Zusammenfassung der Ergebnisse des Forschungsprojekts PARADISE
Anwendungsbeispiele
- Der Online-Speicher und Kommunikationsdienst idgard
- Das Cloud-Produkt „Versiegelte Cloud“ der Deutschen Telekom basiert auf der Sealed Cloud Technologie und bietet die gleiche Funktionalität wie idgard.[24]
- Der Aachener TK-Anbieter regio iT bietet idgard unter dem Namen uCloud an.[25]
- Die Pilotanwendung Delegate verwaltet Zugangsdaten zu Online-Diensten, befindet sich jedoch noch in der Entwicklung.[26]
- Die Sealed Platform ist eine Cloud-Plattform, die auf den rechts- und datenschutzkonformen Betrieb von Business-Applikationen (SaaS, IoT und M2M) ausgelegt ist. Sie basiert auf der Sealed Cloud Technologie und setzt auf die gleiche Server-Infrastruktur und dieselben Schutzmaßnahmen.[27]
Preise und Auszeichnungen
- Deutscher Rechenzentrumspreis 2019 Mit der Sealed Cloud Platform hat die Uniscon GmbH beim Deutschen Rechenzentrumspreis 2019 den 1. Platz in der Kategorie „Innovationen im Whitespace“ belegt.
- Deloitte Technology Fast 50 Die Uniscon GmbH wurde dank ihrer Sealed Cloud Technologie sowohl 2017 als auch 2018 jeweils mit dem Deloitte Technology Fast 50 Award ausgezeichnet. Der Preis wird jährlich an die am schnellsten wachsenden Technologieunternehmen in Deutschland verliehen.[28]
- Eurocloud Deutschland Für das Innovationspotenzial des Sealed Cloud-Dienstes idgard wurde die Uniscon GmbH 2014 mit dem EuroCloud Award Deutschland des eco-Verbands ausgezeichnet.[29]
- Experton 2014 Die Analysten der Experton-Group ernannten den Sealed-Cloud-Dienst idgard 2014 zum Leader im Bereich Cloud-Verschlüsselung.[30]
Zertifikate
- Der TÜViT hat idgard mit dem Trusted Cloud Datenschutzprofil (TCDP) in der höchsten Schutzklasse (Schutzklasse III) zertifiziert. Der Anforderungskatalog dieses Zertifikats baut auf anerkannten Standards (ISO 27018 u. a.) auf.[31]
- idgard ist mit dem Trusted Cloud Label für vertrauenswürdige Cloud-Services ausgezeichnet. Das Trusted Cloud Projekt wird vom BMWi gefördert.[32]
Literatur
- W. Streitberger, A. Ruppel: Studie: Cloud Computing Sicherheit. Schutzziele. Taxonomie. Marktübersicht. AISEC Fraunhofer 2009.
- Sabrina Landes: Inkognito im Netz unterwegs. In: Kultur&Technik. Das Magazin aus dem Deutschen Museum 1/2013 S. 36–37.
- Hubert Jäger: Compliance durch versiegelte Cloud. In: Industriemanagement 29/2013 S. 27–30.
- Steffen Kroschwald: Verschlüsseltes Cloud Computing. In: Zeitschrift für Datenschutz (ZD) 2014, S. 75–80
Weblinks
- Zum Schutz der Metadaten. In: lanline.de
- Schutz für Mittelstand. In: tecchannel.de
- Sealed Cloud soll Privacy by Design bewerkstelligen. In: it-finanzmagazin.de
- Warum braucht BIM Datenschutz? In: build-ing.de
Einzelnachweise
- EP 2389641 und andere
- Claudia Linnhoff-Popien, Michael Zaddach, Andreas Grahl: Marktplätze im Umbruch: Digitale Strategien für Services im Mobilen Internet. Springer-Verlag, 2015, ISBN 978-3-662-43782-7 (google.de [abgerufen am 5. Januar 2018]).
- Was bedeutet Privacy by Design / Privacy by Default wirklich? In: Datenschutzbeauftragter. 17. Oktober 2017 (datenschutzbeauftragter-info.de [abgerufen am 8. Januar 2018]).
- Steffen Kroschwald, Magda Wicker: Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB. CR 2012, 758–764
- Ende-zu-Ende-Verschlüsselung: Was ist das? Einfach erklärt. Abgerufen am 8. Januar 2018.
- BSI-Grundschutz-Kataloge: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
- Die deutsche Microsoft Cloud: Daten-Treuhand als Abwehrmittel gegen Überwachung? - computerwoche.de. Abgerufen am 5. Januar 2018.
- Christiane Schulzki-Haddouti: Bürgerrechte im Netz. Springer-Verlag, 2013, ISBN 978-3-322-92400-1 (google.de [abgerufen am 5. Januar 2018]).
- Steffen Kroschwald: Informationelle Selbstbestimmung in der Cloud: Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands. Springer-Verlag, 2015, ISBN 978-3-658-11448-0 (google.de [abgerufen am 5. Januar 2018]).
- Eine Cloud im Käfig. In: computerwoche.de, 6. März 2013, abgerufen am 3. April 2014
- Hubert Jäger et al.: A Novel Set of Measures against Insider Attacks – Sealed Cloud. In: Detlef Hühnlein, Heiko Roÿnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223.
- SENDATE-SECURE-DCI — KIS Website. Abgerufen am 5. Januar 2018.
- PARADISE - Fraunhofer FIT. Abgerufen am 5. Januar 2018.
- Ralf Ladner: Rechtskonforme Auswertung von Autodaten. Abgerufen am 12. August 2019 (deutsch).
- PrivacyUs. Abgerufen am 5. Januar 2018 (amerikanisches Englisch).
- https://www.uni-kassel.de/fb07/institute/iwr/personen-fachgebiete/rossnagel-prof-dr/forschung/provet/sealed-cloud.html
- Steffen Kroschwald: Informationelle Selbstbestimmung in der Cloud. Springer Vieweg, 2016, ISBN 978-3-658-11447-3. (eingeschränkte Vorschau in der Google-Buchsuche)
- Vesko Georgiev: Service APIs in Heterogeneous Desktop and Mobile Client Environments. Technische Universität München 2014.
- Sibi Anthony: Privacy-konforme verschlüsselte Datenspeicherung in der Cloud. Technische Universität München 2013.
- Irfan Basha: Privacy Crawler. Technische Universität München 2012.
- http://media.itm.uni-luebeck.de/teaching/ws2013/sem-cloud-computing/Cloud_computing_privacy_aspects.pdf
- Archivierte Kopie (Memento des Originals vom 23. Februar 2014 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- Vertrauenswürdiges Backend. Abgerufen am 12. August 2019.
- Deutsche Telekom AG: Cloud mit Schloss und Riegel. Abgerufen am 12. August 2019.
- Home. Abgerufen am 12. August 2019.
- http://www.securenet.de/?id=120
- Uniscon: Uniscon präsentiert hochsichere Sealed Cloud-Plattform. Abgerufen am 12. August 2019 (deutsch).
- Gewinner Technology Fast 50 im Überblick. Abgerufen am 12. August 2019.
- Trusted Digital Competence Platform. Abgerufen am 12. August 2019 (englisch).
- Research. Abgerufen am 12. August 2019.
- Home - TCDP. Abgerufen am 12. August 2019.
- Bundesministerium für Wirtschaft und Energie: Trusted Cloud. Abgerufen am 12. August 2019.