So stärken Sie Ihre PII- und IP-Daten in der Cloud

Organisationen stellen immer mehr sensible Daten in die Cloud. Laut der Global Encryption Trends Study 2020, die vom Ponemon Institute mit Unterstützung durch nCipher Security und Entrust Datacard durchgeführt wurde, gaben 58 Prozent der 6.457 Befragten aus unterschiedlichen Branchen in 17 Ländern an, dass ihre Organisation sensible oder vertrauliche Daten in die Cloud überträgt und zwar unabhängig davon, ob die Daten verschlüsselt sind oder nicht. Weitere 25 Prozent der Befragten erwarten, dass dies in den nächsten ein bis zwei Jahren der Fall sein wird.

Externer Schutz

Eine Frage der Studie lautete, wie Organisationen ruhende Daten in der Cloud schützen. 45 Prozent der Befragten, die ihre Daten verschlüsseln, gaben an, dass die Verschlüsselung vor der Übertragung in die Cloud lokal erfolgt, und zwar mit den Schlüsseln, die ihre Organisation erzeugt und verwaltet.

36 Prozent der Befragten führen die Verschlüsselung in der Cloud durch, wobei die Schlüssel vom Cloudanbieter erzeugt und verwaltet werden. 20 Prozent der Befragten verwenden irgendeine Art von Bring Your Own Key-Ansatz (BYOK).

Für die digitale Sicherheitsbranche ergeben sich damit zwei Probleme

  1. Offensichtlich schützt eine große Zahl der Befragten ihre Daten in der Cloud überhaupt nicht.
  2. 36 Prozent der Befragten nutzen Schlüssel, die vom Cloudanbieter erzeugt und verwaltet werden.

Das Risiko durch vollständig fehlenden Schutz

Diejenigen, die sensible Daten in der Cloud speichern und diese in keiner Weise durch Verschlüsselungsverfahren oder andere Methoden unlesbar machen, bewegen sich auf dünnem Eis. Sie erfüllen nicht die umfang- reichen gesetzlichen Vorgaben und Branchenvorgaben, wie zum Beispiel die Datenschutzgrundverordnung der EU (DSGVO), die amerikanische GLBA, HIPAA und FedRAMP, die Monetary Authority of Singapore Guidance, PCI DSS und viele weitere Vorgaben. Doch was vielleicht noch wichtiger ist: Tritt ein Datenleck auf, erfordern die Datenschutzgesetze, dass diejenigen Personen, deren Daten entwendet wurden, entsprechend informiert werden. Das kann zu einem Vertrauensverlust bei den Stakeholdern führen sowie zu Bußgeldern,  Kosten für Rechtsstreitigkeiten, Umsatzeinbrüchen und Aktienverlusten. Die betroffenen Orga-nisationen müssen sich daher selbst schützen, indem sie ihre sensiblen Daten und ihre Schlüssel absichern.

Das Risiko bei Schlüsseln, die vom Cloudanbieter erzeugt und verwaltet werden

Ein Grundprinzip beim Thema Sicherheit lautet: Wenn etwas abgesperrt ist, hat man umso mehr Kontrolle über die Sicherheit des abgesperrten Gegenstands, je mehr Kontrolle man über den Schlüssel hat. Wenn der Cloudanbieter die Schlüssel verwaltet, hat man einen zusätzlichen Bedrohungsvektor für die Datensicherheit. Deshalb gilt es als Best Practice, die eigenen Schlüssel selbst zu verwalten, nämlich mit Hilfe von Hardware Security-Modulen (HSMs).

Hardware Security-Module

Bei HSMs handelt es sich um gehärtete und manipulationsgeschützte Hardwaregeräte, mit denen kryptografische Prozesse abgesichert werden, und zwar durch das Erzeugen, Schützen und Verwalten von Schlüsseln für die Ver- und Entschlüsselung von Daten sowie durch die Erstellung digitaler Signaturen und Zertifikate. HSMs sind nach höchsten Sicherheitsstandards getestet, validiert und zertifiziert, inklusive FIPS 140-2 und Common Criteria. HSMs sind quasi der Panzerschrank für Schlüssel. Aber ein HSM ist doch ein Hardwaregerät – wie kann es dann in der Cloud genutzt werden?

nShield as a Service

nShield as a Service nutzt nShield HSMs für die Erzeugung, den Zugriff auf und den Schutz von kryptografischem Schlüsselmaterial, vollständig getrennt von den sensiblen Daten. Alle nShield HSMs werden über die einzigartige nCipher Security World Key Management-Architektur gemanagt, die sowohl cloudbasierte als auch lokal installierte HSM umfasst. Damit können die Kunden ihren HSM-Betrieb effizient skalieren und behalten gleichzeitig die Kontrolle über ihr Schlüs- selmaterial, auch dann, wenn sie den Cloudanbieter wechseln.

Organisationen können nShield as a Service nutzen, um HSMs vor Ort zu ergänzen oder abzulösen, und bewahren sich gleichzeitig alle Vorteile als Eigentümer der HSM. Mit dem Abonnementmodell erhalten Unternehmen Budgetsicherheit, können ihre Kapazitäten verwalten, den Footprint im Rechenzentrum verringern und den Zeitaufwand für Routinewartung und Monitoring senken.

Während der COVID-19-Pandemie ist es eher unrealistisch, dass man zur Einrichtung von HSMs in die eigenen Rechenzentren reisen kann. Mit nShield as a Service können Sie die HSMs aus der Ferne in einem nCipher Rechenzentren in den USA oder im Vereinigten Königreich einrichten.

Autor: Sander Tamme, Senior Product Ma- nager bei nCipher Security

Lesen Sie weitere Fachartikel in der aktuellen Ausgabe des Nuvias Guardians.

Zum Nuvias Guardian