Carsten Casper, Research Director Security und Privacy bei Gartner (Bild: Gartner).
Trend Micro arbeitet derzeit an einer Schlüsselverwaltung, die einer optimalen Lösung schon sehr nahe kommt. Für Gartner-Analyst Caspar ist dabei die entscheidende Frage, wer Zugriff auf die übermittelten Daten hat. „Das muss geklärt sein, ansonsten wird es haarig.“ In der Regel haben Administratoren privilegierte Rechte und können viel mitlesen. „Wenn das der Fall ist, kann man sich die Verschlüsselung sparen“, so Caspar.
Es bleibt also dabei. Für die Sicherheit – gerade von personenbezogenen Daten, die in der Cloud verarbeitet werden – gibt es derzeit wohl keinen rechtssicheren Schutz. Und in Zukunft? Forscher wie der IBM-Kryptologe Craig Gentry sowie die Wissenschaftler Nigel Smart, Professor für Kryptologie an der Bristol University, und Frederik Vercauteren von der Katholieke Universiteit Leuven, haben einen Durchbruch geschafft. Ihnen gelang es, eine mathematische Operation zwischen zwei verschlüsselten Matrizen auszuführen, ohne sie vor entschlüsseln zu müssen. Bis zur Technologiereife wird es wohl noch einige Jahre dauern. Aber so lange wird kein Unternehmen warten wollen.
Neueste Kommentare
1 Kommentar zu Sicherheit in der Cloud: Verschlüsseln reicht nicht aus
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Wie auditieren denn die Unternehmen ihre selbstgehostete Software?
Es ist sehr einfach auf die Cloud einzuschlagen und einfach zu sage aus juristischer Sicht geht das nicht.
In der Praxis hilft das natürlich kein Stück weiter, da es letztendlich darum geht eine sichere Lösung zu finden und hier haben "nicht-Cloud" Systeme genau die gleichen Probleme.
Wie soll ein Unternehmen den auditieren, ob die nicht-Cloud-Software, die sie einsetzten okay ist? Das fängt beim Betriebssystem an, bis zu den Treibern für die Hardware (Router, Switches, Server, Drucker), und geht weiter über die ganzen Softwarepakete? Ach ja, eigentlich müsste man dafür ja den Entwicklungsprozess von Novell, IBM, Micorsoft und co auditieren. Das ist natürlich Blödsinn. Genau der gleiche Blödsinn, wie wenn man fordert, dass jedes Cloud-Kunde unternehmen, die Cloud-Software genau auditieren müsste. An dieser Stelle helfen Standards und Zertifizierungen, wie auch in diesem Artikel richtig erwähnt wurde.
Und richtig sicher ist man nie. In der Praxis sind gehostete Cloud-Systeme von sehr großen Anbietern oft deutlich sichere als selbergebastelte Server. Das gilt besonder für kleine und mittlere Unternehmen.