Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Persönliche Daten schützen
Geschrieben: 05.10.2018
Letzte Überarbeitung: 10.01.2023
Stichwörter: Sicherheit
Wichtigste Daten ohnehin durch key.matiq geschützt
Wenn unsere Kund*innen in key.matiq-Boxen Kennworte und andere Geheimnisse über als verschlüsselt markierte Felder ablegen, dann hat niemand sonst lesenden Zugriff darauf, auch keine matiq-Mitarbeiter*innen. Den Schlüssel zum Lesen hat nur die jeweilige Box-Besitzer*in und key.matiq entschlüsselt ihr diese Daten auf Anforderung, ohne dass ein Mensch dazwischen gehen kann. Diese durch das Hauptkennwort der Benutzer*in verschlüsselten Geheimnisse könnte man als "Geheimnisse erster Ordnung" bezeichnen.
Geheimnisse zweiter Ordnung
Aber es gibt auch Geheimnisse "zweiter Ordnung", d. h. Daten, die nicht nur der Kund*in zur Verfügung stehen, sondern auf die auch matiq-Mitarbeiter*innen bei Bedarf zugreifen können müssen, aber die, da es sich um personenbezogene Daten handelt, dennoch sensibel sind. Unbefugte dürfen sie keinesfalls abgreifen können. Das sind z. B. Daten über Einzahlungen, aber auch z. B. die Box-Namen, die E-Mail-Adressen und natürlich auch die Box-Daten, die nicht als Kerngeheimnisse (wie z. B. Kennwörter) gelten, sondern als Begleitdaten (wie z. B. E-Mail-Adresse, URL, Notizen).
Warum verschlüsselt key.matiq die Begleitdaten nicht gleich zusammen mit den Kerngeheimnissen?
Weil es die Gefahr des Vergessens des Hauptkennworts gibt. Passiert das tatsächlich, kann die Besitzer*in einer Box alles mit Ausnahme der besonders geschützten Teile zurück erhalten. Der Schaden ist dann viel geringer, da eine Übersicht besteht, welche Kennworte verloren gingen. Die Box-Besitzer*in kann dann z. B. von seinen Internet-Shops neue Kennworte anfordern.
Auch bei einer Hinterlegung des Hauptkennworts macht es Sinn, die Box nicht komplett zu verschlüsseln. Denn im Verlustfall muss die Eigentümer*in der Box ja beweisen, dass diese Box ihr wirklich gehört. Und falls unser Support gefragt ist, das zu überprüfen, kann das dann z. B. über eine Inspektion unverschlüsselter Daten erfolgen. So wie man im Fundbüro, wenn man eine Tasche wieder haben will, zum Beweis der Eigentümerschaft erzählen muss, was in der Tasche ist, und das dann auch überprüft wird.
Andere Daten müssen für matiq-Mitarbeiter*innen zugänglich bleiben, weil sie z. B. bei einer Prüfung durch das Finanzamt möglicherweise vorgelegt werden müssen. Oder weil die Kund*innen per E-Mail über Ereignisse benachrichtigt werden wollen.
Gerade die Klassifizierung von Daten hinsichtlich der Geheimhaltungsbedürftigkeit, erlaubt es, eine besonders sichere Infrastruktur aufzubauen. Für die kritischten Daten ausgerichtet auf höchste Sicherheit, für unkritische Daten auf rasche Verfügbarkeit und für Daten dazwischen auf optimale Kompromisse.
Warum auch Geheimnisse zweiter Ordnung besonders geschützt werden sollten
Der Zugriff auf den key.matiq-Server ist natürlich auf unsere unsere Mitarbeiter*innen beschränkt. Aber: Der Server ist nicht einfach ein Gerät in unserem Rechenzentrum mit Wachleuten, die rund um die Uhr den Computer bewachen. Eine solche Aufgabe lassen wir lieber durch eine darauf spezialisierte Firma ausführen. Das ist sicherer, denn dabei könnte man auch Fehler machen. In solchen Fällen ist es klüger, externe Kompetenz einzukaufen, alles es selber machen zu wollen.
Wir mieten den Server von der Hetzner Online GmbH. Hetzner Online garantiert uns, dass keiner ihrer Mitarbeiter*innen Daten von unserem Server abgreift. Hetzner Online wurde dafür seit 2016 nach den Anforderungen an ein Informationssicherheitsmanagementsystem gemäß DIN ISO/IEC 27001 zertifiziert. Infrastruktur und Betrieb der deutschen Rechenzentren Hetzners (Nürnberg und Falkenstein/Vogtland) wurden durch die FOX Certification geprüft. Unsere Server für key.matiq laufen ausschließlich in diesen Rechenzentren.
Aber es gibt das Prinzip der "Security in Depth". D. h. man sollte auch immer daran denken, was passiert, wenn eine Sicherheitsebene versagt. Und man sollte schauen, ob es nicht eine Möglichkeit gibt, solche Vorfälle aufzufangen, ohne dass Schaden entsteht.
Dass solche Vorsorge keineswegs übertrieben ist, zeigt der Fall eines US-Password-Managers, der mehrfach Hacker*innen-Einbrüche zugeben musste und dem dabei u. a. E-Mail-Adressen seiner Kund*innen entwendet wurden, auch wenn die eigentlichen Passwortcontainer wohl nicht geknackt werden konnten.
Wie sieht bei key.matiq dieser zusätzliche Schutz aus?
Wir lagern alle sensiblen Daten auf verschlüsselten Platten. Das bedeutet, dass im ausgeschalteten Zustand des Servers kein Mensch, der nicht über den Schlüssel verfügt, die Daten abrufen kann.
Nur im eingeschalten Zustand, nach dem Server-Boot und der Entsperrung der verschlüsselten Platten, können Programme des Servers diese Daten lesen und bearbeiten.
D. h. nur jemand, der sich auf dem laufenden Server anmelden kann oder den Schlüssel der verschlüsselten Platten kennt, kommt an die Daten. Wer sich nur illegal eine Kopie der Serverplatte beschafft, dem fehlt der Schlüssel und sie oder er kann daher auf die sensiblen Daten nicht zugreifen.
Wie funktioniert dann der Boot-Vorgang?
Das ist die eigentlich spannende Frage. Beim Booten wird ja der Schlüssel für die verschlüsselten Platten benötigt, sonst können die Server-Prozesse von key.matiq nicht auf die Datenbank zugreifen.
Der Schlüssel für die verschlüsselten Platten darf keineswegs im Klartext auf dem Server liegen. Es ist also nötig, dass bei jedem Boot-Vorgang von außen das nötige Kennwort eingegeben werden muss.
Boot-Vorgänge können auch von Hetzner im Rahmen ihrer Wartungsarbeiten angestoßen werden. Oder sie sind nötig, weil automatische Sicherheitsupdates das erfordern. Reboots können also durchaus überraschend erfolgen oder zumindest erforderlich werden.
Wie wird die Verfügbarkeit des key.matiq-Dienstes aufrecht erhalten?
Nun, wir haben ja auch mal frei. Wie also geben wir das geheime Kennwort zum Entsperren der verschlüsselten Platten ein, wenn alle unsere Mitarbeiter*innen gerade am Strand liegen oder in der Disko tanzen oder sonstwie ihre Freizeit verbringen?
Die Lösung ist eine eigene Web-App
Diese darf nur minimale Resourcen benötigen, insbesondere keine, die auf den verschlüsselten Platten liegen.
Deren Server-Prozess wird beim Boot-Vorgang gestartet und schickt an mehrere Mitarbeiter*innen eine Nachricht, die z. B. vom Smartphone aus abgerufen werden kann. Liest eine Mitarbeiter*in diese Mitteilung, ruft sie über den Browser die Web-App auf und gibt über den Browser das benötigte Kennwort ein.
Voilà! Jetzt entsperrt die Web-App mit dem Kennwort die verschlüsselten Platten, und all die anderen Prozesse, die auf diese Platten warten, können loslegen. Und der Server ist wieder funktionsfähig.
Natürlich gibt es eine Reihe von weiteren Details zu beachten, um es potentiellen Angreifer*innen schwer zu machen. Das fängt bei der allgemeinen Zugriffssicherung des Servers an, geht weiter über die Verschlüsselung von Backups und erstreckt sich auch auf die Sicherheit der Geräte, von denen aus unsere Mitarbeiter*innen auf den Server zugreifen, usw. usf.
Mit diesem Artikel ging es mir jedoch darum, schlaglichtartig aufzuzeigen, dass es durchaus möglich ist, Funktionsfähigkeit und Sicherheit bei erträglichen Kosten zusammenzubringen.