Daten-Verschlüsselung in der Cloud: Unterschied zwischen den Versionen

Dies ist eine kompakte Einführung in die beiden essenziellen Säulen der Datensicherheit: die Verschlüsselung ruhender und übertragener Daten.

Daten-Verschlüsselung in der Cloud[Bearbeiten]

Verschlüsselung ist der wichtigste Schutzmechanismus, um die Vertraulichkeit und Integrität von Informationen sicherzustellen. In der Cloud-Architektur unterscheiden wir grundsätzlich zwischen zwei Zuständen von Daten, die jeweils unterschiedliche Schutzmaßnahmen erfordern.

1. Encryption in Transit (Datenübertragung)[Bearbeiten]

Encryption in Transit schützt Daten, während sie sich über ein Netzwerk bewegen – sei es über das öffentliche Internet oder innerhalb des internen Cloud-Netzwerks.

• Ziel: Schutz vor "Man-in-the-Middle"-Angriffen und Abhören der Kommunikation.
• Technologien:
  • TLS (Transport Layer Security): Der Standard für HTTPS-Verbindungen.
  • mTLS (Mutual TLS): In Service Meshes üblich; hier authentifizieren sich sowohl Client als auch Server gegenseitig durch Zertifikate.
  • IPsec: Häufig genutzt für VPN-Verbindungen zwischen On-Premise-Rechenzentren und der Cloud.

2. Encryption at Rest (Ruhende Daten)[Bearbeiten]

Encryption at Rest schützt Daten, die dauerhaft auf einem Speichermedium liegen (Festplatten, Objektspeicher, Datenbanken).

• Ziel: Schutz der Daten bei physischem Diebstahl der Hardware oder unbefugtem Zugriff auf die Speicherschicht.
• Ebenen der Verschlüsselung:
  • Full Disk Encryption (FDE): Verschlüsselung der gesamten physikalischen oder virtuellen Festplatte.
  • Application Level Encryption: Die Anwendung verschlüsselt sensible Felder (z. B. Kreditkartennummern) selbst, bevor sie in die Datenbank geschrieben werden.
  • Transparent Data Encryption (TDE): Datenbank-Feature, bei dem Dateien automatisch beim Schreiben verschlüsselt und beim Lesen entschlüsselt werden.

3. Schlüsselmanagement (KMS)[Bearbeiten]

Verschlüsselung ist nur so sicher wie die Aufbewahrung der kryptografischen Schlüssel. Cloud-Anbieter bieten hierfür Key Management Services (KMS) an:

• Customer Master Keys (CMK): Der Hauptschlüssel, der oft in einem Hardware Security Module (HSM) sicher aufbewahrt wird.
• Envelope Encryption: Ein Verfahren, bei dem Daten mit einem Datenschlüssel verschlüsselt werden und dieser Datenschlüssel wiederum mit einem Master-Key verschlüsselt wird. Dies optimiert die Performance bei großen Datenmengen.

4. Vergleich der Zustände[Bearbeiten]

5. Zusammenfassung[Bearbeiten]

Eine moderne Cloud-Strategie verfolgt den "Zero Trust"-Ansatz: Daten werden an jedem Punkt verschlüsselt. Während TLS die "Röhre" schützt, durch die Daten fließen, sorgt die Verschlüsselung At-Rest dafür, dass die Daten selbst dann wertlos sind, wenn sie in die falschen Hände geraten.

Zusammenfassend: Verschlüsselung ist in der Cloud heute kein optionales Feature mehr, sondern durch regulatorische Anforderungen (wie DSGVO) und technische Best Practices der Standard für jede Applikation.