c't 4/2016
S. 174
Know-how
Sichere Cloud-Datenbank
Aufmacherbild

Geheimnis-Verwalter

Das Eperi Gateway schützt Cloud-Daten

Gehostete Anwendungen und sicherer Cloud-Speicher lassen sich nur schwer unter einen Hut bringen. Entweder liegen alle Daten unverschlüsselt und vor Insidern ungeschützt auf dem Server, oder Server-Anwendungen wie eine Datenbank können nicht funktionieren. Die Firma Eperi hat in Zusammenarbeit mit dem BSI die derzeit einzige Technik entwickelt, mit der sich dieses Dilemma weitgehend auflösen lässt, und vermarktet sie in Gestalt des quelloffenen Eperi Gateway.

Wer personenbeziehbare Daten unter die Obhut eines Internet-Dienstleisters gibt, hat nach geltendem Recht dafür zu sorgen, dass diese Daten weder durch externe Angreifer noch durch den Dienstleister missbraucht werden oder in falsche Hände gelangen können. Gemäß Bundesdatenschutzgesetz ist das durch einen Vertrag zur Auftragsdatenverarbeitung zu regeln [1]. Ein solcher Vertrag kann seinen Zweck umso besser erfüllen, je präziser man die Rechte der beteiligten Personen beschreiben und mit technischen Mitteln kontrollieren kann.

Wenn eine Datenbank-Anwendung auf einem entfernten Server läuft, geraten technische Sicherheitsansprüche zwischen Scilla und Charybdis: Einerseits hat man keine Chance, dem Server-Admin die Zugriffsrechte auf Software und Inhalte zu beschneiden, wäre einem schwarzen Schaf beim Service-Provider also wehrlos ausgeliefert. Andererseits kann man sich aber auch nicht mit einer End-to-End-Verschlüsselung aus der Affäre ziehen, wie das bei bloßen Cloud-Speicherdiensten gelingt [2, 3]. Damit wären die Inhalte zwar vor unberechtigten Zugriffen geschützt, aber die Datenbank-Engine könnte diese Daten weder sortieren noch filtern.

Kommentieren