Sie sind hier: Startseite » Markt » Unternehmen

Verschlüsselung von Cloud-Daten einfach


PSW Group nimmt "Boxcryptor 2.0" unter die Lupe: Cloud-Verschlüsselungssoftware hat an Sicherheit zugelegt
IT-Sicherheitsexperten loben ausgereiftes Krypto-Konzept aus einem kombinierten Verschlüsselungsprozess aus RSA und AES


Die Cloud findet im privaten wie auch im geschäftlichen Umfeld immer mehr Anwendung. Die Sicherheit der Cloud Computing-Anbieter fällt jedoch unterschiedlich aus. Meist können Dritte zwar keine Einsicht in abgelegte Dokumente nehmen, der Anbieter könnte allerdings darauf zugreifen. Der in Augsburg sitzende Anbieter von "Boxcryptor", die Secomba GmbH, hat sich zum Ziel gesetzt, die Datensicherheit der Cloud und das Vertrauen auf einfachem Wege zu erhöhen. Bereits seit 2011 auf dem Markt, ist kürzlich mit Boxcryptor 2.0 ein Update der Verschlüsselungssoftware für Cloud Computing-Systeme erschienen. Schon in der ersten Version konnte die Software mit vielfältigen Funktionen und einer hohen Sicherheit überzeugen; in punkto Sicherheit will Boxcryptor 2.0 aber weiter zugelegt haben. Grund, für die IT-Sicherheitsexperten der PSW Group, sich die Software in puncto Verschlüsselung, Sicherheit und Vertrauen genauer anzusehen.

Das Urteil fällt gut aus: "Boxcryptor ist eine Closed-Source-Software, die sich nur soweit beurteilen lässt, wie der Anbieter Informationen preisgibt. Das Krypto-Konzept scheint uns allerdings ausgereift zu sein, dank der eingesetzten Verschlüsselungsstandards dürfte das Konzept auch Entschlüsselungsversuchen von Hackern oder gar Geheimdiensten standhalten", so das Fazit von Patrycja Tulinska, Geschäftsführerin der PSW Group. Sie lobt: "Sensible Informationen sowie persönliche Daten werden verschlüsselt, bevor sie gespeichert werden. Der Datenbankschlüssel fungiert als Session-Key, das heißt nur während der Laufzeit ist der Datenbankschlüssel für die Anwendung verfügbar. Selbst wenn Angreifer also auf die Datenbank zugreifen könnten, würden sie nur auf verschlüsselte Daten zugreifen."

Boxcryptor 2.0 kann für zahlreiche Cloud-Anbieter auf allen erdenklichen Geräten genutzt werden. Schon mit der Gratis-Version können Privatpersonen Dateien in der Cloud sicher verschlüsseln. Dank der fast intuitiven Bedienung gelingen Installation und Konfiguration denkbar einfach. Businesskunden können selbst im Team oder direkt beim Kunden mit verschlüsselten Dateien arbeiten. Tiefgreifende Kenntnisse der Kryptografie sind nicht nötig, um mit Boxcryptor arbeiten zu können.

Boxcryptor hat einen kombinierten Verschlüsselungsprozess implementiert, der auf RSA und AES aufbaut. Das heißt: Boxcryptor nutzt AES als Verschlüsselungsalgorithmus zum Verschlüsseln von Dateien und RSA zum Verwalten dieser Schlüssel. "Und da geht Sicherheit fast nicht besser. Daten werden von der Software zunächst standardmäßig AES-256-verschlüsselt. Der AES-Schlüssel wird zum Entschlüsseln der Datei an selbige angehängt. Genau dieses Dateianhängsel wird nun mittels RSA verschlüsselt. Erst nach dem Verschlüsselungsprozess lädt Boxcryptor die Datei in die jeweilige Cloud, wo sie von zu synchronisierenden Geräten genauso abgeholt werden kann wie von autorisierten Nutzern", erläutert Patrycja Tulinska. Die Entschlüsselung findet erst auf dem jeweiligen Client statt. Der private Schlüssel wird benötigt, um den verschlüsselten Schlüssel wieder zu entschlüsseln.

Der Boxcryptor-Server ordnet den öffentlichen Schlüssel einem bestimmten Nutzer zu. Der Server beherbergt die öffentlichen und die privaten Schlüssel der Boxcryptor-Nutzer, die wiederum mit dem privaten Schlüssel eines Nutzers verschlüsselt sind. Diesen privaten Schlüssel kennt ausschließlich der Nutzer, er wird lokal auf seinem Rechner abgespeichert. Dies ist der sogenannte Zero-Knowledge-Ansatz: Der Anbieter hat damit weder Zugriff auf gespeicherte Daten noch auf die Passwörter seiner Nutzer. "Hier kommt dem Nutzerpasswort, das den privaten Schlüssel eines Nutzers verschlüsselt eine bedeutende Rolle zu", macht Tulinska aufmerksam und erklärt: "Da dieses Passwort nirgends abgespeichert und der Login lediglich mit einem Hash des Passworts ausgeführt wird, ist es wichtig, dass User dieses Passwort nie verlieren sollten. Es kann weder zurückgesetzt werden noch lassen sich die verschlüsselten Daten anderweitig wiederherstellen."

Zudem ist Boxcryptor keine quelloffene Software, weshalb sich der Programmcode weder auf Sicherheitslücken noch auf Hintertüren überprüfen lässt. "Dass das Unternehmen weder die Inhalte von verschlüsselten Daten noch Benutzerpasswörter kennt, ist die eine Seite. Die andere jedoch besteht aus zahlreichen Stamm- und Metadaten mit Nutzerbezug. So fallen beispielsweise IP-Adressen von den genutzten Geräten an. Deshalb lässt sich eine vollständig anonymisierte Datensynchronisation auch mit Boxcryptor nicht realisieren", gibt die IT-Sicherheitsexpertin zu bedenken. (PSW Group: ra)

eingetragen: 09.03.20
Newsletterlauf: 25.03.20

PSW Group: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser PMK-Verlags-Newsletter
Ihr PMK-Verlags-Newsletter hier >>>>>>


Meldungen: Unternehmen

  • Virtualisierte Workloads betreiben

    Red Hat hat ein Strategic Collaboration Agreement (SCA) mit Amazon Web Services (AWS) unterzeichnet. Dieses baut auf der langjährigen Partnerschaft der beiden Unternehmen auf und erweitert die Verfügbarkeit der Open-Source-Lösungen von Red Hat im AWS Marketplace.

  • Fivetran vereinfacht Datenintegration

    Fivetran, Unternehmen im Bereich modernes Data Movement, erzielte ein Wachstum von 40 Prozent gegenüber dem Vorjahr auf dem Amazon Web Services (AWS) Marketplace. Dies ist auf die steigende Nachfrage von Unternehmen nach künstlicher Intelligenz (KI) und Analysen zurückzuführen.

  • "Red Hat OpenShift Service on AWS"

    Red Hat hat ein Strategic Collaboration Agreement (SCA) mit Amazon Web Services (AWS) unterzeichnet. Dieses baut auf der langjährigen Partnerschaft der beiden Unternehmen auf und erweitert die Verfügbarkeit der Open-Source-Lösungen von Red Hat im AWS Marketplace.

  • Eine führende Kraft in der Cloud

    Cloud-Anbieterin OVHcloud stellte auf dem OVHcloud Summit 2024 ihre neuesten Innovationen vor. Die Veranstaltung brachte ein breites Ökosystem von Entscheidungsträgern und Technologieexperten in der Maison de la Mutualité in Paris zusammen.

  • Kontinuierliche Risikobewertung

    Trend Micro, Anbieterin von Cybersicherheitslösungen, baut ihr Angebot für Managed Service Provider (MSPs) weiter aus. Die Plattform "Trend Vision One for Managed Service Providers" stellt ihnen umfassende Funktionen zur Erkennung und Abwehr von Bedrohungen bereit und unterstützt sie dabei, ihren Kunden einen proaktiveren Sicherheitsansatz zu bieten.

  • Transparenz der zu erwartenden Kosten

    Nutzer der "Ionos Cloud"-Angebote können ab sofort die Kosten ihrer Virtuellen Data Center (VDC) vor Bereitstellung kalkulieren. Die neue Anwendung ermöglicht volle Transparenz der zu erwartenden Kosten und ist damit eine wichtige Entscheidungsgrundlage für die Nutzung der Ionos Cloud.

  • Betrugs- und Risikoschutz

    Ping Identity, Anbieterin für die Sicherung digitaler Identitäten, hat wichtige Wachstumsmeilensteine erreicht, darunter ein Jahr-für-Jahr-Wachstum von 31 Prozent bei den Software-as-aService (SaaS)-Angeboten und die Annäherung an 800 Mio. USD Annual Recurring Revenue (ARR), was die Marktführerschaft im Bereich Identitätslösungen weiter festigt.

  • AWS-Migration und -Modernisierung

    Precisely, Anbieterin von Datenintegrität, hat bekannt gegeben, dass sie den Amazon Web Services (AWS) Migration and Modernization Competency Status für AWS Partner erreicht hat.

  • Privilegierte Zugriffe zuverlässig identifizieren

    CyberArk ist eine Partnerschaft mit dem Cloud Security Provider Wiz eingegangen. Beide wollen das Sicherheitsniveau in Multi-Cloud-Umgebungen deutlich verbessern. Sie liefern Unternehmen vollständige Sichtbarkeit und Kontrolle über die privilegierten Zugriffe von Menschen und Maschinen in der Cloud - und das, ohne die Geschwindigkeit und Skalierung der Cloud-Anwendungsentwicklung zu beeinträchtigen.

  • Cloud Native Security

    Die Cloud Native Computing Foundation gibt die Graduierung des "cert-managers" bekannt. cert-manager unterstützt Cloud Native-Entwickler bei der Automatisierung der Ausstellung und Erneuerung von Transport Layer Security (TLS)- und Mutual Transport Layer Security (mTLS)-Zertifikaten.

Sicherheit in Azure-Cloud-Umgebungen Rising Star im IaaS-Markt

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen