Datenschutz ist zwar ein breites Thema, das eine komplexe Vielfalt von Akteuren, Prozessen und Technologien umfasst, aber dieser Artikel konzentriert sich auf Methoden der Datenverschlüsselung. Eine Strategie für den Datenschutz sollte zwei Arten von Datenzugriff berücksichtigen: unrechtmässigen und rechtmäßigen.
Zusammenfassung
Schweizer Unternehmen sollten ihre Strategie zur Verwaltung von Cloud-Verschlüsselungsschlüsseln mit Bedacht wählen. Wir schlagen vor, dass Unternehmen ihre Daten in Klassen einteilen und die Cloud Encryption Key Management-Strategie für eine bestimmte Datenklasse auf der Grundlage des Schutzes, den diese Klasse verdient, auswählen. Bei dieser Beurteilung werden einerseits die Data Governance eines Unternehmens und andererseits die regulatorischen und gesetzlichen Anforderungen berücksichtigt. Mit dem erhöhten Datenschutzniveau ist auch ein erhöhter Aufwand für die Verwaltung und den Betrieb des Systems verbunden.
Es gibt vier Hauptansätze für die Verwaltung von Verschlüsselungsschlüsseln in der Cloud. Grundsätzlich müssen Sie abwägen zwischen der Kontrolle über Ihre Schlüssel und den Vorteilen eines vollständig verwalteten Cloud-Dienstes. Cloud-Kunden, die mehr Kontrolle behalten möchten, müssen mehr Aufwand betreiben, um die zusätzliche Komplexität zu bewältigen.
Der CSP generiert, verwahrt und verwaltet die Verschlüsselungsschlüssel. Alle Aspekte des Lebenszyklus der Verschlüsselungsschlüssel werden vom CSP verwaltet und die Verschlüsselungsdienste sind vollständig in die Cloud-Dienste des jeweiligen CSP eingebettet. Ein Beispiel: In einem Objektspeicherdienst wie AWS S3, Azure Blob Storage oder GCP Cloud Storage werden Ihre Datenobjekte beim Hochladen verschlüsselt und beim Lesen und Schreiben entschlüsselt, ohne dass Sie bewusst eingreifen müssen.
Vorteile:
Nachteile:
Mit CMEK verwenden Sie das vom CSP generierte und bereitgestellte Schlüsselmaterial, übernehmen aber die Verantwortung für die Verwaltung der Verschlüsselungsschlüssel innerhalb der Cloud-Plattform selbst.
Vorteile:
Nachteile:
Mit CSEK generiert der Kunde die Verschlüsselungsschlüssel und stellt sie der Cloud-Plattform zum Ver- und Entschlüsseln der Kundendaten zur Verfügung. CSEK-Schlüssel müssen jedem CSP-Service zur Verfügung gestellt werden, wenn sie benötigt werden. CSEK überträgt die volle Verantwortung für die Schlüsselgenerierung, das Eigentum und die Verwaltung auf den Kunden.
Vorteile:
Die Kunden können den Schlüssel jederzeit zurückziehen; von diesem Zeitpunkt an hat der CSP keinen Zugriff mehr auf die Daten.
Nachteile:
Der Kunde verschlüsselt die Daten vor Ort, bevor er sie an die Cloud-Plattform sendet. Das bedeutet, dass der Kunde nicht nur die Verantwortung für die Erzeugung und Verwaltung der Verschlüsselungsschlüssel, sondern auch für den Verschlüsselungsprozess selbst übernimmt. Alle Daten, die der CSP erhält, sind bereits vom Kunden verschlüsselt worden.
Vorteile:
Nachteile:
Einige unserer Schweizer Kunden sind der Meinung, dass die Nutzung von CMEK (d.h. die Verwendung eines vom CSP bereitgestellten Schlüsselverwaltungsdienstes) ausreichend ist, um ihre Daten vor ausländischen Behörden zu schützen. Aufgrund ihrer Erfahrung sind sie zuversichtlich, dass der CSP keine Hintertür hat, um diese Schlüssel ohne das Wissen und die Genehmigung des Kunden weiterzugeben. Wir haben von Kunden gehört, dass vor allem zwei Faktoren zu ihrem Vertrauen beitragen:
Cloud-Kunden, die der Meinung sind, dass eine zusätzliche Ebene der Schlüsselkontrolle wünschenswert ist, bringen oder halten ihre eigenen Schlüssel. Diese Methoden sind jedoch mit zusätzlichem Aufwand verbunden und einige Cloud-Dienste werden möglicherweise nicht unterstützt. Da Unternehmen jedoch zunehmend dazu übergehen, nicht nur die Vorschriften einzuhalten, sondern wirklich sicher zu sein, verbessern die grossen Cloud-Service-Anbieter aktiv ihre Verschlüsselungsangebote, die auf vom Kunden verwalteten Schlüsseln beruhen. Jeder Cloud-Kunde sollte die vergleichbaren Vorteile und Risiken abwägen und entscheiden, welches Schlüsselverwaltungsmodell seinen Anforderungen am besten gerecht wird.