Vollständige Kontrolle über Verschlüsselung von Dokumenten in der Cloud
Released on 17. März 2017
Unternehmen können mit „Fabasoft Secomo as a Service“ Dokumente in der Fabasoft Cloud kontrolliert Ende-zu-Ende verschlüsseln und externe Partner auf Basis dieses Verschlüsselungsstandards miteinbeziehen.
Ab sofort bietet der Softwarehersteller Fabasoft „Fabasoft Secomo“ für eine echte Ende-zu-Ende-Verschlüsselung von Dokumenten auch „as a Service“ in der Fabasoft Cloud an. Bis dato konnten Unternehmen den von Fabasoft in Zusammenarbeit mit der TU Graz entwickelten Verschlüsselungsstandard als Appliance (Hardware-Software-Kombination) im eigenen Rechenzentrum betreiben. Den Kunden der Fabasoft Cloud Enterprise stehen nun Fabasoft Secomo-Appliances ohne Mehrkosten in den Fabasoft Rechenzentren in Deutschland zur Verfügung. Für die sichere und agile Zusammenarbeit mit externen Partnern werden Dokumente in sogenannten „Teamrooms“ in der Fabasoft Cloud abgelegt. Andreas Dangl, Business Unit Executive Cloud Services von Fabasoft, erklärt, wie Fabasoft Secomo as a Service darauf abgestimmt wurde: „Wird ein externer Partner von einem Benutzer zur Zusammenarbeit in der Fabasoft Cloud eingeladen, so wird nur der Schlüssel für den entsprechenden Teamroom angepasst. Somit können Unternehmen auf der Grundlage höchster Verschlüsselungsstandards einfach und agil mit externen Partnern zusammenarbeiten.“ Firmen erzeugen einmalig selbst einen eindeutigen Organisationsschlüssel, der zu keinem Zeitpunkt die Fabasoft Secomo-Appliances von Fabasoft verlässt. Damit werden alle Teamrooms der eigenen Organisation sowie die darin enthaltenen Dokumente verschlüsselt. „So ist gesichert, dass Kunden der Fabasoft Cloud nicht nur die vollständige Kontrolle über ihre Daten, sondern auch über die Verschlüsselung haben“, erklärt Dangl.
Echte Ende-zu-Ende-Verschlüsselung as a Service
In der Praxis sieht die Nutzung von Fabasoft Secomo as a Service wie folgt aus: Ein Unternehmen möchte sicher und agil mit externen Partnern zusammenarbeiten. Der Austausch von Dokumenten per E-Mail oder über Downloadserver ist unsicher, nicht nachvollziehbar und verletzt die Compliance-Richtlinien in vielen Branchen. Die Firma kauft die benötigte Anzahl von Benutzer-Lizenzen für die Fabasoft Cloud. Beim Einrichten der Organisation wird mit einem Mausklick der sogenannte „Organisationsschlüssel“ erzeugt. Dieser bleibt sicher in der Fabasoft Secomo-Appliance im Fabasoft Rechenzentrum, ist durch ein Hardware-Security-Module geschützt und gewährleistet, dass nur berechtigte Personen im Kontext ihrer Organisationen die mit diesem Schlüssel verschlüsselten Dokumente lesen und bearbeiten können. Alle berechtigten Benutzer des Unternehmens können in der Fabasoft Cloud Teamrooms erstellen – geschützte Projekträume für die Zusammenarbeit über Unternehmensgrenzen hinweg. Bei einem verschlüsselten Teamroom wird auf der Fabasoft Secomo-Appliance ein Teamroom-Schlüssel generiert, der mit dem Organisationsschlüssel geschützt und in der Fabasoft Cloud gespeichert wird. Jedes Dokument, das in diesem Teamroom erstellt wird, wird mit einem eigenen Dokument-Schlüssel codiert. Bei jeder Änderung wird ein neuer Dokument-Schlüssel generiert. Jeder Dokument-Schlüssel wird mit dem Teamroom-Schlüssel geschützt und mit einer Signatur zur Feststellung der Authentizität der Änderung versehen. Wird ein neuer Benutzer zur Zusammenarbeit in diesen Teamroom eingeladen, so wird nur der Teamroom-Schlüssel geändert. „Mit dem Fabasoft Secomo-Konzept werden die Schlüssel in einem hochsicheren Server getrennt von den Daten verwaltet. Der Organisations-Key verlässt nie die Fabasoft Secomo-Appliance. Die Verschlüsselung findet immer am Endgerät statt. Zu keiner Zeit werden unverschlüsselte Daten übertragen“, fasst Andreas Dangl die wichtigsten Vorteile von Fabasoft Secomo zusammen.
Schlüssel mit der Fabasoft Secomo-Appliance im eigenen Rechenzentrum selbst verwalten
Seit 2015 bietet Fabasoft Unternehmen Fabasoft Secomo als Appliance an, die im eigenen Rechenzentrum betrieben werden kann. Ausfallssicherheit ist dabei durch ein Server-Paar in unterschiedlichen Brandabschnitten gegeben. Bei der erstmaligen Installation erstellt der IT-Administrator des Unternehmens selbst den sogenannten „Master-Key“ des Hardware-Security-Moduls (HSM), mit dem alle weiteren Schlüssel geschützt werden. Die Verschlüsselungs-Keys selbst sind nicht extrahierbar und durch das HSM geschützt. Damit haben gesichert nur berechtigte Personen Zugriff auf die verschlüsselten Dokumente. Fabasoft Cloud Kunden, die die Enterprise-Edition nutzen, können Fabasoft Secomo as a Service ohne zusätzlichen Aufwand oder Kosten innerhalb von Minuten aktivieren oder eine Fabasoft Secomo-Appliance im eigenen Rechenzentrum nutzen.
Ende-zu-Ende-Verschlüsselung auf dem Stand der Technik
Fabasoft Secomo ermöglicht echte Ende-zu-Ende-Verschlüsselung mit einer Schlüssellänge von 4.096 Bit und dem Hash-Algorithmus SHA-512. Die Verschlüsselung erfolgt am Arbeitsplatz oder am mobilen Endgerät und nicht erst in der Cloud. Jede Schlüsseloperation wird durch ein Token aus der Cloud autorisiert. Fabasoft Secomo ist eine Encryption Appliance bestehend aus der Fabasoft Secomo-Software und zwei oder mehreren hochverfügbaren Servern. Die Software verwaltet nur Schlüssel – damit sind Schlüssel und Daten hardwaremäßig getrennt. Das System ist ausfallsicher und durch Hardware-Sicherheitsmodule geschützt, die sich bei nicht autorisiertem Zugriff selbst löschen („Zeroisation“).