www.wikidata.de-de.nina.az

Sealed Cloud deutsch etwa Versiegelte Wolke ist eine patentierte 1 Basistechnologie mit der Systeme in Rechenzentren so

Sealed Cloud

Sealed Cloud (deutsch etwa Versiegelte Wolke) ist eine patentierte Basistechnologie, mit der Systeme in Rechenzentren so abgesichert werden können, dass die darüber laufenden Daten – Inhalte wie Metadaten – auch für den Betreiber unzugänglich sind. Diese Technologie wurde ab 2011 von einem Konsortium, das unter anderen aus dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), dem TÜV Süd Unternehmen Uniscon und SecureNet bestand, im Rahmen des Trusted Cloud Programms des Bundesministeriums für Wirtschaft und Energie für den Einsatz in der Industrie weiterentwickelt. Seit Ende 2014 existieren Schnittstellen für Cloud-Anwendungen in diversen Bereichen. Weitere Forschungsprojekte haben die Aufgabe, die versiegelte Infrastruktur für weitere Dienste und Anwendungen nutzbar zu machen.

Zielsetzung Bearbeiten

Ziel ist es, unter Beachtung der in der Datenschutz-Grundverordnung (DSGVO) geforderten Prinzipien, Privacy by Design und Privacy by Default eine „versiegelte“ Infrastruktur für Cloud Computing zu schaffen und auszubauen. Mit „Versiegelung“ ist Folgendes gemeint: Der Betreiber einer Infrastruktur wird mit technischen Maßnahmen grundsätzlich daran gehindert, auf unverschlüsselte Daten – Inhalte und Metadaten – zuzugreifen, auch während der Verarbeitung der Nutzerdaten.

Abgrenzung Bearbeiten

Wenn personenbezogene Daten in der Cloud gespeichert oder verarbeitet werden, muss sich ein deutscher Auftraggeber vor Ort – also im Rechenzentrum – vorab und danach „regelmäßig nachvollziehbar“ – davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden, denn es ist für Nutzer riskant, die Daten bei Online-Diensten und deren Rechenzentren auszulagern. Dort liegen die Daten bei einem Drittanbieter, der theoretisch darauf zugreifen kann. Ab Mai 2018 müssen die nationalen Gesetze der DSGVO folgen, die von europäischen Unternehmen eine Reihe datenschutzrechtlicher Adaptierungen zum Schutz personenbezogener Daten einfordert. Besonders für Geheimnisträger besteht bei Cloud-Anwendungen, die Daten verarbeiten, etwa im Rahmen des Software as a Service (SaaS), für die Dauer der Verarbeitung der Tatbestand der Kenntnisnahme, da der Cloud-Anbieter bei den Anwendungsservern Zugriff auf den Datenbestand hat.

Um sich gegen die Sicherheitsrisiken bei Webanwendungen gegen Angriffe von außen und innen abzusichern, setzen sicherheitsbewusste Betreiber von Cloud-Anwendungen technische und organisatorische Maßnahmen ein. Bei den Daten, die während der Verarbeitung unverschlüsselt sind, werden häufig organisatorische Maßnahmen wie das Vier-Augen-Prinzip oder Rollenkonzepte genutzt.

Beispiel: De-Mail.

Auch mit der Ende-zu-Ende-Verschlüsselung der Inhalte als technische Maßnahme versucht man eine Kenntnisnahme laut § 203 StGB zu erschweren.

Beispiel: Threema

Dies sind zwei Möglichkeiten, wie sich eine Kenntnisnahme von Inhalten verhindern lässt. Bei Metadaten sieht das anders aus:

Bisherige Unicast-Systeme müssen dem Betreiber die Empfängeradressen bekannt geben, damit dieser die Nachrichten korrekt weiterleiten kann. Daher liegen den Anbietern von Kommunikationsdiensten die Verbindungsdaten vor.

Diese Daten gelten aber als personenbezogene Daten. Sie unterliegen daher dem Datenschutz.

Der Schutz dieser Daten kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Arten erfolgen:

  • Durch sorgfältig umgesetzte organisatorische Maßnahmen zum Schutz der Metadaten.

Technologie Bearbeiten

Das der Sealed Cloud zu Grunde liegende Konzept ruht auf drei Grundvoraussetzungen:

  • Gebotene Sicherheit

Maßnahmen bei der Datenverbindung zum Rechenzentrum Bearbeiten

Damit keine besondere Software installiert werden muss, erfolgt die Verbindung vom Gerät des Nutzers aus zur Sealed Cloud mit einer klassischen SSL-Verschlüsselung. Dabei werden ausschließlich starke Cipher (Verschlüsselungsalgorithmen, u. a. AES 256) akzeptiert, d. h. solche, mit langen Schlüsseln und ohne bekannte Implementierungsschwächen. Da keine privaten Schlüssel auf Server-Seite bekannt sein dürfen, kommt ein speziell abgesicherter Import des privaten Schlüssels zum Einsatz. Als Schutz vor man-in-the-middle-Angriffe stehen eine Browser-Erweiterung und, für mobile Geräte, Apps zur Verfügung, die bei falschen Zertifikaten den Nutzer alarmieren. Nutzer können mit einem Einmalpasswort-Generator oder einem Zahlencode per SMS einen zweiten Faktor zur Absicherung der Authentifizierung verwenden.

Maßnahmen zum Schutz vor einem Zugriff auf die Daten bei der Verarbeitung Bearbeiten

Alle Komponenten, die unverschlüsselte Daten verarbeiten, befinden sich in der so genannten Data-Clean-Up-Area. Dazu werden mechanische Käfige mit elektro-mechanischen Schlössern ausgestattet. Auch sind alle elektronischen Schnittstellen so reduziert, dass nur Nutzern der Zugriff möglich ist; ein direkter Administrator-Zugang ist nicht möglich. Keine dieser Komponenten hat persistenten Speicher. Die elektronischen Schnittstellen sowie die elektro-mechanischen Komponenten der Käfige sind mit einer Vielzahl von Sensoren ausgestattet, die bei einem Zugangsversuch unmittelbar alarmieren. Im Falle einer solchen Alarmierung wird der Data-Clean-Up ausgelöst. Das heißt: Die Sitzungen der Nutzer auf den betroffenen Servern werden automatisch auf nicht betroffene Segmente umgelenkt und sämtliche Daten in den betroffenen Segmenten gelöscht. Zur Absicherung der Löschung wird die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen. Eine analoge Vorgehensweise wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt.

Maßnahmen bei der Speicherung Bearbeiten

Das Prinzip der Versiegelung umfasst auch eine besondere Schlüsselverteilung. Der Betreiber verfügt nach Angaben des wissenschaftlichen Projektberichts über keinen Schlüssel zur Entschlüsselung, weder zur Entschlüsselung der Protokolle in der Datenbank, noch der Dateien in den File-Systemen.
Die Schlüssel für die Protokolle in der Datenbank werden durch Hashketten aus Nutzername und Passwort erzeugt. Sobald die Hashwerte ermittelt sind, werden der Nutzername und das Passwort wieder verworfen. Am Ende einer Session wird auch der ermittelte Hashwert gelöscht. Damit aus den Fremdschlüsseln in der Datenbank keine Rückschlüsse auf die Nutzungsstrukturen der Anwendung möglich sind, wird innerhalb der Data-Clean-Up-Area ein rein volatiler Meta-Mapping-Server betrieben. In diesem kann die Anwendung Datenstrukturen abbilden, ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf hat. Sollte jemand einen Zugriff versuchen, würde der beschriebene Data-Clean-Up automatisch ausgelöst. Da dieser Server jedoch rein volatil betrieben wird, ist für eine hohe Verfügbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig, zweitens müssen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden können.

Zusätzliche Maßnahmen zum Schutz der Metadaten Bearbeiten

Damit keine Rückschlüsse auf die Metadaten erfolgen kann, indem man das Verkehrsaufkommen beobachtet, werden Benachrichtigungen über ebendiesen Verkehr aufkommensabhängig „zufällig verzögert“. Außerdem wird die Größe der übertragenen Dateien künstlich auf die nächstgrößere Standardgröße erweitert, damit sich Metadaten weder über Zeit- noch über Größenkorrelationen ableiten lassen.

Auditierung Bearbeiten

Damit sich der für die Versiegelung notwendige Umfang der technischen Maßnahmen entsprechend der Spezifikation nachweisen lässt, führen unabhängige Prüfer eine Auditierung durch. In jedem Server ist eine Integritätsprüfung mittels einer vollständigen Chain-Of-Trust installiert, damit Software, die nicht vorgesehen ist, auch nicht ausgeführt werden kann. Darüber hinaus ist die Implementierung modular gestaltet, damit sich die Komplexität des Systems überhaupt prüfen lässt.

Forschung Bearbeiten

Zurzeit laufen folgende weiterführenden Forschungsprojekte, gefördert von EU, Bundesministerium für Bildung und Forschung (BMFB) und BMWi:

Bundesministerium für Bildung und Forschung Bearbeiten

  • SENDATE-SECURE-DCI sollte klären, wie sich mit Hilfe der Nutzung optischer Technologien eine Verzehnfachung des Datendurchsatzes innerhalb und zwischen Datenzentren erreichen und sich dabei gleichzeitig der Energiebedarf verringern lässt. Das Projekt wurde im November 2019 abgeschlossen.
  • PARADISE – Privacy-enhancing and Reliable Anti-Doping Integrated Service Environment: Das Projekt wurde 2018 abgeschlossen und hatte zum Ziel, den Umgang mit personen- und ortsbezogenen Daten von Leistungssportlern zweckgebundener auszulegen. Die Ergebnisse des Projekts sind online einsehbar.
  • Verif-eID: Das bereits im Juni 2017 abgeschlossene Projekt versuchte eine Lösung zu erarbeiten, die Nutzern eine zuverlässige und rechtssichere Identifizierung im Netz ermöglicht.

Bundesministerium für Wirtschaft und Energie Bearbeiten

  • CAR-BITS.de: Das Projekt entwickelt eine Service-Plattform, die eine datenschutzkonforme Nutzung der Fahrzeugdaten für neue Dienste ermöglichen soll. Uniscon hat die Forschungsergebnisse Ende 2018 auf dem IoT-Security Kongress vorgestellt.

Europäische Union Bearbeiten

  • Privacy&Us: Das Netzwerk hat sich zur Aufgabe gemacht, dreizehn junge Forscher auszubilden. Sie sollen neuartige Lösungen zu Fragen in Verbindung mit dem Schutz der Privatsphäre der Bürger erörtern, konzipieren und entwickeln. Projektende war im Oktober 2020.

Bayerische Landesregierung Bearbeiten

  • e-Freedom: Das Projekt soll zeigen, dass grundrechtskonforme Videoüberwachung mit automatischer Gesichtserkennung im öffentlichen Raum technisch realisierbar ist. Assoziierter Partner ist neben der TÜV SÜD-Tochter Uniscon GmbH der Lehrstuhl für Mensch-Maschine-Kommunikation der TU München.
  • Privacy BlackBox: Ein IoT-System mit hoher Ende-zu-Ende-Sicherheit für künftige digitale Anwendungen. Der Fokus liegt zunächst auf Datenschreibern in Automobilen und der Industrie. Partner sind die Uniscon GmbH, die Universität Passau und das Fraunhofer-Institut AISEC.

Wissenschaftliche Publikationen Bearbeiten

Neben den wissenschaftlichen Publikationen der Konsortiumsmitglieder im Rahmen des Trusted Cloud Programms beschäftigten sich bisher folgende akademische Institutionen mit der Sealed-Cloud-Technologie:

  1. Analyse der Besonderheiten im Design von Web-Schnittstellen (API), im Gegensatz zu traditionellen Software APIs.
  2. Untersuchung der Datenspeicherung in der Cloud unter Berücksichtigung der Privatsphäre.
  3. Abhandlung zu einer Suchmaschine mit Augenmerk auf die Privatsphäre

Anwendungsbeispiele Bearbeiten

  • Der Online-Speicher und Kommunikationsdienst idgard
  • Das Cloud-Produkt „Versiegelte Cloud“ der Deutschen Telekom basiert auf der Sealed Cloud Technologie und bietet die gleiche Funktionalität wie idgard.
  • Die Pilotanwendung Delegate verwaltet Zugangsdaten zu Online-Diensten, befindet sich jedoch noch in der Entwicklung.
  • Die Sealed Platform ist eine Cloud-Plattform, die auf den rechts- und datenschutzkonformen Betrieb von Business-Applikationen (SaaS, IoT und M2M) ausgelegt ist. Sie basiert auf der Sealed Cloud Technologie und setzt auf die gleiche Server-Infrastruktur und dieselben Schutzmaßnahmen.

Preise und Auszeichnungen Bearbeiten

  • Deutscher Rechenzentrumspreis 2019 Mit der Sealed Cloud Platform hat die Uniscon GmbH beim Deutschen Rechenzentrumspreis 2019 den 1. Platz in der Kategorie „Innovationen im Whitespace“ belegt.
  • Deloitte Technology Fast 50 Die Uniscon GmbH wurde dank ihrer Sealed Cloud Technologie sowohl 2017 als auch 2018 jeweils mit dem Deloitte Technology Fast 50 Award ausgezeichnet. Der Preis wird jährlich an die am schnellsten wachsenden Technologieunternehmen in Deutschland verliehen.
  • Eurocloud Deutschland Für das Innovationspotenzial des Sealed Cloud-Dienstes idgard wurde die Uniscon GmbH 2014 mit dem EuroCloud Award Deutschland des eco-Verbands ausgezeichnet.
  • Experton 2014 Die Analysten der Experton-Group ernannten den Sealed-Cloud-Dienst idgard 2014 zum Leader im Bereich Cloud-Verschlüsselung.

Zertifikate Bearbeiten

  • Der TÜViT hat idgard mit dem Trusted Cloud Datenschutzprofil (TCDP) in der höchsten Schutzklasse (Schutzklasse III) zertifiziert. Der Anforderungskatalog dieses Zertifikats baut auf anerkannten Standards (ISO 27018 u. a.) auf.
  • idgard ist mit dem Trusted Cloud Label für vertrauenswürdige Cloud-Services ausgezeichnet. Das Trusted Cloud Projekt wird vom BMWi gefördert.

Siehe auch Bearbeiten

Literatur Bearbeiten

  • W. Streitberger, A. Ruppel: Studie: Cloud Computing Sicherheit. Schutzziele. Taxonomie. Marktübersicht. AISEC Fraunhofer 2009.
  • Sabrina Landes: Inkognito im Netz unterwegs. In: Kultur&Technik. Das Magazin aus dem Deutschen Museum 1/2013 S. 36–37.
  • Hubert Jäger: Compliance durch versiegelte Cloud. In: Industriemanagement 29/2013 S. 27–30.
  • Steffen Kroschwald: Verschlüsseltes Cloud Computing. In: Zeitschrift für Datenschutz (ZD) 2014, S. 75–80

Weblinks Bearbeiten

Belege Bearbeiten

  1. EP 2389641 und andere
  2. Claudia Linnhoff-Popien, Michael Zaddach, Andreas Grahl: Marktplätze im Umbruch: Digitale Strategien für Services im Mobilen Internet. Springer-Verlag, 2015, ISBN 978-3-662-43782-7 (google.de [abgerufen am 5. Januar 2018]).
  3. Was bedeutet Privacy by Design / Privacy by Default wirklich? In: Datenschutzbeauftragter. 17. Oktober 2017 (datenschutzbeauftragter-info.de [abgerufen am 8. Januar 2018]).
  4. Steffen Kroschwald, Magda Wicker: Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB. CR 2012, 758–764
  5. Ende-zu-Ende-Verschlüsselung: Was ist das? Einfach erklärt. Abgerufen am 8. Januar 2018.
  6. BSI-Grundschutz-Kataloge: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
  7. Die deutsche Microsoft Cloud: Daten-Treuhand als Abwehrmittel gegen Überwachung? - computerwoche.de. Abgerufen am 5. Januar 2018.
  8. Christiane Schulzki-Haddouti: Bürgerrechte im Netz. Springer-Verlag, 2013, ISBN 978-3-322-92400-1 (google.de [abgerufen am 5. Januar 2018]).
  9. Steffen Kroschwald: Informationelle Selbstbestimmung in der Cloud: Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands. Springer-Verlag, 2015, ISBN 978-3-658-11448-0 (google.de [abgerufen am 5. Januar 2018]).
  10. Eine Cloud im Käfig. In: computerwoche.de, 6. März 2013, abgerufen am 3. April 2014
  11. Hubert Jäger et al.: A Novel Set of Measures against Insider Attacks – Sealed Cloud. In: Detlef Hühnlein, Heiko Roÿnagel (Ed.): Proceedings of Open Identity Summit 2013, Lecture Notes in Informatics, Volume 223.
  12. SENDATE-SECURE-DCI — KIS Website. Abgerufen am 5. Januar 2018.
  13. PARADISE - Fraunhofer FIT. Abgerufen am 5. Januar 2018.
  14. Ralf Ladner: Rechtskonforme Auswertung von Autodaten. Abgerufen am 12. August 2019 (deutsch).
  15. PrivacyUs. Abgerufen am 5. Januar 2018 (amerikanisches Englisch).
  16. https://www.uni-kassel.de/fb07/institute/iwr/personen-fachgebiete/rossnagel-prof-dr/forschung/provet/sealed-cloud.html
  17. Steffen Kroschwald: Informationelle Selbstbestimmung in der Cloud. Springer Vieweg, 2016, ISBN 978-3-658-11447-3. (eingeschränkte Vorschau in der Google-Buchsuche)
  18. Vesko Georgiev: Service APIs in Heterogeneous Desktop and Mobile Client Environments. Technische Universität München 2014.
  19. Sibi Anthony: Privacy-konforme verschlüsselte Datenspeicherung in der Cloud. Technische Universität München 2013.
  20. Irfan Basha: Privacy Crawler. Technische Universität München 2012.
  21. http://media.itm.uni-luebeck.de/teaching/ws2013/sem-cloud-computing/Cloud_computing_privacy_aspects.pdf
  22. (Memento des Originals vom 23. Februar 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/winfwiki.wi-fom.de
  23. Vertrauenswürdiges Backend. Abgerufen am 12. August 2019.
  24. Deutsche Telekom AG: Cloud mit Schloss und Riegel. Abgerufen am 12. August 2019.
  25. http://www.securenet.de/?id=120
  26. Uniscon: Uniscon präsentiert hochsichere Sealed Cloud-Plattform. Abgerufen am 12. August 2019 (deutsch).
  27. Gewinner Technology Fast 50 im Überblick. Abgerufen am 12. August 2019.
  28. Trusted Digital Competence Platform. Abgerufen am 12. August 2019 (englisch).
  29. Research. Abgerufen am 12. August 2019.
  30. Home - TCDP. Abgerufen am 12. August 2019.
  31. Bundesministerium für Wirtschaft und Energie: Trusted Cloud. Abgerufen am 12. August 2019.
wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Sealed Cloud deutsch etwa Versiegelte Wolke ist eine patentierte 1 Basistechnologie mit der Systeme in Rechenzentren so abgesichert werden konnen dass die daruber laufenden Daten Inhalte wie Metadaten auch fur den Betreiber unzuganglich sind Diese Technologie wurde ab 2011 von einem Konsortium das unter anderen aus dem Fraunhofer Institut fur Angewandte und Integrierte Sicherheit AISEC dem TUV Sud Unternehmen Uniscon und SecureNet bestand im Rahmen des Trusted Cloud Programms des Bundesministeriums fur Wirtschaft und Energie fur den Einsatz in der Industrie weiterentwickelt Seit Ende 2014 existieren Schnittstellen fur Cloud Anwendungen in diversen Bereichen Weitere Forschungsprojekte haben die Aufgabe die versiegelte Infrastruktur fur weitere Dienste und Anwendungen nutzbar zu machen 2 Inhaltsverzeichnis 1 Zielsetzung 2 Abgrenzung 3 Technologie 3 1 Massnahmen bei der Datenverbindung zum Rechenzentrum 3 2 Massnahmen zum Schutz vor einem Zugriff auf die Daten bei der Verarbeitung 3 3 Massnahmen bei der Speicherung 3 4 Zusatzliche Massnahmen zum Schutz der Metadaten 4 Auditierung 5 Forschung 5 1 Bundesministerium fur Bildung und Forschung 5 2 Bundesministerium fur Wirtschaft und Energie 5 3 Europaische Union 5 4 Bayerische Landesregierung 5 5 Wissenschaftliche Publikationen 6 Anwendungsbeispiele 7 Preise und Auszeichnungen 8 Zertifikate 9 Siehe auch 10 Literatur 11 Weblinks 12 BelegeZielsetzung BearbeitenZiel ist es unter Beachtung der in der Datenschutz Grundverordnung DSGVO geforderten Prinzipien Privacy by Design und Privacy by Default 3 eine versiegelte Infrastruktur fur Cloud Computing zu schaffen und auszubauen Mit Versiegelung ist Folgendes gemeint Der Betreiber einer Infrastruktur wird mit technischen Massnahmen grundsatzlich daran gehindert auf unverschlusselte Daten Inhalte und Metadaten zuzugreifen auch wahrend der Verarbeitung der Nutzerdaten Abgrenzung BearbeitenWenn personenbezogene Daten in der Cloud gespeichert oder verarbeitet werden muss sich ein deutscher Auftraggeber vor Ort also im Rechenzentrum vorab und danach regelmassig nachvollziehbar davon uberzeugen dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden denn es ist fur Nutzer riskant die Daten bei Online Diensten und deren Rechenzentren auszulagern Dort liegen die Daten bei einem Drittanbieter der theoretisch darauf zugreifen kann Ab Mai 2018 mussen die nationalen Gesetze der DSGVO folgen die von europaischen Unternehmen eine Reihe datenschutzrechtlicher Adaptierungen zum Schutz personenbezogener Daten einfordert Besonders fur Geheimnistrager besteht bei Cloud Anwendungen die Daten verarbeiten etwa im Rahmen des Software as a Service SaaS fur die Dauer der Verarbeitung der Tatbestand der Kenntnisnahme da der Cloud Anbieter bei den Anwendungsservern Zugriff auf den Datenbestand hat 4 Um sich gegen die Sicherheitsrisiken bei Webanwendungen gegen Angriffe von aussen und innen abzusichern setzen sicherheitsbewusste Betreiber von Cloud Anwendungen technische und organisatorische Massnahmen ein Bei den Daten die wahrend der Verarbeitung unverschlusselt sind werden haufig organisatorische Massnahmen wie das Vier Augen Prinzip oder Rollenkonzepte genutzt Beispiel De Mail Auch mit der Ende zu Ende Verschlusselung der Inhalte als technische Massnahme versucht man eine Kenntnisnahme laut 203 StGB zu erschweren 5 Beispiel ThreemaDies sind zwei Moglichkeiten wie sich eine Kenntnisnahme von Inhalten verhindern lasst Bei Metadaten sieht das anders aus Bisherige Unicast Systeme mussen dem Betreiber die Empfangeradressen bekannt geben damit dieser die Nachrichten korrekt weiterleiten kann Daher liegen den Anbietern von Kommunikationsdiensten die Verbindungsdaten vor Diese Daten gelten aber als personenbezogene Daten Sie unterliegen daher dem Datenschutz Der Schutz dieser Daten kann entsprechend dem Stand der Forschung und Technik bislang auf dreierlei Arten erfolgen Durch sorgfaltig umgesetzte organisatorische Massnahmen zum Schutz der Metadaten Beispiel Die IT Grundschutz Kataloge basieren auf dieser Methode 6 siehe auch das Treuhand Modell der Deutschen Telekom 7 Durch einen Multicast AnsatzBeispiel Das Freenet Projekt Dieser Ansatz ist eher fur Schmalband Anwendungen geeignet da er bei den Netzteilnehmern viel Rechenleistung voraussetzt und auch im Netz hohe Ubertragungskapazitaten benotigt 8 Durch den Einsatz von Mix NetzenBeispiel Die Sicherheitssoftware Tor Dieser Ansatz ist aufgrund der hohen Verzogerungen ebenfalls eher fur Schmalband Anwendungen geeignet Technologie BearbeitenDas der Sealed Cloud zu Grunde liegende Konzept ruht auf drei Grundvoraussetzungen LeistungsfahigkeitDie Signale werden weder nach einem Multicast Schema noch uber ein Netz von Mixknoten ausgetauscht sondern direkt mit der den Dienst bereitstellenden Infrastruktur Gebotene SicherheitGemeint ist dass der Dienst den gesetzlichen genauso wie den firmeninternen Anforderungen genugen muss Mit Art 5 Abs 2 DSGVO verscharft sich die Rechenschaftspflicht fur Unternehmen Unternehmen mussen fur jeden Verarbeitungsprozess vorab abklaren ob eine detaillierte Risikoanalyse erforderlich ist Wenn die Verarbeitung Grundrechte verletzen konnte personenbezogene Daten mussen die Unternehmen ebenfalls vorab Rechenschaft ablegen ob unter dem Gesichtspunkt der Verhaltnismassigkeit erstens bei der Verarbeitung der Stand der Technik zum Einsatz kommt ob sie zweitens den Grundsatzen der datenschutzkonformen Technikgestaltung Privacy by Design folgt und drittens datenschutzfreundliche Voreinstellungen Privacy by Default vornimmt Um diesen Prinzipien Rechnung zu tragen unterbindet bei der Sealed Cloud Technologie ein Satz aus rein technischen Massnahmen den Zugriff auf Inhalte und Metadaten 9 BenutzerfreundlichkeitDer Satz aus technischen Massnahmen der entwickelt wurde um diese drei Vorgaben zu erreichen setzt sich wie folgt zusammen Massnahmen bei der Datenverbindung zum Rechenzentrum Bearbeiten Damit keine besondere Software installiert werden muss erfolgt die Verbindung vom Gerat des Nutzers aus zur Sealed Cloud mit einer klassischen SSL Verschlusselung Dabei werden ausschliesslich starke Cipher Verschlusselungsalgorithmen u a AES 256 akzeptiert d h solche mit langen Schlusseln und ohne bekannte Implementierungsschwachen Da keine privaten Schlussel auf Server Seite bekannt sein durfen kommt ein speziell abgesicherter Import des privaten Schlussels zum Einsatz Als Schutz vor man in the middle Angriffe stehen eine Browser Erweiterung und fur mobile Gerate Apps zur Verfugung die bei falschen Zertifikaten den Nutzer alarmieren Nutzer konnen mit einem Einmalpasswort Generator oder einem Zahlencode per SMS einen zweiten Faktor zur Absicherung der Authentifizierung verwenden Massnahmen zum Schutz vor einem Zugriff auf die Daten bei der Verarbeitung Bearbeiten Alle Komponenten die unverschlusselte Daten verarbeiten befinden sich in der so genannten Data Clean Up Area Dazu werden mechanische Kafige mit elektro mechanischen Schlossern ausgestattet 10 Auch sind alle elektronischen Schnittstellen so reduziert dass nur Nutzern der Zugriff moglich ist ein direkter Administrator Zugang ist nicht moglich Keine dieser Komponenten hat persistenten Speicher Die elektronischen Schnittstellen sowie die elektro mechanischen Komponenten der Kafige sind mit einer Vielzahl von Sensoren ausgestattet die bei einem Zugangsversuch unmittelbar alarmieren Im Falle einer solchen Alarmierung wird der Data Clean Up ausgelost Das heisst Die Sitzungen der Nutzer auf den betroffenen Servern werden automatisch auf nicht betroffene Segmente umgelenkt und samtliche Daten in den betroffenen Segmenten geloscht Zur Absicherung der Loschung wird die Stromversorgung zu den Servern 15 Sekunden lang unterbrochen Eine analoge Vorgehensweise wird zur Vorbereitung von Servicearbeiten der Techniker eingesetzt Massnahmen bei der Speicherung Bearbeiten Das Prinzip der Versiegelung umfasst auch eine besondere Schlusselverteilung Der Betreiber verfugt nach Angaben des wissenschaftlichen Projektberichts uber keinen Schlussel zur Entschlusselung weder zur Entschlusselung der Protokolle in der Datenbank noch der Dateien in den File Systemen 11 Die Schlussel fur die Protokolle in der Datenbank werden durch Hashketten aus Nutzername und Passwort erzeugt Sobald die Hashwerte ermittelt sind werden der Nutzername und das Passwort wieder verworfen Am Ende einer Session wird auch der ermittelte Hashwert geloscht Damit aus den Fremdschlusseln in der Datenbank keine Ruckschlusse auf die Nutzungsstrukturen der Anwendung moglich sind wird innerhalb der Data Clean Up Area ein rein volatiler Meta Mapping Server betrieben In diesem kann die Anwendung Datenstrukturen abbilden ohne dass der Betreiber der Infrastruktur oder der Anbieter der Anwendung Zugriff darauf hat Sollte jemand einen Zugriff versuchen wurde der beschriebene Data Clean Up automatisch ausgelost Da dieser Server jedoch rein volatil betrieben wird ist fur eine hohe Verfugbarkeit erstens eine redundante Gestaltung in einem Cluster notwendig zweitens mussen die Datenstrukturen in einer Situation nach einem Ausfall der gesamten Infrastruktur nach und nach durch aktive Nutzersitzungen neu aufgebaut werden konnen Zusatzliche Massnahmen zum Schutz der Metadaten Bearbeiten Damit keine Ruckschlusse auf die Metadaten erfolgen kann indem man das Verkehrsaufkommen beobachtet werden Benachrichtigungen uber ebendiesen Verkehr aufkommensabhangig zufallig verzogert Ausserdem wird die Grosse der ubertragenen Dateien kunstlich auf die nachstgrossere Standardgrosse erweitert damit sich Metadaten weder uber Zeit noch uber Grossenkorrelationen ableiten lassen Auditierung BearbeitenDamit sich der fur die Versiegelung notwendige Umfang der technischen Massnahmen entsprechend der Spezifikation nachweisen lasst fuhren unabhangige Prufer eine Auditierung durch In jedem Server ist eine Integritatsprufung mittels einer vollstandigen Chain Of Trust installiert damit Software die nicht vorgesehen ist auch nicht ausgefuhrt werden kann Daruber hinaus ist die Implementierung modular gestaltet damit sich die Komplexitat des Systems uberhaupt prufen lasst Forschung BearbeitenZurzeit laufen folgende weiterfuhrenden Forschungsprojekte gefordert von EU Bundesministerium fur Bildung und Forschung BMFB und BMWi Bundesministerium fur Bildung und Forschung Bearbeiten SENDATE SECURE DCI 12 sollte klaren wie sich mit Hilfe der Nutzung optischer Technologien eine Verzehnfachung des Datendurchsatzes innerhalb und zwischen Datenzentren erreichen und sich dabei gleichzeitig der Energiebedarf verringern lasst Das Projekt wurde im November 2019 abgeschlossen PARADISE Privacy enhancing and Reliable Anti Doping Integrated Service Environment 13 Das Projekt wurde 2018 abgeschlossen und hatte zum Ziel den Umgang mit personen und ortsbezogenen Daten von Leistungssportlern zweckgebundener auszulegen Die Ergebnisse des Projekts sind online einsehbar Verif eID Das bereits im Juni 2017 abgeschlossene Projekt versuchte eine Losung zu erarbeiten die Nutzern eine zuverlassige und rechtssichere Identifizierung im Netz ermoglicht Bundesministerium fur Wirtschaft und Energie Bearbeiten CAR BITS de Das Projekt entwickelt eine Service Plattform die eine datenschutzkonforme Nutzung der Fahrzeugdaten fur neue Dienste ermoglichen soll Uniscon hat die Forschungsergebnisse Ende 2018 auf dem IoT Security Kongress vorgestellt 14 Europaische Union Bearbeiten Privacy amp Us 15 Das Netzwerk hat sich zur Aufgabe gemacht dreizehn junge Forscher auszubilden Sie sollen neuartige Losungen zu Fragen in Verbindung mit dem Schutz der Privatsphare der Burger erortern konzipieren und entwickeln Projektende war im Oktober 2020 Bayerische Landesregierung Bearbeiten e Freedom Das Projekt soll zeigen dass grundrechtskonforme Videouberwachung mit automatischer Gesichtserkennung im offentlichen Raum technisch realisierbar ist Assoziierter Partner ist neben der TUV SUD Tochter Uniscon GmbH der Lehrstuhl fur Mensch Maschine Kommunikation der TU Munchen Privacy BlackBox Ein IoT System mit hoher Ende zu Ende Sicherheit fur kunftige digitale Anwendungen Der Fokus liegt zunachst auf Datenschreibern in Automobilen und der Industrie Partner sind die Uniscon GmbH die Universitat Passau und das Fraunhofer Institut AISEC Wissenschaftliche Publikationen Bearbeiten Neben den wissenschaftlichen Publikationen der Konsortiumsmitglieder im Rahmen des Trusted Cloud Programms beschaftigten sich bisher folgende akademische Institutionen mit der Sealed Cloud Technologie Institut fur Wirtschaftsrecht an der Universitat Kassel 16 Erforscht wurde ob die Sealed Cloud die datenschutzrechtlichen Anforderungen an eine sichere und zulassige Datenverarbeitung erfullt 17 Fakultat fur Informatik der Technischen Universitat MunchenAnalyse der Besonderheiten im Design von Web Schnittstellen API im Gegensatz zu traditionellen Software APIs 18 Untersuchung der Datenspeicherung in der Cloud unter Berucksichtigung der Privatsphare 19 Abhandlung zu einer Suchmaschine mit Augenmerk auf die Privatsphare 20 Institut fur Telematik an der Universitat Lubeck 21 Im Rahmen einer Masterarbeit uber Privatsphare beim Cloud ComputingHochschule fur Okonomie und Management in Hamburg 22 Analyse der Sealed Cloud TechnologieFriedrich Alexander Universitat Erlangen Nurnberg gefordert durch das Bundesministerium fur Bildung und Forschung sowie durch das EU Rahmenprogramm fur Forschung und Innovation Horizont 2020 23 Zusammenfassung der Ergebnisse des Forschungsprojekts PARADISEAnwendungsbeispiele BearbeitenDer Online Speicher und Kommunikationsdienst idgard Das Cloud Produkt Versiegelte Cloud der Deutschen Telekom basiert auf der Sealed Cloud Technologie und bietet die gleiche Funktionalitat wie idgard 24 Die Pilotanwendung Delegate verwaltet Zugangsdaten zu Online Diensten befindet sich jedoch noch in der Entwicklung 25 Die Sealed Platform ist eine Cloud Plattform die auf den rechts und datenschutzkonformen Betrieb von Business Applikationen SaaS IoT und M2M ausgelegt ist Sie basiert auf der Sealed Cloud Technologie und setzt auf die gleiche Server Infrastruktur und dieselben Schutzmassnahmen 26 Preise und Auszeichnungen BearbeitenDeutscher Rechenzentrumspreis 2019 Mit der Sealed Cloud Platform hat die Uniscon GmbH beim Deutschen Rechenzentrumspreis 2019 den 1 Platz in der Kategorie Innovationen im Whitespace belegt Deloitte Technology Fast 50 Die Uniscon GmbH wurde dank ihrer Sealed Cloud Technologie sowohl 2017 als auch 2018 jeweils mit dem Deloitte Technology Fast 50 Award ausgezeichnet Der Preis wird jahrlich an die am schnellsten wachsenden Technologieunternehmen in Deutschland verliehen 27 Eurocloud Deutschland Fur das Innovationspotenzial des Sealed Cloud Dienstes idgard wurde die Uniscon GmbH 2014 mit dem EuroCloud Award Deutschland des eco Verbands ausgezeichnet 28 Experton 2014 Die Analysten der Experton Group ernannten den Sealed Cloud Dienst idgard 2014 zum Leader im Bereich Cloud Verschlusselung 29 Zertifikate BearbeitenDer TUViT hat idgard mit dem Trusted Cloud Datenschutzprofil TCDP in der hochsten Schutzklasse Schutzklasse III zertifiziert Der Anforderungskatalog dieses Zertifikats baut auf anerkannten Standards ISO 27018 u a auf 30 idgard ist mit dem Trusted Cloud Label fur vertrauenswurdige Cloud Services ausgezeichnet Das Trusted Cloud Projekt wird vom BMWi gefordert 31 Siehe auch BearbeitenInformationssicherheit Kryptographie Anonymisierung und PseudonymisierungLiteratur BearbeitenW Streitberger A Ruppel Studie Cloud Computing Sicherheit Schutzziele Taxonomie Marktubersicht AISEC Fraunhofer 2009 Sabrina Landes Inkognito im Netz unterwegs In Kultur amp Technik Das Magazin aus dem Deutschen Museum 1 2013 S 36 37 Hubert Jager Compliance durch versiegelte Cloud In Industriemanagement 29 2013 S 27 30 Steffen Kroschwald Verschlusseltes Cloud Computing In Zeitschrift fur Datenschutz ZD 2014 S 75 80Weblinks BearbeitenZum Schutz der Metadaten In lanline de Schutz fur Mittelstand In tecchannel de Sealed Cloud soll Privacy by Design bewerkstelligen In it finanzmagazin de Warum braucht BIM Datenschutz In build ing deBelege Bearbeiten EP 2389641 und andere Claudia Linnhoff Popien Michael Zaddach Andreas Grahl Marktplatze im Umbruch Digitale Strategien fur Services im Mobilen Internet Springer Verlag 2015 ISBN 978 3 662 43782 7 google de abgerufen am 5 Januar 2018 Was bedeutet Privacy by Design Privacy by Default wirklich In Datenschutzbeauftragter 17 Oktober 2017 datenschutzbeauftragter info de abgerufen am 8 Januar 2018 Steffen Kroschwald Magda Wicker Kanzleien und Praxen in der Cloud Strafbarkeit nach 203 StGB CR 2012 758 764 Ende zu Ende Verschlusselung Was ist das Einfach erklart Abgerufen am 8 Januar 2018 BSI Grundschutz Kataloge https www bsi bund de DE Themen ITGrundschutz itgrundschutz node html Die deutsche Microsoft Cloud Daten Treuhand als Abwehrmittel gegen Uberwachung computerwoche de Abgerufen am 5 Januar 2018 Christiane Schulzki Haddouti Burgerrechte im Netz Springer Verlag 2013 ISBN 978 3 322 92400 1 google de abgerufen am 5 Januar 2018 Steffen Kroschwald Informationelle Selbstbestimmung in der Cloud Datenschutzrechtliche Bewertung und Gestaltung des Cloud Computing aus dem Blickwinkel des Mittelstands Springer Verlag 2015 ISBN 978 3 658 11448 0 google de abgerufen am 5 Januar 2018 Eine Cloud im Kafig In computerwoche de 6 Marz 2013 abgerufen am 3 April 2014 Hubert Jager et al A Novel Set of Measures against Insider Attacks Sealed Cloud In Detlef Huhnlein Heiko Roynagel Ed Proceedings of Open Identity Summit 2013 Lecture Notes in Informatics Volume 223 SENDATE SECURE DCI KIS Website Abgerufen am 5 Januar 2018 PARADISE Fraunhofer FIT Abgerufen am 5 Januar 2018 Ralf Ladner Rechtskonforme Auswertung von Autodaten Abgerufen am 12 August 2019 deutsch PrivacyUs Abgerufen am 5 Januar 2018 amerikanisches Englisch https www uni kassel de fb07 institute iwr personen fachgebiete rossnagel prof dr forschung provet sealed cloud html Steffen Kroschwald Informationelle Selbstbestimmung in der Cloud Springer Vieweg 2016 ISBN 978 3 658 11447 3 eingeschrankte Vorschau in der Google Buchsuche Vesko Georgiev Service APIs in Heterogeneous Desktop and Mobile Client Environments Technische Universitat Munchen 2014 Sibi Anthony Privacy konforme verschlusselte Datenspeicherung in der Cloud Technische Universitat Munchen 2013 Irfan Basha Privacy Crawler Technische Universitat Munchen 2012 http media itm uni luebeck de teaching ws2013 sem cloud computing Cloud computing privacy aspects pdf Archivierte Kopie Memento des Originals vom 23 Februar 2014 im Internet Archive nbsp Info Der Archivlink wurde automatisch eingesetzt und noch nicht gepruft Bitte prufe Original und Archivlink gemass Anleitung und entferne dann diesen Hinweis 1 2 Vorlage Webachiv IABot winfwiki wi fom de Vertrauenswurdiges Backend Abgerufen am 12 August 2019 Deutsche Telekom AG Cloud mit Schloss und Riegel Abgerufen am 12 August 2019 http www securenet de id 120 Uniscon Uniscon prasentiert hochsichere Sealed Cloud Plattform Abgerufen am 12 August 2019 deutsch Gewinner Technology Fast 50 im Uberblick Abgerufen am 12 August 2019 Trusted Digital Competence Platform Abgerufen am 12 August 2019 englisch Research Abgerufen am 12 August 2019 Home TCDP Abgerufen am 12 August 2019 Bundesministerium fur Wirtschaft und Energie Trusted Cloud Abgerufen am 12 August 2019 Abgerufen von https de wikipedia org w index php title Sealed Cloud amp oldid 237285765