Wir alle arbeiten nicht selten mit sensiblen Daten. Das fängt bei unseren eigenen persönlichen Daten an und reicht bis zu noch nicht veröffentlichten wissenschaftlichen Daten, welche nicht unverschlüsselt kursieren sollten.
Gerade das Speichern von Daten auf Cloud-Servern und Netzlaufwerken stellt eine Herausforderung für die Sicherheit und Integrität dar. Insbesondere ist dies der Fall, wenn diese Daten mit mehreren Personen geteilt werden. Aus diesem Grund haben sich unsere Experten am IT Center auf die Suche nach einer geeigneten Lösung für die Nutzenden an der RWTH gemacht, um die Verschlüsselung auf der einen Seite so sicher wie möglich und die Handhabung auf der anderen Seite so einfach wie möglich zu gestalten.
Als geeignetes, eigenständiges Softwareprodukt haben sie Boxcryptor ermittelt. Dabei handelt es sich um eine Softwarelösung, die unabhängig von dem genutzten Cloud-Speicher nicht nur eine höhere Sicherheit für abgelegte Daten erreicht, sondern auch das gemeinsame Arbeiten mit mehreren Personen an jenen Daten auf einfache Weise ermöglicht.
Wie das zukünftig an der RWTH funktioniert, erfahrt ihr in diesem Blogbeitrag.
Wie funktioniert Boxcryptor
Bei der Verschlüsselung von Dateien mit einem asynchronen Verfahren verhält es sich wie mit der Verschlüsselung von E-Mails. Mit Hilfe eines privaten und eines öffentlichen Schlüssels können Dateien entsprechend ent- bzw. verschlüsselt werden, sodass nur die gewünschten Personen Zugang zu diesen Daten haben. Da hierbei die entsprechenden Schlüssel allen Beteiligten zugänglich gemacht werden müssen, steigt die Komplexität mit der Anzahl an Personen, die Zugriff auf die Daten haben sollen.
Das Schlüsselmanagement übernimmt hier Boxcryptor. Die Secomba GmbH, die Boxcryptor entwickelt, vertritt dabei die Zero-Knowledge-Philosophie und hat damit zu keinem Zeitpunkt Zugriff auf private Schlüssel, deren Passphrase oder die im Cloud-Speicher abgelegten Daten der Nutzenden. So kann beispielsweise im Fall von Personalfluktuation die Software genutzt werden, um eine sichere Verschlüsselung zu gewährleisten. Änderungen in Kooperationen wie beispielsweise in Projekten werden ermöglicht und somit sicherer.
Welchen Mehrwert hat Boxcryptor für die RWTH?
Das gemeinsame Arbeiten an verschlüsselten Dateien im Hochschulkontext der RWTH wird maßgeblich vereinfacht, da die persönliche Weitergabe von Schlüsseln entfällt. Zudem wird hier ein einheitliches Verfahren verwendet, sodass alle Partizipierenden den gleichen, einfachen Einstieg haben. Durch die vereinfachte Nutzung –im Vergleich zum asynchronen Verfahren, wird hiermit eine höhere Akzeptanz geschaffen für die Ver- und Entschlüssselung von Daten. So wird beim Austausch von Daten innerhalb einer Kooperation nicht nur die Nutzung einfacher, sondern auch die Sicherheit erhöht.
Da die gemeinsam genutzten Daten des Weiteren unabhängig von dieser Anwendung verwaltet werden, wird zum Beispiel der Zugriff auf den Cloud-Speicher separat geregelt. Auf diese Weise wird hier ein mehrschichtiger Schutz vor unberechtigter (Weiter-) Nutzung aufgebaut.
Unverschlüsselte Daten auf Netzlaufwerken und Cloudspeichern bergen ein gehöriges Gefahrenpotenzial. Mit einer Lösung wie Boxcryptor wird das Kompromittieren, also einem Missbrauch an Daten, effizient vorgebeugt. Für die Nutzung von Boxcryptor sind keine gesonderten IT-Kenntnisse erforderlich. Die Software ist auf den gängigen Gebrauch Dateiverschlüsselung ausgelegt und überzeugt durch die einfache Handhabung.
Wir haben für euch auf IT Center Help die wichtigsten Infos zusammengefasst und natürlich auch Anleitungen zur Installation und Nutzung bereitgestellt.
Im Video der Secomba GmbH wird anschaulich dargestellt, wie Boxcryptor funktioniert, auf welchen Geräten es verwendet werden kann und, welche Vorteile die Nutzung mit sich bringt. Schaut selbst einmal rein.
Hier findet ihr das Tutorial auf Youtube.
Wie haltet ihr es mit der Verschlüsselung von Daten auf Cloudservern und Netzlaufwerken? Und wie wichtig ist euch Dateiverschlüsselung und Sicherheit?
Lasst es uns gerne wissen. Wir freuen uns über eure Kommentare.
Verantwortlich für die Inhalte dieses Beitrags sind Alexander Fassbender, Nicole Filla, Bernd Kohler und Nils Neumann.
Moin.
Ist eine Übersicht über die betrachteten Software-Pakete und die relevanten angewandten Kriterien verfügbar?
Im Speziellen würde mich interessieren, welche Gründe dagegen gesprochen haben, die Entwicklung freier Software (z.B. https://github.com/cryptomator/cryptomator#) zu unterstützen (und stattdessen auf eine proprietäre Lösung zu setzen, die eine Registrierung beim Anbieter erfordert).
Weiterhin wäre interessant, ob die Nutzbarkeit unter Linux (vgl. help.itc: „Die portable Version von Boxcryptor kann zwar auf Linux-basierten Systemen installiert werden, allerdings kann sie nicht in Verbindung mit sciebo genutzt werden.“) überhaupt betrachtet, oder allgemein als irrelevant angesehen wurde.
Hallo Richard,
vielen Dank für deinen Kommentar.
Der Cryptomator bietet keine Möglichkeit zum gemeinsamen Arbeiten an verschlüsselten Daten. Dies ist jedoch bei Boxcryptor gegeben.
Zur Nutzbarkeit von Linux liegen uns nur wenige Erfahrungswerte vor. Wir können jedoch sagen, dass die Firma Secomba an einer weiteren Lösung mit mehr Features für Linux-Nutzende arbeitet.
Wir hoffen, dass wir deine Frage beantworten konnten. Wenn wir dazu noch mehr Informationen einholen sollen, lass uns dies gerne wissen und wir leiten deine Anfrage weiter an die zuständige Fachabteilung.
Viele Grüße
Das IT Center Blog Team
Wie wurde die Sicherheit der Verschlüsselung überprüft? Boxcryptor ist kein Open-Source-Programm; hat die RWTH Zugriff auf den Quelltext bekommen? Andernfalls halte ich es für fahrlässig, an dieser Stelle die Illusion von Sicherheit für sensible Daten zu schaffen. Vielmehr sollte auf der Nutzung von Sciebo für interne Daten bestanden werden. Wo das bisher nicht möglich ist, könnten geeignete Erweiterungen des Dienstes vorgenommen werden.
Hallo Erich,
vielen Dank für deinen Kommentar. Die unabhängige Firma Kudelski Security hat im Frühjahr den Boxcryptor-für-Windows-Code überprüft. Mehr Informationen hierzu gibt es unter: https://www.boxcryptor.com/de/blog/post/security-audit/
Viele Grüße
Dein IT Center Blog Team