News und Termine

13.11.2018

Verschlüsselt in die Cloud

Cloud-Plattformen sind Kollaborationsbeispiele, die über die Grundfunktionalität von E-Mail und anderen Kommunikationssystemen hinausgehen. Sie ermöglichen eine zeitlich und örtlich unabhängige Struktur, die Teilnehmer*innen schließen sich über Programme zu einem Netzwerk zusammen.

Mathias Tausig

Mathias Tausig © privat


Das Projekt Searchitect überwindet Gap zwischen Usability und Security

Cloud-Plattformen sind Kollaborationsbeispiele, die über die Grundfunktionalität von E-Mail und anderen Kommunikationssystemen hinausgehen. Sie ermöglichen eine zeitlich und örtlich unabhängige Struktur, die Teilnehmer*innen schließen sich über Programme zu einem Netzwerk zusammen. Eine solche Kollaboration wird meistens nur angenommen, wenn die individuellen Vorlieben aller Teilnehmenden berücksichtigt werden und sie davon ausgehen können, dass ihre Daten vertraulich behandelt werden. Auf der einen Seite kümmern sich Menschen um die Aufbereitung von Information, um die Synchronisation des Datenzustandes, über die Kontrolle der Systemressourcen und wer schließlich zur Plattform beitritt. Und die andere Seite tritt erst bei, wenn es absolutes Vertrauen in das System gewinnen konnte und die Abläufe klar nachvollziehbar sind. Kollaboration gelingt mit Kommunikation und mit echter Kooperation, wie das Forschungsprojekt Searchitect der FH Campus Wien zeigt.

Was tun mit den Daten?
Die Daten, darunter auch sensible, die im Äther kursieren und wer tatsächlich darauf Zugriff hat, das weiß kaum jemand. Verschlüsselt man die Daten, dann ginge auch Funktionalität verloren. Große Anbieter wie etwa Google würden sich daran stören, die Daten ihrer Kund*innen nicht mehr lesen zu können. Das Projekt Searchitect des Masterstudienganges IT-Security an der FH Campus Wien widmet sich genau diesem Widerspruch der Usability und Security. Searchitect soll eine Lösung für User*innen sein, ihre Daten - ohne kryptografische Kenntnisse – verschlüsselt in der Cloud abzulegen und dennoch die Volltextsuche in verschlüsselten Dateien zu erlauben, ohne sie entschlüsseln zu müssen. Warum, erklärt der Projektleiter von Searchitect Mathias Tausig: "Viele Informationen will man nicht hergeben, weil die Cloudanbieter*innen die Daten üblicherweise verarbeiten, vor allem, wenn das Angebot gratis ist. Hier geht es um Vertrauen. Mit Searchitect sind auch Anwendungen, die auf eine Suche angewiesen sind, ohne Sicherheits- und Privacyeinbußen realisierbar.“

Einfache Bedienbarkeit mit Browser-Plug-in
Die Idee dazu ist zwar nicht neu. Aber bisher gab es noch keine Lösung, die ohne Kryptokenntnisse einsetzbar war. Tausig erklärt dazu: „Wir entwickeln die Client- und Serverkomponente. Unsere Technologie soll in bestehende Anwendungen integriert werden, unabhängig von den Cloudanbieter*innen. Privacy wird in unserer Gesellschaft immer wichtiger, ohne starke Security ist sie jedoch technisch nicht realisierbar. Erfahrungsgemäß setzen sich vor allem jene Security Technologien durch, die möglichst "usable" sind, also Sicherheit ohne Benutzer*inneninteraktion gewährleisten können.“

Sicherheit für Unternehmen und Endnutzer*innen
Derzeit ist im Projekt, das noch bis Februar 2019 läuft, die Server-Software fertiggestellt und die Client-Software steht kurz vor der Finalisierung. Das Einzigartige daran erklärt Tausig so: Das Schöne am System ist, dass die Nutzer*innen am Ende nur ein Plug-in installieren müssen und dann nichts mehr von der verbesserten Sicherheit mitbekommen. Nach Ablauf des Projektes wird das Framework unter einer Open Source Lizenz öffentlich verfügbar gemacht. Zum Einsatz kommen wird die Lösung vorerst bei Unternehmen, die erhöhte Sicherheitsanforderungen haben. „Endnutzer*innen können es natürlich auch ausprobieren, ich glaube aber nicht, dass sich unser Produkt auf dieser Ebene breitflächig durchsetzen wird. Für Firmen, die nicht die Ressourcen haben, eine eigene Cloud-Lösung zu hosten und die nicht irgendeiner oder irgendeinem Anbieter*in blind vertrauen wollen, ist das aber sicher interessant", erklärt Tausig.