Gesicherter Datenaustausch mit Cryt‘nDrive

15.05.2020

Crypt‘nDrive des Herstellers Lybero.net (https://lybero.net) ist eine browsergestützte Austauschplattform, die sich an Benutzer wendet, die  Wert auf eine gesicherte und verschlüsselte Übertragung legen. Da  hinter der Anwendung Crypt‘nDrive ein anpassbares Framework mit definierten Schnittstellen liegt, besteht die Möglichkeit, dieses (durch den Hersteller selbst) in vorhandene, besonders schutzbedürftige Workflows einbinden und anpassen zu lassen.  Lybero.net ist eine Partnerschaft mit der auf die Sicherheit von IT-Infrastrukturen und Datenerhaltung spezialisierte Hego IT Informationstechnologie GmbH (www.hego-it.com/) eingegangen.

Das Besondere an der Zugriffsteuerung ist hierbei, dass bei der Berechtigungssteuerung nicht der "normale" accountbasierte Weg über Benutzername oder User-ID genutzt wird. Sie basiert auf Verschlüsselungsschlüsseln. Was normalerweise den Austausch von Schlüsseln erfordern würde, löst Lybero.net, indem diese Schlüssel serverseitig abgelegt werden.  Durch einige kryptologische Kniffe kann dann die Rechtesteuerung ermöglicht werden. Hört sich kompliziert an – ist es auch, aber nicht für den Anwender und Admin.

Die Navigation findet vollständig über den Browser statt, ist modern, übersichtlich und weitestgehend eingängig - sie erinnert zunächst an Onedrive oder GoogleDrive:

  • Die wichtigsten Objekt-/Dateifunktionen sind mit der rechten Maustaste erreichbar. Eine Historie oder Versionierung der Dokumente ist nicht aber vorhanden.
  • Dokumente können per "Drag-and-Drop" hinzugefügt werden.
  • Es lassen sich Ordner (und verschlüsselte Container – die "Vaults" – engl. für Bunker) erstellen.
  • Man kann Daten mit internen Benutzern und Gästen teilen.
Screenshot der Bedienoberfläche
Bildquelle: al/TeMedia GmbH

Screenshot der Bedienoberfläche
Bildquelle: al/TeMedia GmbH

Screenshot der Bedienoberfläche
Bildquelle: al/TeMedia GmbH

Screenshot der Bedienoberfläche
Bildquelle: al/TeMedia GmbH

Ordner sind einfache Sammelverzeichnisse. Bei den "Vaults" von CryptnDrive handelt es sich um "Container" mit AES256-Verschlüsselung. Vaults können Dokumente und auch Ordner beinhalten. Man muss sich also schon vor der Nutzung ein paar Gedanken darüber machen, wie man die Berechtigungsstruktur und Ordnung aufbauen will.

Unterstützt werden Chromium Browser (Google Chrome, Chromium, …) und Mozilla Firefox. Microsofts Internet Explorer und Edge in der alten Version werden nicht unterstützt. Aus Sicherheitsgründen sind die beiden Browser ohnehin nicht zu empfehlen. Da die kommenden Versionen von Microsoft Edge auf Chromium basieren werden, hat sich dieses "Problem" aber bald erledigt.

Teilen von Daten ist mit internen Nutzern und mit externen Gästen möglich. Wie bei anderen Plattformen bekommen Eingeladene eine Mail mit Link zur Seite zugesendet. Nach dem ersten Login ist für den Empfänger aber noch kein direkter Zugriff möglich: Der Einladende muss erst noch bestätigen, dass die Person, welche da gerade ein Gastkonto angelegt hat, auch wirklich der gewünschte Empfänger ist. Durch diesen zusätzlichen Sicherheitsmechanismus ist es möglich, z. B. eine Nachfrage per Telefon in den Prozess einzubauen, um die Authentizität des Empfängers abzugleichen. Im täglichen Betrieb ist das tatsächlich nur wenig Mehraufwand, somit durchaus praktikabel und bringt einen erheblichen Zugewinn an Sicherheit.

Benachrichtigungen über verschiedene Ereignisse erfolgen per Mail, oder bei angemeldeten Benutzern über die Nachrichtenfunktion auf  der Webseite.

Die Benutzer werden entweder über die eingebaute Benutzerverwaltung gepflegt, oder man verwendet die unterstützten Verzeichnisdienste:

  • LDAP
  • Active Directory
  • Google oauth2

Die Rechtesteuerung erfolgt idealerweise über Gruppen. Diese Gruppen und sogenannte Quorum-Gruppen werden in der lokalen Benutzerverwaltung angelegt. Mitglieder der Quorum-Gruppen können Freigaben im Vier-(oder mehr)-Augen-Prinzip erteilen, ohne selbst Zugriff auf die Daten zu haben. Hier könnte z. B. im Stammverzeichnis eine Gruppe von Personen berechtigt werden, die für alle abgelegte Daten vertretungsweise Zugriffe freigeben kann.

Mit den "normalen" Gruppen lassen sich ganz klassisch Zugriffsrollen definieren. Die Quorum-Gruppen sind etwas Besonderes: Da das gesamte Berechtigungskonzept auf Verschlüsselung basiert, ergeben sich einige Besonderheiten und Risiken. Etwa bei einem "vergessenen" Passwort: Dieses lässt sich nicht zurücksetzen und damit wären Daten auf, die nur dieser Nutzer Zugriff hatte verloren. Um dem vorzubeugen, gibt es u. a. diese Quorum-Gruppen, welche ja ohne die Inhalte sehen zu können im Vier-Augen-Prinzip Freigaben steuern können und somit eine gesicherte Rückfallebene bilden.

Fazit

Wer eine sichere Lösung mit Verschlüsselung für den reinen Datentransfer benötigt findet mit Crypt’nDrive eine brauchbare Lösung, die bewusst eigene Wege  geht. Das Verhältnis hohe Sicherheit zu Benutzerfreundlichkeit ist gut gelöst. Die Funktionen konzentrieren sich auf das Wesentliche zum Thema Dateitransfer. Als "aktiver" Workspace ist die Lösung nur bedingt geeignet: Dazu fehlen Funktionen wie Daten Online bearbeiten, Offline Synchronisierung und Dokumentversionierung. Mit Lösungen wie OneDrive oder GoogleDrive will der Anbieter auch nicht konkurrieren. Bleibt am Ende noch, auf das Crypt’nDrive SDK (Software Development Kit) hinzuweisen, mit dem sich die Funktionen über verschiedene Schnittstellen in eigene vorhandene Workflows und Anwendungen integrieren lassen. Der Vertrieb der Produkte von Lybero.net erfolgt in Deutschland über Hego IT (https://www.hego-it.com).

: : : André Lauterbach : : :


Dieser Beitrag ist Bestandteil von:


Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de