E2EE (Quelle: wikipedia) ist das Stichwort, welches aktuell als Lösungsansatz für einen sicheren Wechsel in die Cloud gesehen wird.
Grundsätzlich stimmt das auch, jedoch vergessen die Anbieter dabei einen wesentlichen Punkt.
Bei einem Wechsel in die Cloud geht es nicht nur darum, eine Word-Datei an einem anderen Ort zu speichern.
Oder ein E-Mail Postfach.
Hier liegt nicht das Problem.
Die Cloud bietet sehr viel mehr.
Rund 200 „Azure-Dienste“, von Big Data über Containerverwaltung bis hin zur KI sollen bei der Verwaltung und Auswertung der Daten helfen.
Es liegt auf der Hand, dass diese Daten – und das werden bei einem Unternehmen sicher nicht wenige sein – nur unverschlüsselt verarbeitet werden können.
Durch die Vernetzung der Dienste und auch Suchmöglichkeiten können Mails und Dateien nur bedingt E2EE verschlüsselt sein.
Denn in diesem Fall könnte niemand nach einem Datei-Inhalt eines anderen Nutzers suchen.
Werden alle Daten „sicher“ (E2EE verschlüsselt) in der Cloud gespeichert, gehen dadurch automatisch große Teile der Funktionalität verloren.
Es gilt nun, einen Weg zu finden, der beides möglich macht.
So kann man die Daten „je Kunde“ komplett in einem speziellen „verschlüsselten Speicher-Container“ ablegen, der mit einem privaten Schlüssel versehen ist, der für das komplette Unternehmen gilt.
Das ist dann zwar nicht E2EE aus Sicht einzelner Personen, aber das macht auch sonst – in der bisherigen lokalen Infrastruktur – wenig Sinn.
Stellen Sie sich vor, ein Kunde schickt eine E2EE verschlüsselte Mail an H. Meier, der aber krank ist und nicht zugreifen kann.
Damit die Abläufe in einem solchen Fall funktionieren, müssen die Mails intern weitgehend unverschlüsselt sein.
Eine zweite Anforderung ist, dass alle Anwendungen „isoliert“ laufen, in einer Umgebung, in der ihnen der Schlüssel bekannt ist.
Es dürfen dabei keine Daten oder Informationen in einen anderen „Speichercontainer“ übertragen werden.
Auch keine „Telemetrie“ oder sonstige „Auswertungen“.
Diese „Anwendungscontainer“ entsprechen den Programmen, die sonst in der lokalen Infrastruktur laufen würden.
Natürlich benötigen wir ein Verfahren, um diesen „Anwendungscontainern“ dann die Schlüssel verfügbar zu machen, ohne diese irgendwo „angreifbar“ zu hinterlegen.
Das sollte ein lösbares Problem sein.
Eine komplette E2EE-Verschlüsselung aller Unternehmensdaten wird niemals eine Lösung sein.
Innerhalb der „berechtigten Interessengruppen“ würde ich vorwiegend mit Berechtigungen auf unverschlüsselte Daten arbeiten.
Mit einem Konzept, so wie oben vorgestellt, könnte ich leben.
Es schützt die Daten eines Unternehmens auch in der Cloud, macht die bisherigen Vorteile der unverschlüsselten Daten nicht kaputt und wäre technisch umsetzbar.
Ich bin gespannt, ob solche Lösungen auch einmal angeboten werden.
Oder ob die Unternehmen den Schwerpunkt lieber darauf legen, mit den unverschlüsselten Daten Auswertungen im eigenen Interesse vorzunehmen.
Klar ist aber auch, dass mit jeder Anwendung die man nutzt, die Abhängigkeit zum Anbieter wächst.
Eine Word Datei kann ich leicht umziehen – eine komplexe KI-Anwendung jedoch nicht.
D’rum prüfe, wer sich ewig bindet …