Die Zahl der Cyberangriffe steigt. Ziel der Angreifer sind in vielen Fällen Metadaten wie Informationen zum Urheber einer Datei, oder in einigen Fällen sogar Geodaten. Das Wiener Unternehmen MyPrivacy hat eine Lösung entwickelt, die darauf abzielt, sowohl sensible Daten als auch Benutzer in der Cloud umfassend zu schützen. Managing Director Erwin Toplak im Interview. [...]
Immer mehr Unternehmen nutzen Cloud-Dienste. Wie sicher sind diese?
Grundsätzlich sind Cloud-Dienste heute (auch mit der von verschiedenen Anbietern angepriesenen Verschlüsselung) nicht sicher, da die Anbieter zwar die Daten der Kunden, wenn sie einmal in der Cloud sind, verschlüsseln – allerdings nicht die Metadaten. Hier handelt es sich nicht um eine e2e-Verschlüsselung durch den Anbieter, da die Daten erst auf dem Cloud-Server verschlüsselt werden und diese wie auch die Metadaten damit vom Cloud-Anbieter jederzeit eingesehen werden können. Unabhängig von den Daten selbst stellen Metadaten eine wertvolle Quelle für die Erstellung von Verhaltensprofilen, deren Vermarktung und potenzielle Angriffe von Dritten dar.
Welche Arten von Bedrohungen sind in der Cloud derzeit am häufigsten?
Es gibt eine Fülle von verschiedenen Angriffsmöglichkeiten. Diese gehen von Verfahren, die Systeme lahmlegen und/oder blockieren, über Man-in-the-Middle Attacken bis hin zur Vortäuschung von Berechtigungen, IP-Adressen etc., die schlussendlich verschiedene Ziele verfolgen, wie das Kopieren, Verfälschen und Benutzen von Daten bzw. das Lahmlegen der angegriffenen Systeme.
MyPrivacy hat sich auch darauf spezialisiert, die Metadaten wie etwa Informationen zum Urheber einer Datei zu schützen. Welche Daten sind das genau und was macht diese Daten für Kriminelle interessant?
Metadaten beschreiben die Eigenschaften von Daten wie zum Beispiel die Art, die Struktur oder die Bedeutung. Beispiele für Metadaten sind Dateinamen, Dateigrößen, Erstellungsdatum, Autorennamen, Schlüsselwörter und Beschreibungen. In der Regel sind sie in einer separaten Datenstruktur oder einem separaten Dateiformat gespeichert, aber sie können auch innerhalb der Daten selbst enthalten sein. Zu den Metadaten zählen auch Informationen über Zugriffsberechtigungen auf die Daten und über die tatsächlichen Zugriffe der Benutzer bzw. den Austausch der Daten zwischen Benutzern. Für Cyberkriminelle sind Metadaten interessant, da sie für gezielte Angriffe genutzt werden können, Hinweise auf Sicherheitslücken bieten, zur Überwachung dienen und Phishing-Angriffe ermöglichen. Aber nicht nur Cyberkriminelle, sondern auch die Cloud-Betreiber selbst können aus den Metadaten Profit schlagen. So können Cloudanbieter die Metadaten an Dritte für Werbezwecke weiterverkaufen und/oder daraus Verhaltens-profile erstellen.
MyPrivacy hat sich nicht nur auf den Schutz von Metadaten, sondern besonders auf die Anonymität der Übertragung von Daten und deren Schutz schon beim Urheber der Daten spezialisiert. Somit sind Daten und Metadaten in dem Moment geschützt, in dem der Eigentümer diese schützen und/oder teilen möchte.
Sind diese Daten weniger geschützt als zum Beispiel die Finanzdaten?
Ob Metadaten weniger geschützt sind als Finanzdaten, hängt von den Sicherheitsmaßnahmen der jeweiligen Systeme oder Organisationen ab. Finanzdaten werden im Allgemeinen als äußerst sensibel betrachtet. Aufgrund ihres direkten finanziellen Werts und der strengen Regulierungen sind sie oft durch umfassende Sicherheitsmaßnahmen geschützt. Metadaten hingegen, obwohl sie in der Regel keine direkten finanziellen Informationen enthalten, können immer noch eine beträchtliche Menge an wertvollen Informationen über Einzelpersonen oder Organisationen offenbaren. Trotz ihrer Bedeutung werden Metadaten jedoch manchmal als weniger sensibel eingestuft und können daher unter Umständen weniger rigorose Sicherheitsmaßnahmen erhalten, insbesondere wenn die Wichtigkeit ihres Schutzes unterschätzt wird.
Was macht die Lösung von MyPrivacy und warum sollten sie Unternehmen nutzen?
Die Lösung SafeSpace von MyPrivacy dient zur Absicherung und Übertragung von sowohl Daten als auch Metadaten in einer Cloud-Infrastruktur, um auf Basis von Zero Knowledge Proofs auf die Daten anonym zugreifen und diese anonym teilen zu können. Die Daten werden am Device des Dateneigentümers e2e verschlüsselt, über einen Online-Dienst (Cloud) anonym übertragen, gespeichert und gegebenenfalls mit berechtigten Dritten geteilt, wobei weder Cloud-Service-Anbieter noch unberechtigte Dritte (Hacker, etc.) Zugriff auf die geschützten Daten haben. Um höchstmögliche Sicherheit zu gewährleisten, wurde neben der e2e-Verschlüsselung unter anderem auch „Chunking“ (teilt Daten in Blöcke gleicher Größe und verschleiert Inhalt und Struktur der Daten) verwendet, welches verhindert, dass Cloud-Service-Anbieter und/oder unberechtigte Dritte etwas über den Inhalt, die Struktur der Daten oder die Benutzer, die darauf zugreifen, erfahren.
Wie beurteilen Sie das Bewusstsein der Unternehmen bzw. der Entscheider beim Thema Cloud-Security? Gibt es hier Nachholbedarf?
Viele misstrauen der Cloud. Andere verlassen sich auf die Angaben der Cloud-Service-Provider. Viele kennen die Probleme mit der durch Cloud-Anbieter angebotenen Verschlüsselung nicht. Insbesondere die Schwachstelle, die durch die Einsehbarkeit der Metadaten besteht, ist vielen nicht bekannt. Daher gibt es zu den oben genannten Themen jedenfalls Nachholbedarf.
Wie sollte eine den aktuellen Bedrohungen gemäße Security-Strategie von Unternehmen aussehen?
Viele Firmen setzen auf einen reaktiven Ansatz, welcher bedeutet, Maßnahmen nach einem Angriff zu setzen. Mit MyPrivacy SafeSpace setzt man auf einen proaktiven Ansatz, welcher das Schützen vor einem Angriff bedeutet.
Wie sieht die Strategie von MyPrivacy aus? Wie verläuft das Jahr bisher und was sind Ihre Pläne für 2023?
Das Jahr war bisher geprägt davon, SafeSpace ausgiebig zu testen und auf den Markt vorzubereiten. Die Strategie sieht nun vor, dass MyPrivacy die bestehenden Produkte primär über Systemintegratoren bzw. Applikationsentwickler und -anbieter vermarktet. In Q3 beginnen wir mit der massiven Vermarktung in der DACH-Region.
Be the first to comment