Daten-Verschlüsselung in der Cloud: Unterschied zwischen den Versionen
(Die Seite wurde neu angelegt: „== Daten-Verschlüsselung in der Cloud == Verschlüsselung ist der wichtigste Schutzmechanismus, um die Vertraulichkeit und Integrität von Informationen sicherzustellen. In der Cloud-Architektur unterscheiden wir grundsätzlich zwischen zwei Zuständen von Daten, die jeweils unterschiedliche Schutzmaßnahmen erfordern. === 1. Encryption in Transit (Datenübertragung) === '''Encryption in Transit''' schützt Daten, während sie sich über ein Netzwerk b…“) |
Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
Dies ist eine kompakte Einführung in die beiden essenziellen Säulen der Datensicherheit: die Verschlüsselung ruhender und übertragener Daten. | |||
== Daten-Verschlüsselung in der Cloud == | == Daten-Verschlüsselung in der Cloud == | ||
Version vom 5. Februar 2026, 16:56 Uhr
Dies ist eine kompakte Einführung in die beiden essenziellen Säulen der Datensicherheit: die Verschlüsselung ruhender und übertragener Daten.
Daten-Verschlüsselung in der Cloud
Verschlüsselung ist der wichtigste Schutzmechanismus, um die Vertraulichkeit und Integrität von Informationen sicherzustellen. In der Cloud-Architektur unterscheiden wir grundsätzlich zwischen zwei Zuständen von Daten, die jeweils unterschiedliche Schutzmaßnahmen erfordern.
1. Encryption in Transit (Datenübertragung)
Encryption in Transit schützt Daten, während sie sich über ein Netzwerk bewegen – sei es über das öffentliche Internet oder innerhalb des internen Cloud-Netzwerks.
- Ziel: Schutz vor "Man-in-the-Middle"-Angriffen und Abhören der Kommunikation.
- Technologien:
- TLS (Transport Layer Security): Der Standard für HTTPS-Verbindungen.
- mTLS (Mutual TLS): In Service Meshes üblich; hier authentifizieren sich sowohl Client als auch Server gegenseitig durch Zertifikate.
- IPsec: Häufig genutzt für VPN-Verbindungen zwischen On-Premise-Rechenzentren und der Cloud.
2. Encryption at Rest (Ruhende Daten)
Encryption at Rest schützt Daten, die dauerhaft auf einem Speichermedium liegen (Festplatten, Objektspeicher, Datenbanken).
- Ziel: Schutz der Daten bei physischem Diebstahl der Hardware oder unbefugtem Zugriff auf die Speicherschicht.
- Ebenen der Verschlüsselung:
- Full Disk Encryption (FDE): Verschlüsselung der gesamten physikalischen oder virtuellen Festplatte.
- Application Level Encryption: Die Anwendung verschlüsselt sensible Felder (z. B. Kreditkartennummern) selbst, bevor sie in die Datenbank geschrieben werden.
- Transparent Data Encryption (TDE): Datenbank-Feature, bei dem Dateien automatisch beim Schreiben verschlüsselt und beim Lesen entschlüsselt werden.
3. Schlüsselmanagement (KMS)
Verschlüsselung ist nur so sicher wie die Aufbewahrung der kryptografischen Schlüssel. Cloud-Anbieter bieten hierfür Key Management Services (KMS) an:
- Customer Master Keys (CMK): Der Hauptschlüssel, der oft in einem Hardware Security Module (HSM) sicher aufbewahrt wird.
- Envelope Encryption: Ein Verfahren, bei dem Daten mit einem Datenschlüssel verschlüsselt werden und dieser Datenschlüssel wiederum mit einem Master-Key verschlüsselt wird. Dies optimiert die Performance bei großen Datenmengen.
4. Vergleich der Zustände
| Merkmal | Encryption in Transit | Encryption at Rest |
|---|---|---|
| Wann? | Während der Bewegung (Netzwerk). | Während der Speicherung (Disk/DB). |
| Primäre Bedrohung | Abfangen von Paketen (Sniffing). | Unbefugter Zugriff auf Datenträger. |
| Werkzeug | SSL/TLS Zertifikate. | AES-256, KMS, Disk Encryption. |
5. Zusammenfassung
Eine moderne Cloud-Strategie verfolgt den "Zero Trust"-Ansatz: Daten werden an jedem Punkt verschlüsselt. Während TLS die "Röhre" schützt, durch die Daten fließen, sorgt die Verschlüsselung At-Rest dafür, dass die Daten selbst dann wertlos sind, wenn sie in die falschen Hände geraten.
Zusammenfassend: Verschlüsselung ist in der Cloud heute kein optionales Feature mehr, sondern durch regulatorische Anforderungen (wie DSGVO) und technische Best Practices der Standard für jede Applikation.
