NSA-Spionage: Box führt Enterprise Key Management ein

Der Cloudspeicherdienst führt mit Box EKM (Enterprise Key Management) eine Schlüsselverwaltung für Geschäftskunden ein, die selbst behördliche Zugriffe auf hochgeladene Dateien ausschließen soll. Einen Preis für den zusätzlichen Dienst, der vor allem großen Organisationen zugutekommen soll, nannte das Unternehmen noch nicht.

Box will damit das Vertrauen von Firmen gewinnen, die etwa im Finanzsektor oder im Gesundheitswesen mit besonders sensiblen Daten umgehen und deshalb den Umstieg in die Cloud scheuen. Zum anderen soll das Angebot offenbar Kunden außerhalb der USA beschwichtigen, die durch die fortlaufenden Snowden-Enthüllungen verunsichert sind und keine Ausspähung ihrer Daten durch den US-Geheimdienst NSA riskieren wollen.

Box EKM ist zunächst in einer Betaversion verfügbar und wurde zusammen mit Amazon Web Services sowie SafeNet entwickelt. In einem Blogeintrag preist Box-CEO Aaron Levie die Schlüsselverwaltung als einen Durchbruch für Content Management und Kollaboration in der Cloud. Sie gebe den Unternehmen volle Kontrolle über ihre Chiffrierschlüssel, während die Nutzererfahrung und die Funktionalität des Dienstes nicht beeinträchtigt werde. Laut Levie soll das „die letzte Barriere zur Cloud-Akzeptanz durchbrechen“.

Kunden, die sich für Box EKM entscheiden, sollen mit Hardware Security Modules (HSMs) von SafeNet spezielle Appliances für die Kryptographie und die Verwahrung ihrer digitalen Schlüssel einsetzen. Diese sollen einerseits bei Amazon Web Services stehen, zum anderen als zusätzliche Backuplösung vor Ort beim Kunden. Sie werden grundsätzlich vom Kunden selbst verwaltet, aber gleichzeitig verfügen sie über eine gesicherte dedizierte Verbindung zu Box. Wie bisher wird jede Datei mit einem einmaligen Kryptoschlüssel verschlüsselt, wenn sie zu Box hochgeladen werden. Box sendet diesen Schlüssel dann aber an das HSM des Kunden, das für eine weitere Verschlüsselung mit dem kundeneigenen Schlüssel sorgt.

„Von diesem Punkt an besitzt und kontrolliert der Kunde exklusiv den Schlüssel, der für die Dechiffrierung dieser Dateien benötigt wird“, versichert Box-Chef Levie. „Box kann auf diese Dateien nur zugreifen, wenn der Kunde zustimmt. Darüber hinaus liefert das HSM stets eine vollständige und beweiskräftige Protokolldatei direkt an den Kunden.“

Box kann demnach also den Schlüssel des Kunden nicht sehen, ihn weder lesen noch kopieren. Entschlüsselte Dateien oder Schlüssel auf Laufwerken soll es nicht geben, vielmehr sollen Verschlüsselung wie Entschlüsselung ausschließlich im Arbeitsspeicher erfolgen.

Box entschied sich schon 2012 zur Entwicklung einer solchen Lösung. Die grundlegenden Sicherheitsvorkehrungen reichten zwar für 95 Prozent der Unternehmen aus, argumentierte Levie ein Jahr später im Gespräch mit Ars Technica. „Aber einige Firmen sind entweder so stark reguliert oder so sensibel, dass wir sicherstellen wollen, auch mit ihnen zusammenarbeiten zu können.“

Zum Preis von Box EKM erklärte Box, er hänge teilweise von der Zahl der Lizenzen ab, die ein Unternehmen erwirbt. Da es eine besondere Infrastruktur und betriebliche Anforderungen verlange, müsse es als kostenpflichtige Zusatzleistung angeboten werden. Die Betaphase ist auf Monate, vielleicht auch mehrere Quartale angelegt. Box will die Funktionalität noch ausbauen und strebt weitere Partnerschaften an.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.