Eine unternehmensweite Cloud-Nutzung erfordert starke Verschlüsselungsmaßnahmen. Verschiedene Verordnungen wie die EU-DSGVO, die EU-Standardvertragsklauseln oder verbindliche unternehmensinterne Vorschriften fordern von Unternehmen, „geeignete technische und organisatorische Maßnahmen zum Schutz von Daten“ zu treffen. Über die reine Verschlüsselung hinaus betrifft dies auch, wo Verschlüsselungsschlüssel gespeichert und verwaltet werden und auf welche Weise der Zugriff auf sie erfolgt.
AWS bietet auf seiner Plattform ein umfangreiches Portfolio an Sicherheitsdienstleistungen. Zur Verschlüsselung werden z. B. der Key Management Service (KMS) und die Cloud Hardware Security Modules (HSM) als Plattformdienste angeboten. Allerdings erfüllt dieser praktische Ansatz in der Regel nicht die behördlichen Auflagen, vor allem, wenn es um Workloads für Kunden in regulierten Branchen oder die Verarbeitung sensibler Daten geht. Außerdem möchten viele Cloud-Benutzer interne Richtlinien einhalten, um unternehmenseigene Daten zu schützen. Die Schlüssel zentral auf der Plattform des Cloud-Anbieters zu verwalten ist nicht ausreichend, um das gewünschte Niveau an Kontrolle über die Daten zu erzielen.
T-Systems und AWS haben gemeinsam das externe Schlüsselmanagement „External Key Management for AWS“ (EKM) entwickelt, um die Herausforderungen der sicheren Speicherung und Verwaltung zu meistern sowie den Schutz kryptographischer Schlüssel für die Kodierung und Authentifizierung zu gewährleisten. Darüber hinaus lassen sich so weitere Sicherheitsfunktionen adressieren und EU-Vorgaben einhalten. Schlüsselmanagement und Nutzung von Cloud Services werden dabei voneinander separiert. Kunden des Hyperscalers erfüllen somit die regulatorischen Anforderungen, können sich auf ein hohes Sicherheitsniveau verlassen und das Innovationspotenzial der AWS-Cloud voll und ganz nutzen. Die Bereitstellung der voll skalierbaren Lösung erfolgt von einem T-Systems Rechenzentrum in Frankfurt aus. Für ein optimales Benutzererlebnis ist EKM nahtlos mit AWS integriert. Außerdem ermöglicht die Lösung eine Ende-zu-Ende-Protokollierung und -Überwachung des Schlüsselzugriffs und ist somit vollständig auditierbar.
EKM wird als Modul im Rahmen von Data Protection as a Managed Service (DPaaS) angeboten. Kunden können EKM jedoch auch als eigenständiges Angebot für ihre AWS-Nutzung erwerben. T-Systems bietet als AWS Premier Consulting Partner mit zusätzlicher AWS-zertifizierter Kompetenz für Sicherheitsdienstleistungen langjährige Expertise im Bereich Cloud Security.
Wir bei ITONICS nehmen die DSGVO-Compliance sehr ernst. Deshalb suchten wir mit Blick auf das Schrems-II-Urteil nach Wegen, unsere Daten mit Keys zu verschlüsseln, die innerhalb der EU verwaltet werden. Wir freuten uns daher, dass wir zum Beta-Programm für den Key Management Service der Deutschen Telekom eingeladen wurden, um die Integration mit verschiedenen AWS-Services zu testen. Die Ergebnisse dieser Tests waren positiv, und wir gehen nun zur Implementierungsphase des Projekts über.