MimoSecco

Vertrauensvolles Datenmanagement für Cloud-Dienste

Logo MimoSeccoDie Daten von Unternehmen müssen auch in der Cloud sicher sein. Sie müssen bei der Datenverarbeitung so geschützt sein, dass nur die Anwender, nicht aber Mitarbeiter des Cloud-Anbieters auf sie zugreifen können. Gleichzeitig muss sichergestellt sein, dass auch beim Zugriff über mobile Endgeräte nur befugte Anwender Datensätze öffnen können. Es ist allerdings problematisch und sehr aufwändig, verschlüsselte Daten zu verarbeiten. Ziel von MimoSecco ist daher eine ganzheitliche Lösung für die Absicherung des Datenmanagements in der Cloud.

Konzeptionelle Grundlage bildet das MimoSecco-Zonenmodell. Es klassifiziert die Hardware des Anwenders und die beteiligten Cloud-Anbieter nach dem Grad ihrer Vertrauenswürdigkeit in drei Zonen. Die fest installierte Hardware des Anwenders bildet die voll vertrauenswürdige Zone, in der uneingeschränkt auf alle Daten zugegriffen werden kann. Die vertrauenswürdige Zone umfasst auch seine mobile Hardware. Einschränkungen der Vertrauenswürdigkeit ergeben sich hier allerdings etwa dadurch, dass jemand anderes den Arbeitenden beobachten könnte ("shoulder sniffing"). Zertifizierte Cloud-Anbieter, mit denen ein direktes Vertragsverhältnis besteht und die den deutschen Rechtsanforderungen zum Datenschutz unterliegen, bilden die halbvertrauenswürdige Zone. Hier sind nur die Daten temporär im Speicher verfügbar, welche gerade für die Verarbeitung benötigt werden, sofern der Anwender über die entsprechende Berechtigung verfügt. Die nicht-vertrauenswürdige Zone bilden Drittanbieter unbekannter Vertrauenswürdigkeit. In dieser Zone erfolgt die Ablage aller Daten generell nur verschlüsselt.

Die Kontrolle über die Datennutzung erfolgt mittels eines universell anwendbaren Hardware-Tokens unter Einbeziehung des Zugriffskontexts. Dazu entwickelt das Projekt eine Middleware, die sich auf den Client der Anwender und den Servern des Cloud-Anbieters positioniert und dort die sichere Anmeldung, den sicheren Datenzugriff und die sichere Speicherung der Daten regelt. Die Middleware wird als Baukasten gestaltet, so dass auf den jeweiligen Systemen (Endgerät, Cloud-Anwendung, Datenbankadapter usw.) aus diesem Baukasten die dort jeweils benötigten Komponenten ausgewählt und eingesetzt werden können.

Sicherheitsmanagement durch Datenbanktransformation

MimoSecco erlaubt es, Daten geschützt in der Cloud abzulegen und dennoch effizient an diesen Daten zu arbeiten. Dies wird erreicht, indem die Datenbank geschickt transformiert wird. Auf dem Datenserver liegen die Daten in verschlüsselter Form. Der Betreiber des Servers hat somit keine Kenntnis über den Inhalt der Daten. Eine über die Datenbank vorgenommene Indizierung wird mit unverschlüsselten Suchbegriffen aber verschlüsselter Zuordnung auf weitere Server verteilt. Die Indizierung und das Verschlüsseln der Daten übernimmt der vertrauenswürdige Datenbankadapter, den die Cloud-Anwendung für Anfragen verwendet.

Token-basierte Verschlüsselungsmethoden

Ein zentrales Element zur Identifizierung berechtigter Nutzer ist der Einsatz zertifizierter Hardware-Sicherheitstoken. Dies sind gegen physische Angriffe gesicherte Smartcards oder USB-Sticks, die an den Datenbankadapter angeschlossen sind. Der benötigte Schlüssel liegt nur im Sicherheitstoken vor. Liegen gleichzeitig aktuell gültige Zertifikate des Cloud-Anwenders und der vertrauenswürdigen Cloud-Anwendung vor, gibt der Sicherheitstoken des Datenbankadapters den Schlüssel temporär frei, sodass die benötigten Daten entschlüsselt werden können. Nach erfolgter Bearbeitung der Daten werden der Schlüssel im Datenbankadapter und alle temporäre Kopien der Daten wieder gelöscht. Weitere Einsatzgebiete der Sicherheitstoken sind eine Zwei-Faktor Authentifizierung des Anwenders und die Verschlüsselung von vertraulichen Dokumenten, auf deren Inhalt auch die Cloud-Anwendung keinen Zugriff haben soll.

Einbeziehung des Zugriffskontexts

Als Ergänzung zu klassischen Berechtigungssystemen entwickelt MimoSecco Ansätze, die den Zugriffskontext berücksichtigten. Dies kann beispielsweise der Ort sein, von dem aus ein Datenzugriff erfolgt, der Zeitpunkt des Datenzugriffs, das Vorhandensein des Sicherheitstokens am Client oder das zum Zugriff verwendete Netzwerk. Dadurch wird es z.B. möglich, den Zugriff auf sensible Daten aus einer Cloud-Anwendung auf die Geschäftsstellen eines Unternehmens und dessen Geschäftszeiten zu beschränken, oder die Übertragung von Daten über eine als unsicher eingestufte Infrastruktur kann verhindert werden.

Ausgangssituation

  • Mitarbeiter wollen mobil und sicher auf Unternehmensdaten zugreifen
  • Unbefugte dürfen keinen Zugriff auf die Daten erlangen
  • Cloud-Anbieter hat theoretisch Zugang zu allen Daten
  • Effiziente Verarbeitung von verschlüsselten Daten nicht möglich

Zielsetzung

  • Mehrstufiges Sicherheitszonenkonzept erschwert Insiderangriffe bei Cloud-Anbietern
  • Einsatz von Sicherheitstoken und Verschlüsselung ermöglicht bessere Kontrolle des Zugriffs auf die Daten durch den Nutzer
  • Einbeziehung des Zugriffskontexts zur Absicherung des mobilen Datenzugriffs

Schaubild MimmoSecco