You are on page 1of 3

Interview mit Roberto Valerio

„Fast alle Anbieter legen Nutzerdaten


unverschlüsselt ab. Das ist sicherlich einfacher
in der Handhabe und spart auch Ressourcen
– aber damit sind die Daten nur so sicher, wie
der Anbieter es schafft, interne und externe
Zugriffe auf die Daten zu unterbinden”
Interview mit Roberto Valerio
Robert Valerio ist Geschäftsführer der Firma CloudSafe GmbH,
Betreiber der Plattform cloudsafe.com

hakin9: Erzählen Sie uns bitte ein wenig über sich sind ferner über spezifische Freigabefunktionen und
selbst: wer sind Sie, was machen Sie und wie ist es Zugriffscodes erweiterbar. Wir haben dabei eine sehr
dazu gekommen, dass Sie sich mit IT-Sicherheit sichere, hybride Verschlüsselungsarchitektur umge-
Branche beschäftigen? setzt: Safe-Inhalte werden synchron über AES256
Robert Valerio: Ich bin Geschäftsführer der CloudSa- verschlüsselt, Nutzerzugriffe über eine Public/Priva-
fe GmbH, Hamburg und schon seit vielen Jahren in te-Key Infrastruktur abgebildet.
unterschiedlichen IT-Bereichen aktiv. Angefangen ha-
be ich traditionell mit Programmierung auf dem C64, hakin9: Wer arbeitet daran?
Amiga 500 und 68k Macs. Seit 1992 bin ich aktiv in Robert Valerio: Unser Büro ist in Hamburg, in Ham-
den Vorläufern des heutigen WWW unterwegs und seit burg sitzen auch die Entwickler und die Webdesig-
1999 mit der Startup-Szene verbunden. Dabei konnte ner. Zusätzlich arbeiten eine Handvoll an freien Mit-
ich viel Erfahrung im Bereich Sicherheit von Servern arbeitern für CloudSafe. Insgesamt sind 15 Personen
und Webanwendungen sammeln – aus meiner Sicht involviert. Wir haben eine komplett digitale Firmen-
eines der vorrangigen Themen der nächsten Jahre für struktur: Nur die Buchhaltung findet auf dem Papier
das Cloud Computing. statt. Sämtliche andere Prozesse sind rein digital
abgebildet. Jeder von uns klappt seinen Laptop auf
hakin9: Wer und was ist CloudSafe? und ist Bestandteil des Teams, egal wo er sitzt. Wir
Robert Valerio: CloudSafe stellt seinen Nutzern ei- suchen übrigens Verstärkung für den französischen,
ne Plattform zur sicheren Ablage und Verwaltung von spanischen und italienischen Markt.
sensiblen Daten zur Verfügung. Dabei werden al-
le Daten verschlüsselt abgelegt. Nutzer können auf hakin9: Woher kommt der Name CloudSafe?
CloudSafe beliebig viele Dokumente jeder Art und Robert Valerio: Wir wollten mit unserem Namen zwei
Größe in virtuellen Safes ablegen. Es können weite- vermeintliche Widersprüche vereinen: Cloud-Services
ren Personen und Gruppen individuelle Zugriffsrech- und Sicherheit. Viele Internetnutzer haben kein großes
te auf die Safes eingeräumt und somit ein sicherer Vertrauen in die Sicherheit von Cloud-Storage Anbie-
Datenaustausch ermöglicht werden. Diese Rechte tern. Und damit haben Sie auch recht. Fast alle Anbieter

hakin9.org/de 39
INTERVIEW

legen Nutzerdaten unverschlüsselt ab. Das ist sicher- schlüsselte Ablage von Daten nur einen einzigen Zugriff
lich einfacher in der Handhabe und spart auch Ressour- per Passwort ermöglichen. Das ist aus unserer Sicht
cen – aber damit sind die Daten nur so sicher, wie der eine Sackgasse. CloudSafe bietet einfache Möglich-
Anbieter es schafft, interne und externe Zugriffe auf die keiten, Dritten Zugriff auf die eigenen Safes zu geben.
Daten zu unterbinden. Selbst bei großen Anbietern wie Ganz ohne komplexe Gruppenverwaltung und dateiba-
Amazon und Google haben Mitarbeiter unerlaubten Zu- sierte Rechtevergabe, die man in der Praxis auch nur
griff auf persönliche Daten genommen. CloudSafe ist selten benötigt. Wir sind vor drei Wochen gestartet und
deswegen bewußt als eine Plattform entwickelt worden, stellen fest, daß sich einige unserer Nutzer erst an die
bei der der Betreiber selber keinen Zugriff auf die Daten neuartigen Zugangsoptionen gewöhnen müssen. Wir
nehmen kann. Wir speichern bei uns keine Passwör- werden deswegen in Kürze mehr Erläuterungen zu den
ter und keine Zugangscodes. Auch wenn jemand also Optionen online stellen.
Zugriff auf unsere dedizierte Storage oder unsere Da-
tenbank hätte, könnte er nicht an die unverschlüsselten hakin9: CloudSafe sollte einfach in der
Inhalte der Safes unserer Nutzer kommen. Anwendung sein. Wie wird diese Einfachheit mit
Sicherheit kombiniert?
hakin9: Was sind die Schwerpunkte von Robert Valerio: Von der komplexen kryptographi-
CloudSafe? schen Architektur, die wir mit der Plattform umgesetzt
Robert Valerio: Ganz klar die Sicherheit. Wir gehen haben, bekommt der Nutzer wenig mit. Er legt letztlich
davon aus, daß in Zukunft ein Großteil der Geräte mit seine Safes an und lädt seine Daten via Browser oder
denen wir arbeiten werden, den eigenen Datenbe- WebDAV hoch. Vertrauenspersonen werden einmal
stand nicht mehr lokal vorhalten wird. Erste Tenden- per E-Mail eingeladen und identifiziert. Danach steht
zen sind schon bei Mobiltelefonen, Tablets und Net- einem sicheren Datenaustausch nichts mehr im We-
books auszumachen. Uns geht es nicht darum, die ge, die Verwaltung der Schlüssel übernimmt, anders
Urlaubsbilder oder die Musiksammlung zu speichern als bei PGP oder GnuPG, dann CloudSafe direkt. Der
– dafür gibt es schon eine Reihe von bewährten An- Nutzer muß nur einmal sicherstellen, daß er tatsäch-
bietern. Wir wollen für die wirklich relevanten Daten ei- lich die Person per E-Mail erreicht hat, mit der er spä-
ne sichere Umgebung anbieten: Dokumente, die man ter Daten austauschen möchte.
nicht gerne in die Hände von großen Anbietern geben
möchte, bei denen der Zugriff nur über eine Corpo- hakin9: Wie sieht die Zukunft von CloudSafe aus?
rate Policy geschützt ist, nicht über echte Verschlüsse- Robert Valerio: Viel Nutzer haben uns darum gebe-
lung. Und CloudSafe bietet zusätzliche Optionen, um ten, eine einfache Form der verschlüsselten Datenüber-
besagte Daten in Notfallsituationen anderen zu über- mittlung anzubieten. Wir werden also in Kürze auch die
lassen oder die Daten im geschäftlichen Umfeld mit Möglichkeit anbieten, Nachrichten mit und ohne Anhän-
berechtigten Personen auszutauschen. ge über CloudSafe als Plattform auszutauschen. Erst
über das Web-Frontend, später über mobile Applikati-
hakin9: Wer sind Benutzer von CloudSafe? onen. Wichtig ist dabei, daß die Daten auch hier aus-
Robert Valerio: Wir setzten den Fokus auf zwei Grup- schließlich verschlüsselt ausgetauscht werden – auch
pen: Privatpersonen, die für Notfallsituationen Kopien auf unserer Plattform. Damit sind wir deutlich sicherer
ihrer relevanten Dateien sicher abgelegt haben möch- als jeder Mailserver und unabhängig von unterschiedli-
ten – ob nun für den eigenen Zugriff, oder für den Zu- chen Mail-Clients.
griff durch Vertrauenspersonen. Und wir adressieren
ferner Personen, die in Ihrem geschäftlichen Umfeld hakin9: Welche Pläne die IT-Sicherheit Branche
online sensible Daten austauschen möchten – nach- betreffend haben Sie noch vor?
weisbar ohne Zugriffsmöglichkeiten durch den Anbieter. Robert Valerio: Wir sehen unseren Fokus bei Appli-
Das können unter anderem Vertragsunterlagen, Pläne, kationen rund um die sichere Datenablage und den si-
Dokumente, aber auch Passwörter und Schlüsseldatei- cheren Datenaustausch, egal mit welchem Gerät man
en sein. Wir werden für die einfache Anwendung im- auf diese Daten zugreifen möchte. Anfang nächstes
mer eine kostenfreie Mitgliedschaft anbieten - bezahlen Jahr werden wir dazu auch eine eigene API anbieten.
tut man nur für spezifische Funktionen oder wenn man Damit können auch andere Webanwendungen und
mehr Speicherplatz benötigt. Software die Plattform CloudSafe als sicheres Ba-
ckend nutzen. Zur Zeit sprechen wir dort mit Anbietern
hakin9: Sie haben neue Zugangsoptionen für von Passwort-Managern.
Datenaustausch eingeführt. Was bedeutet das in
der Praxis? Wir bedanken uns für das Gespräch!
Robert Valerio: Uns ist bei der Konzeption von Cloud-
Safe aufgefallen, daß die meisten Produkte für die ver-

40 9/2010