Es ist irgendwie schon deprimierend! Ich überlege schon seit Monaten, wie ich bei einem Kunden die Verschlüsselung von Daten sinnvoll einführen kann und doch sind alle Lösungen, die mir bisher eingefallen sind, recht kompliziert. Vielleicht sind auch meine Gedankengänge einfach zu kompliziert, vielleicht mache ich mir aber auch nur viel zu viele Gedanken. Fakt ist, dass ich jetzt vor zwei USB-Sticks sitze, die ich für den Kunden vorbereitet habe und die ich super bedienen kann, nur kann der Kunde das auch?
Konkret geht es um die sichere Ver- und Entschlüsselung von Datencontainern in der Cloud. Der bequeme Weg wäre, das Werkzeug für die Ver- und Entschlüsselung einfach auf dem Rechner zu installieren, wo es benötigt wird, und dann die Container anzulegen. Mein Problem mit diesem bequemen Weg: Dieses Werkzeug bietet die Möglichkeit, das Passwort für den Container zu speichern, damit es beim nächsten Mal nicht erneut eingegeben werden muss. Eine schöne Sache, die eigentlich auch kein Problem sein sollte, da es ja um die Verschlüsselung der Daten auf dem Server geht und Datendiebe, die sich die Container vom Server klauen, ja keinen Zugriff auf das Programm und dem darin gespeicherten Passwort haben. Doch was ist, wenn nicht die Container aus der Cloud geklaut werden, sondern der Rechner selbst?
Auf dem würden sich dann der verschlüsselte Container aus der Cloud, das Werkzeug, um diesen Container zu entschlüsseln, wie auch das Passwort selbst befinden – weil es halt menschlich ist, dass dieses im Programm gespeichert wird. Gut, die Diebe müssten dann noch Zugriff auf das System erlangen, aber sind wir ehrlich, so ein Login-Passwort ist durchaus zu knacken und dann ist die Verschlüsselung der Daten nicht wirklich viel wert.
Gut, ich könnte jetzt natürlich dem Kunden erklären, dass er das Passwort dort nie speichern sollte, aber es ist bequem und spätestens, wenn dann einmal Stress im Betrieb ist, weil andere Aufgaben warten, wird es doch gespeichert. Das ist – wie schon erwähnt – absolut menschlich und deswegen dachte ich mir, dass ich das Werkzeug dann einfach auf einem USB-Stick installiere. So wären Rechner und Werkzeug getrennt und sollte der Rechner dann geklaut werden, wären die verschlüsselten Container dennoch sicher, weil sich das Programm mit dem gespeicherten Passwort dann nicht auf dem Rechner befindet, sondern auf dem USB-Stick, der hoffentlich nicht geklaut wurde.
Doch was ist, wenn der USB-Stick verloren geht? Gut, dann hätte der Finder noch nicht unbedingt Zugriff auf die Cloud und auf den Container, aber was, wenn doch? Wenn der USB-Stick zum Beispiel noch am geklauten Rechner steckt? Dann wäre die Mühe auch umsonst gewesen, weil dann doch wieder alle Komponenten direkt verfügbar wären, um die Container zu entschlüsseln.
Also muss auch der USB-Stick, auf welchem das Werkzeug zur Ver- und Entschlüsselung installiert ist, verschlüsselt sein. Genau an dieser Stelle fängt es dann an kompliziert zu werden, denn jetzt muss erst der Container auf dem Stick entschlüsselt werden, bevor das Werkzeug zur Entschlüsselung des Containers, der in der Cloud liegt, gestartet werden kann. Für mich perfekt, für den Kunden ein weiterer Schritt und ein weiteres Passwort und beides muss sich der Kunde merken. Außerdem wird zur Ver- und Entschlüsselung des USB-Sticks ein anderes Werkzeug verwendet, weswegen sich der Kunde die Bedienung von zwei Werkzeugen merken muss.
Das Problem mit den Routinen und neuen Lösungen
Jetzt kommt wahrscheinlich bei einigen die Frage auf, ob ich das oben Beschriebene dem Kunden nicht zutraue? Doch, ich traue es ihm zu, aber ich bin jetzt auch schon einige Jahre in dem Bereich unterwegs und weiß daher, dass Dinge, die komplizierter sind als die alten Routinen, erst einmal nicht so wirklich angenommen werden. Nicht, weil sie wirklich schwer sind, sondern weil sie Arbeitsroutinen verändern und sie am Anfang einfach mehr Zeit kosten. Deswegen versuche ich neue Lösungsansätze immer so einfach wie möglich zu halten, doch der oben beschriebene Weg ist das eben nicht!
Der Kunde und ich müssen ihn aber gehen, denn wir wollen, dass die Daten sicher sind und auch die DSGVO will, dass wir mit Daten – besonders wenn sie dann noch andere Menschen betreffen – sorgsam umgehen. Dazu gehört dann auch die Verschlüsselung von Daten, damit diese auch dann geschützt sind, wenn so ein Server doch Mal eine Schwachstelle hat, über die Daten gestohlen werden könnten, und so eine Cloud ist ja nichts anderes als ein Server, der vom Internet aus erreichbar ist.
Und dann ist es echt deprimierend, wenn etwas, was für die Datensicherheit wichtig ist, dann doch immer komplizierter wird. Hinzu kommt das Bauchgrummeln, welches bei dem Gedanken aufkommt, dass die Passwörter für die verschlüsselten Container ja auch verloren gehen könnten. Damit möchte ich jetzt hier aber gar nicht anfangen, denn sonst überzeuge ich mich noch irgendwann selbst davon, dass die Verschlüsselung von Daten nur etwas für absolute Nerds ist.