Durch das Schrems II Urteil gab es neue Herausforderungen für viele Organisationen. Doch was bedeutet das konkret? Mit dem Urteil wurde das Privacy Shield gekippt und die Vereinbarung mit den USA für nicht rechtens erklärt. Auf Grund des Cloud-Acts können amerikanische Firmen auf europäische Daten zugreifen. Nun ist es wichtig, dass die Rechte der EU-Bürger auf der EU-Ebene durchsetzbar bleiben. Cloud-Service-Provider stehen vor der Aufgabe, auf der einen Seite das amerikanische, auf der anderen Seite das europäische Recht einzuhalten. Jedoch müssen sie nach US-amerikanischem Recht auf die Daten zugreifen, was in der EU nicht gestattet ist und daher die beiden Rechte nicht in Einklang bringen.
Im November 2020 hat das europäische Data Detection Board dem europäischen Datenschutzausschuss Empfehlungen ausgesprochen, wie mit diesem Konflikt umgegangen werden sollte. Demnach sollte zunächst geprüft werden, inwieweit die Garantien der EU eingehalten werden können, also beispielsweise, dass Rechtsmittel eingelegt werden können. Sollte dies nicht möglich sein, müssen weitere Schutzmaßnahmen ergriffen werden. Hierzu gehört eine starke Verschlüsselung. Dabei muss jedoch der Schlüssel zur Verschlüsselung selbst getrennt vom Service-Provider gehalten werden. Die größte Herausforderung in diesem Zusammenhang ist, dass die Hyper-Scaler selbst auf die Daten gelangen – dies müssen sie nach US-Recht. Und genau an diesem Punkt wird der Konflikt zwischen EU- und USA-Recht deutlich.
In der EU herrscht Datensouveränität, während Regierungsinstanzen in den USA dazu in der Lage sein müssen, auf die Daten zugreifen zu können, wenn dies verlangt wird. Europäische Cloudstrukturen sind zumeist so ausgelegt, dass der Provider selbst nicht in der Lage ist, auf die Daten zuzugreifen. Die beiden Aspekte – wie können Daten geschützt werden und wie erlangt man Unabhängigkeit – gilt es zu wahren. Gelingt dies, kann ohne große Probleme der Cloudanbieter gewechselt werden. Die Angst, er könnte dennoch auf die Daten zugreifen wäre dann unbegründet, wenn es gelingt, die Hoheit über die eigenen Informationen in der Cloud zu behalten. Bring-your-own-Key ist an dieser Stelle das Schlüsselwort.
Ein gutes Beispiel ist die Integration von Thales Hardware Security Modulen (HSMs) mit Microsoft Double Key Encryption, welche es Unternehmen ermöglicht, die Daten ihrer Kunden in Microsoft 365-Anwendungen zu schützen und gleichzeitig die Kontrolle über ihre kryptografischen Schlüssel zu behalten. Dabei werden die Schlüssel in der Cloud von Microsoft selbst verschlüsselt. Dies verhindert, dass Microsoft Zugriff auf die Daten erhält. Zusammen mit Google hat Thales die Möglichkeit des externen Key-Managers geschaffen. Google bietet damit eine Schnittstelle für eine getrennte Schlüsselverwaltung. Das Unternehmen kann dadurch nicht mehr auf die Schlüssel und in der Folge auf die Daten zugreifen.
Thales verwendet Verschlüsselungsalgorithmen
Das Unternehmen beobachtet im Umfeld ihrer Kunden zwei grundlegende Entwicklungen. Zum einen werden die Schlüssellängen erweitert. Bei RSA, also dem Algorithmus zum Austausch von Schlüsseln ist bereits jetzt zu beobachten, dass eine 296 BIT-Verschlüsselung zum neuen Standard reift. Es gleicht einem Katz- und Mausspiel, denn mit zunehmender Rechenkapazität werden aktuelle Methoden unsicherer. Mit der neuen Verschlüsselungslänge sollte jedoch für eine Weile Sicherheit gewährleistet sein.
Das Stichwort Quantum Computing ist Stand heute noch weit entfernt. Nichtsdestotrotz sollten heutige Daten, welche auch in ferner Zukunft gesichert und verschlüsselt bleiben sollen, bereits heute entsprechend abgesichert werden. Aus diesem Grund spielt das Thema Quantum Computing bereits in die heutigen Überlegungen mit ein. Thales bietet beispielsweise Quantum-sichere Algorithmen an. Bei dem Schlüsselaustausch wird konkret nicht mehr auf das Zerlegen von Primzahlen gesetzt. Die Herausforderung ist heute, dass nicht absehbar ist, welche Verschlüsselung sich auf Dauer durchsetzen wird. Thales sieht bereits jetzt in unserer Kundenlandschaft wachsendes Interesse an dieser Thematik. Wichtig ist, dass dies für asymmetrische Verschlüsselungsverfahren gilt. Symmetrische Verschlüsselung hingegen ist sehr stabil – sogar der erste AES Standard mit 128 BIT ist nach wie vor als sicher einzustufen. Schlussendlich bereitet sich Thales Anbieter bereits heute auf die Zukunft vor.