Die Sealed Cloud versiegelt sensible Daten

Wenn es um das Erzeugen von sauberer Windenergie geht, dann sind die Mitarbeiter des Bremer Unternehmens REETEC die richtigen Ansprechpartner. Sie verfügen über langjährige Erfahrungen, Windenergieanlagen zu planen, aufzubauen und zu warten – sowohl an Land wie offshore.

Dem Windenergie-Dienstleister ist dabei zum Beispiel wichtig, seinen Kunden und Auftraggebern vor dem Start eines neuen Projekts die Lebensläufe und Expertisen aller beteiligten Mitarbeiter zur Verfügung zu stellen, damit sie sich ein Bild von deren Kompetenz machen können.

Das bedeutet: Bei neuen Projekten tauschen Dienstleister und Kunde eine Menge personenbezogener Daten aus. „Es geht ja nicht nur um die persönlichen Daten eines einzigen Monteurs – unsere Baustellen beschäftigen oft bis zu zwanzig Leute“, erklärt Jens Gehler, EDV-Leiter bei REETEC. „Per E-Mail geht das aus Datenschutzgründen natürlich nicht.“

Weil File-Sharing- und Messaging-Tools ebenfalls oft erhebliche Sicherheitsmängel haben, kamen auch sie nicht in Betracht. Damit der Austausch der Informationen nicht mehr umständlich per Post erfolgen musste, suchte Gehler 2013 nach einer passenden und rechtskonformen Kommunikationslösung. Gefragt war eine Plattform, über die sich Dokumente einfach und bequem austauschen lassen und die zugleich den gesetzlichen Vorgaben des Datenschutzes für personenbezogene Daten genügte.

Beim Einsatz von ungenügend verschlüsselten Cloud-Diensten für den Datenaustausch haben nicht nur der Auftragnehmer und der Auftragtraggeber Zugriff auf die Daten, sondern in vielen Fällen auch der Cloud-Betreiber.

Während die Daten auf dem Cloud-Server verarbeitet werden, sind sie nicht ausreichend geschützt. Mitarbeiter des Cloud-Dienstes könnten diese einsehen, speichern und weitergeben.

EDV-Leiter Jens Gehler informierte sich deshalb bei Datenschutzbeauftragten über ein Projekt zur verfassungsverträglichen Technikgestaltung, das das Bundesministerium für Wirtschaft und Energie (BMWi) im Rahmen des Trusted-Cloud-Programms seit 2011 fördert.

Nach einer dreijährigen Forschungs- und Entwicklungsphase bietet das Projekt inzwischen Kommunikationsdienste auf einer zusätzlich abgesicherten Cloud-Infrastruktur, die durch technische Maßnahmen verhindert, dass der Betreiber der Cloud auf die Daten seiner Kunden zugreifen kann.

Die als Sealed Cloud bezeichnete und mittlerweile international patentierte Basistechnologie sichert in einem Rechenzentrum die ihr anvertrauten Daten durch eine „Versiegelung“ – ein Paket technischer Maßnahmen, die die Datenverarbeitung für Dritte unzugänglich machen.

Dieses Paket besteht aus einer Schlüsselverteilung, die einer Ende-zu-Ende-Verschlüsselung entspricht. Hinzu kommt bei der Verarbeitung der Daten eine Data-clean-up-Option. Damit ist das Löschen aller unverschlüsselten Daten auf den Verarbeitungs-Servern gemeint, sollte jemand unbefugt auf diese zugreifen wollen.

---

Und schließlich werden die Datenströme, die in die Sealed Cloud hinein- und aus ihr herausfließen, auch noch verzögert (dekorreliert). In dieser Kombination mehrerer technischer Sicherheitsmaßnahmen sehen Juristen eine Möglichkeit, personenbezogene Daten rechtskonform im Internet auszutauschen.

Die Technik hinter der Sealed Cloud bleibt für den Anwender unsichtbar. Gehler entschied sich für cloudbasierte Projekt- und Datenräume, die das Münchner Unternehmen Uni­scon unter dem Namen IDGARD anbietet. Diese sind, so Gehler, „einfach zu bedienen“. Einmal angemeldet, könne man die Räume sofort per Browser verwenden: „Wir und unsere Kunden mussten also keine neue Software installieren.“ REETEC hat ein Starterpaket gewählt, das knapp 50 Euro im Monat kostet. Darin enthalten sind fünf Voll-Lizenzen, 25 Gastlizenzen und 100 GByte Traffic.

Was der EDV-Leiter bei seiner Entscheidung zunächst weniger im Blick hatte, inzwischen aber zu schätzen weiß, ist der Schutz der Metadaten in einer Sealed Cloud. Zu den Metadaten gehören alle Daten, die Auskunft über die Verbindung geben, also darüber, wer wann mit wem kommuniziert hat, zum Beispiel die E-Mail-Adressen des Senders und des Empfängers oder die Größe angehängter Dateien. Selbst bei Ende-zu-Ende-verschlüsselten E-Mails fallen diese Daten an.

---

Ein Sicherheitsrisiko stellen sie vor allem deswegen dar, weil sie strukturiert sind. Metadaten werden generiert, um die eigentlichen Daten zu beschreiben, und sie sind gerade dann nötig, wenn größere Datenmengen verwaltet werden müssen. Eines der Merkmale ist daher, dass man sie maschinell lesen und auswerten kann. Matt Blaze, Kryptografie-Professor an der University of Pennsylvania, beschreibt sie so: „Der Inhalt mag das sein, was wir sagen. Metadaten verraten, was wir tun.“

Ein Unternehmen wie REETEC, das im Jahr durchschnittlich 300 Anlagen errichtet und verkabelt, produziert jede Menge Metadaten. Vor allem im internationalen Zusammenhang: „Wir haben seit mehreren Jahren Standorte in Spanien, Portugal und Frankreich und zusätzlich Tochterfirmen in Großbritannien und Rumänien“, so Gehler.

Deshalb befürchtete der IT-Experte auch, dass diese Daten bei der digitalen Kommunikation über Landesgrenzen hinweg abgezapft und gespeichert werden. Von manchen Ländern vermutet man sogar aus guten Gründen, dass einheimische Unternehmen die Erkenntnisse nutzen, die Geheimdienste aus den Daten gewinnen, um unliebsame ausländische Konkurrenten aus dem Feld zu schlagen. Angesichts des umfassenden Spezialwissens, über das der Windenergie-Dienstleister verfügt, war deshalb Vorsicht durchaus angeraten. EDV-Leiter Jens Gehler ist aus diesem Grund froh, sich für die versiegelten Projekträume entschieden zu haben. Denn bei der Sealed-Cloud-Technologie sind neben den Inhalten auch die Metadaten vor fremden Blicken geschützt.

Daher unterstützt Gehler, wie er sagt, den „flächendeckenden Einsatz“ dieser Räume bei allen Bauprojekten von REETEC. Ziel ist es, dass die Projektleiter für jedes Projekt Teile hinzubuchen oder abwählen können.

Vielleicht braucht jemand einmal einen virtuellen Datenraum oder zusätzliche Voll-Lizenzen für sein gruppenbezogenes, virtuelles Laufwerk in der Sealed Cloud, weitere Gastzugänge für Partner oder einfach nur mehr Cloud-Speicherplatz – was immer nötig sein mag, um die Arbeit zu erleichtern.