Interview mit Roberto Valerio
„Fast alle Anbieter legen Nutzerdaten
unverschlüsselt ab. Das ist sicherlich einfacher
in der Handhabe und spart auch Ressourcen
– aber damit sind die Daten nur so sicher, wie
der Anbieter es schafft, interne und externe
Zugriffe auf die Daten zu unterbinden”
Interview mit Roberto Valerio
Robert Valerio ist Geschäftsführer der Firma CloudSafe GmbH,
Betreiber der Plattform cloudsafe.com
hakin9: Erzählen Sie uns bitte ein wenig über sich
selbst: wer sind Sie, was machen Sie und wie ist es
dazu gekommen, dass Sie sich mit IT-Sicherheit
Branche beschäftigen?
Robert Valerio: Ich bin Geschäftsführer der CloudSa-
fe GmbH, Hamburg und schon seit vielen Jahren in
unterschiedlichen IT-Bereichen aktiv. Angefangen ha-
be ich traditionell mit Programmierung auf dem C64,
Amiga 500 und 68k Macs. Seit 1992 bin ich aktiv in
den Vorläufern des heutigen WWW unterwegs und seit
1999 mit der Startup-Szene verbunden. Dabei konnte
ich viel Erfahrung im Bereich Sicherheit von Servern
und Webanwendungen sammeln – aus meiner Sicht
eines der vorrangigen Themen der nächsten Jahre für
das Cloud Computing.
hakin9: Wer und was ist CloudSafe?
Robert Valerio: CloudSafe stellt seinen Nutzern ei-
ne Plattform zur sicheren Ablage und Verwaltung von
sensiblen Daten zur Verfügung. Dabei werden al-
le Daten verschlüsselt abgelegt. Nutzer können auf
CloudSafe beliebig viele Dokumente jeder Art und
Größe in virtuellen Safes ablegen. Es können weite-
ren Personen und Gruppen individuelle Zugriffsrech-
te auf die Safes eingeräumt und somit ein sicherer
Datenaustausch ermöglicht werden. Diese Rechte
hakin9.org/de
sind ferner über spezifische Freigabefunktionen und
Zugriffscodes erweiterbar. Wir haben dabei eine sehr
sichere, hybride Verschlüsselungsarchitektur umge-
setzt: Safe-Inhalte werden synchron über AES256
verschlüsselt, Nutzerzugriffe über eine Public/Priva-
te-Key Infrastruktur abgebildet.
hakin9: Wer arbeitet daran?
Robert Valerio: Unser Büro ist in Hamburg, in Ham-
burg sitzen auch die Entwickler und die Webdesig-
ner. Zusätzlich arbeiten eine Handvoll an freien Mit-
arbeitern für CloudSafe. Insgesamt sind 15 Personen
involviert. Wir haben eine komplett digitale Firmen-
struktur: Nur die Buchhaltung findet auf dem Papier
statt. Sämtliche andere Prozesse sind rein digital
abgebildet. Jeder von uns klappt seinen Laptop auf
und ist Bestandteil des Teams, egal wo er sitzt. Wir
suchen übrigens Verstärkung für den französischen,
spanischen und italienischen Markt.
hakin9: Woher kommt der Name CloudSafe?
Robert Valerio: Wir wollten mit unserem Namen zwei
vermeintliche Widersprüche vereinen: Cloud-Services
und Sicherheit. Viele Internetnutzer haben kein großes
Vertrauen in die Sicherheit von Cloud-Storage Anbie-
tern. Und damit haben Sie auch recht. Fast alle Anbieter
39
 INTERVIEW
legen Nutzerdaten unverschlüsselt ab. Das ist sicher-
lich einfacher in der Handhabe und spart auch Ressour-
cen – aber damit sind die Daten nur so sicher, wie der
Anbieter es schafft, interne und externe Zugriffe auf die
Daten zu unterbinden. Selbst bei großen Anbietern wie
Amazon und Google haben Mitarbeiter unerlaubten Zu-
griff auf persönliche Daten genommen. CloudSafe ist
deswegen bewußt als eine Plattform entwickelt worden,
bei der der Betreiber selber keinen Zugriff auf die Daten
nehmen kann. Wir speichern bei uns keine Passwör-
ter und keine Zugangscodes. Auch wenn jemand also
Zugriff auf unsere dedizierte Storage oder unsere Da-
tenbank hätte, könnte er nicht an die unverschlüsselten
Inhalte der Safes unserer Nutzer kommen.
hakin9: Was sind die Schwerpunkte von
CloudSafe?
Robert Valerio: Ganz klar die Sicherheit. Wir gehen
davon aus, daß in Zukunft ein Großteil der Geräte mit
denen wir arbeiten werden, den eigenen Datenbe-
stand nicht mehr lokal vorhalten wird. Erste Tenden-
zen sind schon bei Mobiltelefonen, Tablets und Net-
books auszumachen. Uns geht es nicht darum, die
Urlaubsbilder oder die Musiksammlung zu speichern
– dafür gibt es schon eine Reihe von bewährten An-
bietern. Wir wollen für die wirklich relevanten Daten ei-
ne sichere Umgebung anbieten: Dokumente, die man
nicht gerne in die Hände von großen Anbietern geben
möchte, bei denen der Zugriff nur über eine Corpo-
rate Policy geschützt ist, nicht über echte Verschlüsse-
lung. Und CloudSafe bietet zusätzliche Optionen, um
besagte Daten in Notfallsituationen anderen zu über-
lassen oder die Daten im geschäftlichen Umfeld mit
berechtigten Personen auszutauschen.
hakin9: Wer sind Benutzer von CloudSafe?
Robert Valerio: Wir setzten den Fokus auf zwei Grup-
pen: Privatpersonen, die für Notfallsituationen Kopien
ihrer relevanten Dateien sicher abgelegt haben möch-
ten – ob nun für den eigenen Zugriff, oder für den Zu-
griff durch Vertrauenspersonen. Und wir adressieren
ferner Personen, die in Ihrem geschäftlichen Umfeld
online sensible Daten austauschen möchten – nach-
weisbar ohne Zugriffsmöglichkeiten durch den Anbieter.
Das können unter anderem Vertragsunterlagen, Pläne,
Dokumente, aber auch Passwörter und Schlüsseldatei-
en sein. Wir werden für die einfache Anwendung im-
mer eine kostenfreie Mitgliedschaft anbieten - bezahlen
tut man nur für spezifische Funktionen oder wenn man
mehr Speicherplatz benötigt.
hakin9: Sie haben neue Zugangsoptionen für
Datenaustausch eingeführt. Was bedeutet das in
der Praxis?
Robert Valerio: Uns ist bei der Konzeption von Cloud-
Safe aufgefallen, daß die meisten Produkte für die ver-
40
schlüsselte Ablage von Daten nur einen einzigen Zugriff
per Passwort ermöglichen. Das ist aus unserer Sicht
eine Sackgasse. CloudSafe bietet einfache Möglich-
keiten, Dritten Zugriff auf die eigenen Safes zu geben.
Ganz ohne komplexe Gruppenverwaltung und dateiba-
sierte Rechtevergabe, die man in der Praxis auch nur
selten benötigt. Wir sind vor drei Wochen gestartet und
stellen fest, daß sich einige unserer Nutzer erst an die
neuartigen Zugangsoptionen gewöhnen müssen. Wir
werden deswegen in Kürze mehr Erläuterungen zu den
Optionen online stellen.
hakin9: CloudSafe sollte einfach in der
Anwendung sein. Wie wird diese Einfachheit mit
Sicherheit kombiniert?
Robert Valerio: Von der komplexen kryptographi-
schen Architektur, die wir mit der Plattform umgesetzt
haben, bekommt der Nutzer wenig mit. Er legt letztlich
seine Safes an und lädt seine Daten via Browser oder
WebDAV hoch. Vertrauenspersonen werden einmal
per E-Mail eingeladen und identifiziert. Danach steht
einem sicheren Datenaustausch nichts mehr im We-
ge, die Verwaltung der Schlüssel übernimmt, anders
als bei PGP oder GnuPG, dann CloudSafe direkt. Der
Nutzer muß nur einmal sicherstellen, daß er tatsäch-
lich die Person per E-Mail erreicht hat, mit der er spä-
ter Daten austauschen möchte.
hakin9: Wie sieht die Zukunft von CloudSafe aus?
Robert Valerio: Viel Nutzer haben uns darum gebe-
ten, eine einfache Form der verschlüsselten Datenüber-
mittlung anzubieten. Wir werden also in Kürze auch die
Möglichkeit anbieten, Nachrichten mit und ohne Anhän-
ge über CloudSafe als Plattform auszutauschen. Erst
über das Web-Frontend, später über mobile Applikati-
onen. Wichtig ist dabei, daß die Daten auch hier aus-
schließlich verschlüsselt ausgetauscht werden – auch
auf unserer Plattform. Damit sind wir deutlich sicherer
als jeder Mailserver und unabhängig von unterschiedli-
chen Mail-Clients.
hakin9: Welche Pläne die IT-Sicherheit Branche
betreffend haben Sie noch vor?
Robert Valerio: Wir sehen unseren Fokus bei Appli-
kationen rund um die sichere Datenablage und den si-
cheren Datenaustausch, egal mit welchem Gerät man
auf diese Daten zugreifen möchte. Anfang nächstes
Jahr werden wir dazu auch eine eigene API anbieten.
Damit können auch andere Webanwendungen und
Software die Plattform CloudSafe als sicheres Ba-
ckend nutzen. Zur Zeit sprechen wir dort mit Anbietern
von Passwort-Managern.
Wir bedanken uns für das Gespräch!
9/2010