Anzeige
SECURITY31. Juli 2014

Zero Knowledge wird zum Datentransfer-Gütesiegel

Quelle: Imilian/bigstock.com
Quelle: Imilian/bigstock.com
Edward Snowden betont, wie wichtig es ist, sensible Daten nur Unternehmen anzuvertrauen, die auf „Zero-Knowledge-Technologie“ setzen. Es ist absehbar: Der Begriff “Zero Knowledge” wird bei der Datensicherheit zu einer Art des neuen Gütesiegels. 

Zero Knowledge wurde vom NSA-Spezialisten Snowden persönlich empfohlen – und wenn einer weiß, wie man maximale digitale Sicherheit gewährleistet, dann offenbar er. Doch nicht nur die Empfehlung von professioneller Seite überzeugt, auch das Prinzip an sich ist schlüssig.

Presseinformationen und -mitteilungen mit Bezug auf Edward Snowden und „Zero-Knowledge”-Technologie laufen derzeit auf Rekordniveau bei uns ein. So auch von dem VDR-Anbieter FTAPI Software aus München – einer Tochter der QSC AG. Für das Unternehmen sei Zero-Knowledge schon seit 2010 Standard, sagt Pressesprecher Max Sperber.

Stephan Niedermeier
Stephan Niedermeier
Ich war von Anfang an überzeugt davon, dass man den Kunden ein maximales Maß an Privatsphäre zusichern muss. Wer das in dieser sensiblen Branche nicht tut, kann nicht erwarten, dass Kunden sich auf sein Produkt verlassen.“
Stephan Niedermeier, Gründer und CTO von FTAPI

Sichere, virtuelle Datenräume (VDR)
– also das Gegenteil von Dropbox

Anders als beim in die Kritik geratenen Cloud-Speicherdienst Dropbox haben Zero-Knowledge-Anbieter keinerlei Möglichkeit auf Dateien ihrer Kunden zuzugreifen. Voraussetzung dafür ist, dass die Daten auf den Firmenservern verschlüsselt bleiben, und das Unternehmen nicht an den zur Umwandlung nötigen Key herankommt. Anders ausgedrückt: Man sollte seine sensiblen Daten nur Firmen anvertrauen, denen man eigentlich gar nicht vertrauen muss.

Nur bereits verschlüsselte Daten verlassen den Rechner

Um Zero-Knowledge richtig zu machen ist der erste Schritt der Wichtigste: Die Daten der Kunden werden bereits auf deren Gerät verschlüsselt, bleiben es während der Ablage auf dem Server und werden erst beim Empfänger wieder in Klartext umgewandelt. Diese Art der Ende-zu-Ende-Verschlüsselung wird von Experten wie dem Computer Chaos Club (CCC) übereinstimmend als wirksamstes Mittel gegen Cyberkriminalität und Überwachung angesehen.
Bekannte Verschlüsselungsmethoden wie PGP oder S/Mime ermöglichen diese Art der Verschlüsselung zwar, sind jedoch häufig in der Handhabung für gewöhnliche Anwender zu kompliziert. Aus diesem Grund braucht es Lösungen, die einfach aussehen und sich unauffällig ins System integrieren.

Zero-Knowledge muss für Anwender unfühlbar funktionieren

FTAPI hat sich, nach eigenen Angaben, das Ziel gesetzt, den sicheren geschäftlichen Datenaustausch so leicht zu machen, dass er gar nicht auffällt. Und das scheint ihnen gelungen zu sein. Das verschlüsselte Versenden einer Datei funktioniert mit ein paar Klicks und ist dank eines Plug-ins auch aus Outlook heraus möglich. Dank einer Kombination von AES-256 mit RSA-4096, sowie dem Einsatz des Diffie-Hellman-Verfahrens, kann die Verschlüsselung nach aktuellem Stand der Technik eigentlich nicht geknackt werden. Der Trick ist der automatisierte Schlüsselaustausch – der bei anderen Verfahren regelmäßig aufwendig ist: FTAPI nennt die Austauschtechnologie SecuPass (und hält ein Patent dazu).

Die FTAPI-Lösung kurz angetestet

Mails mit Anhängen lassen sich in vier Stufen versenden - ab Sicherheitsstufe 3 ist ein Verschlüsselungsprogramm notwendig.
Mails mit Anhängen lassen sich in vier Stufen versenden – ab Sicherheitsstufe 3 ist ein Verschlüsselungsprogramm notwendig.

Die Lösung von FTAPI gliedert sich in zwei Teile: Einen Web-Teil und eine Java-APP. Das Weblogin mit Sende- und Empfangslösung ist über eine SSL-Verbindung abgesichert. Darüber lassen sich mit geringstem Aufwand Dateien anderen bereitstellen.
1In Stufe 1 erhält der Empfänger eine herkömmlichen E-Mail, die den unverschlüsselten Nachrichtentext und einen Link für das Webportal enthält, von dem jedermann die Datei unverschlüsselt (aber via SSL) herunterladen kann.
2Stufe 2 ist im Prinzip gleich, nur das der Empfänger ein Konto bei FTAPI besitzen muss, über dass er dann die Datei herunterladen kann.
3Für Stufe 3 wird dann das Java-Zusatzprogramm benötigt, über das die an eine E-Mail angehängten Dateien verschlüsselt werden. Das notwendige Schlüsselpaar wird in der Anwendung erzeugt und übertragen.

4Schließlich – auf Stufe 4 – erhält der Empfänger nur noch eine Benachrichtigung, dass eine Mail für ihn vorliegt. Er erfährt von wem die Nachricht stammt, die Betreffzeile und die angehängten Dateien (im Klartext) heißen. Um die Daten herunterzuladen muss er sich dann einloggen und die FTAPI-APP starten.

Unklar schien uns im Kurztest, wo, wie und welche Schlüssel abgelegt oder gespeichert werden. FTAPI erklärt die Handhabung der Schlüssel so: Das Schlüsselpaar wird einmal lokal generiert und mit dem eingegebenen SecuPass-Key und AES-256 verschlüsselt. Danach wird der verschlüsselte Privat Schlüssel auf den Server übertragen und kann nur mit dem SecuPass Key entschlüsselt werden – dieser wird niemals an den Server übertragen. Dadurch kann der Server niemals den entschlüsselten Privat Schlüssel kennen, sondern nur den verschlüsselten, aus dem ein Dritter keinen Nutzen ziehen kann. Der Vorteil davon ist, dass Sie den privaten Schlüssel nicht nur auf einem Gerät, sondern von überall nutzen können. FTAPI hat vor, sich dieses Vorgehen von einer neutralen Stelle in Kürze bestätigen zu lassen.

Der versuch, an eine verschlüsselte Datei ohne Login heran zu kommen scheitert.
Der Versuch, an eine verschlüsselte Datei ohne Login heran zu kommen scheitert.
Seit der neuen APP-Version 3.0 ist es übrigens möglich, selbst zu bestimmen, wie lange die versendeten Daten verfügbar sein sollen. Features wie die automatische Empfangsbestätigung schaffen zusätzliche Gewissheit.

Was FTAPI von der Maße abhebt, ist die universelle Verwendbarkeit. Dank der Gast-Accounts, die jedes Unternehmen erhält, funktioniert der sichere Datenaustausch auch mit Partnern und Kunden, die selbst keinerlei Verschlüsselungstechnologie verwenden, ohne Probleme.
Außerdem steht eine Android-APP zu Verfügung mit der ebenfalls auf den virtuellen Datenraum zugegriffen werden kann. 

Fazit unseres Minitests

FTAPI scheint einen wirklich trivialen Weg gefunden zu haben Daten seinem Gegenüber verschlüsselt und sicher bereit zu stellen. Die Handhabung ist wirklich simpel – die notwendige Technik im Hintergrund sicher nicht. Einziger Knackpunkt ist im Moment noch das Schlüsselhandling selber – das sich plausibel anhört, aber erst noch von einer neutralen Stelle überprüft werden muss. Das soll in sehr absehbarer Zeit geschehen.

Ebenfalls positiv: Zudem garantiert das Unternehmen allen Kunden, die sich für die on-demand-Variante entscheiden, dass ihre Daten auf einem dedizierten Server in einem deutschen Rechenzentrum gelagert werden. Für die On-Demand-Dienste ist die Kölner Mutter von FTAPI zuständig: der IT-Dienstleister QSC AG. QSC betreibt zertifizierte Rechenzentren.

„Unsere Lösungen lassen sich in CRM- und ERP-Systeme, etwa SAP und Salesforce sowie in E-Mail-Lösungen wie Outlook einfach integrieren“, sagt FTAPI Technikchef Stephan Niedermeier. Das machen die FTAPI-Lösung offenbar zu einer beliebten Lösung bei mittelständischen und großen Unternehmen – auch aus dem Finanzsektor. Darunter etliche Banken, die nicht genannt werden möchten. Bei sicherheitsrelevanten Themen ist das durchaus üblich und legitim, denn wer verschlüsselt gerät – wie wir mittlerweile wissen – schnell in den Fokus der Geheimdienste.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert