www.psw.net

Interview mit Roberto Valerio

hakin9.org/de 39

hakin9: Erzählen Sie uns bitte ein wenig über sich selbst: wer sind Sie, was machen Sie und wie ist es dazu gekommen, dass Sie sich mit IT-Sicherheit Branche beschäftigen?Robert Valerio: Ich bin Geschäftsführer der CloudSa-

fe GmbH, Hamburg und schon seit vielen Jahren in

unterschiedlichen IT-Bereichen aktiv. Angefangen ha-

be ich traditionell mit Programmierung auf dem C64,

Amiga 500 und 68k Macs. Seit 1992 bin ich aktiv in

den Vorläufern des heutigen WWW unterwegs und seit

1999 mit der Startup-Szene verbunden. Dabei konnte

ich viel Erfahrung im Bereich Sicherheit von Servern

und Webanwendungen sammeln – aus meiner Sicht

eines der vorrangigen Themen der nächsten Jahre für

das Cloud Computing.

hakin9: Wer und was ist CloudSafe?Robert Valerio: CloudSafe stellt seinen Nutzern ei-

ne Plattform zur sicheren Ablage und Verwaltung von

sensiblen Daten zur Verfügung. Dabei werden al-

le Daten verschlüsselt abgelegt. Nutzer können auf

CloudSafe beliebig viele Dokumente jeder Art und

Größe in virtuellen Safes ablegen. Es können weite-

ren Personen und Gruppen individuelle Zugriffsrech-

te auf die Safes eingeräumt und somit ein sicherer

Datenaustausch ermöglicht werden. Diese Rechte

sind ferner über spezifische Freigabefunktionen und

Zugriffscodes erweiterbar. Wir haben dabei eine sehr

sichere, hybride Verschlüsselungsarchitektur umge-

setzt: Safe-Inhalte werden synchron über AES256

verschlüsselt, Nutzerzugriffe über eine Public/Priva-

te-Key Infrastruktur abgebildet.

hakin9: Wer arbeitet daran?Robert Valerio: Unser Büro ist in Hamburg, in Ham-

burg sitzen auch die Entwickler und die Webdesig-

ner. Zusätzlich arbeiten eine Handvoll an freien Mit-

arbeitern für CloudSafe. Insgesamt sind 15 Personen

involviert. Wir haben eine komplett digitale Firmen-

struktur: Nur die Buchhaltung findet auf dem Papier

statt. Sämtliche andere Prozesse sind rein digital

abgebildet. Jeder von uns klappt seinen Laptop auf

und ist Bestandteil des Teams, egal wo er sitzt. Wir

suchen übrigens Verstärkung für den französischen,

spanischen und italienischen Markt.

hakin9: Woher kommt der Name CloudSafe?Robert Valerio: Wir wollten mit unserem Namen zwei

vermeintliche Widersprüche vereinen: Cloud-Services

und Sicherheit. Viele Internetnutzer haben kein großes

Vertrauen in die Sicherheit von Cloud-Storage Anbie-

tern. Und damit haben Sie auch recht. Fast alle Anbieter

„Fast alle Anbieter legen Nutzerdaten unverschlüsselt ab. Das ist sicherlich einfacher in der Handhabe und spart auch Ressourcen – aber damit sind die Daten nur so sicher, wie der Anbieter es schafft, interne und externe Zugriffe auf die Daten zu unterbinden”Interview mit Roberto Valerio

Robert Valerio ist Geschäftsführer der Firma CloudSafe GmbH, Betreiber der Plattform cloudsafe.com

9/201040

INTERVIEW

schlüsselte Ablage von Daten nur einen einzigen Zugriff

per Passwort ermöglichen. Das ist aus unserer Sicht

eine Sackgasse. CloudSafe bietet einfache Möglich-

keiten, Dritten Zugriff auf die eigenen Safes zu geben.

Ganz ohne komplexe Gruppenverwaltung und dateiba-

sierte Rechtevergabe, die man in der Praxis auch nur

selten benötigt. Wir sind vor drei Wochen gestartet und

stellen fest, daß sich einige unserer Nutzer erst an die

neuartigen Zugangsoptionen gewöhnen müssen. Wir

werden deswegen in Kürze mehr Erläuterungen zu den

Optionen online stellen.

hakin9: CloudSafe sollte einfach in der Anwendung sein. Wie wird diese Einfachheit mit Sicherheit kombiniert?Robert Valerio: Von der komplexen kryptographi-

schen Architektur, die wir mit der Plattform umgesetzt

haben, bekommt der Nutzer wenig mit. Er legt letztlich

seine Safes an und lädt seine Daten via Browser oder

WebDAV hoch. Vertrauenspersonen werden einmal

per E-Mail eingeladen und identifiziert. Danach steht

einem sicheren Datenaustausch nichts mehr im We-

ge, die Verwaltung der Schlüssel übernimmt, anders

als bei PGP oder GnuPG, dann CloudSafe direkt. Der

Nutzer muß nur einmal sicherstellen, daß er tatsäch-

lich die Person per E-Mail erreicht hat, mit der er spä-

ter Daten austauschen möchte.

hakin9: Wie sieht die Zukunft von CloudSafe aus?Robert Valerio: Viel Nutzer haben uns darum gebe-

ten, eine einfache Form der verschlüsselten Datenüber-

mittlung anzubieten. Wir werden also in Kürze auch die

Möglichkeit anbieten, Nachrichten mit und ohne Anhän-

ge über CloudSafe als Plattform auszutauschen. Erst

über das Web-Frontend, später über mobile Applikati-

onen. Wichtig ist dabei, daß die Daten auch hier aus-

schließlich verschlüsselt ausgetauscht werden – auch

auf unserer Plattform. Damit sind wir deutlich sicherer

als jeder Mailserver und unabhängig von unterschiedli-

chen Mail-Clients.

hakin9: Welche Pläne die IT-Sicherheit Branche betre!end haben Sie noch vor?Robert Valerio: Wir sehen unseren Fokus bei Appli-

kationen rund um die sichere Datenablage und den si-

cheren Datenaustausch, egal mit welchem Gerät man

auf diese Daten zugreifen möchte. Anfang nächstes

Jahr werden wir dazu auch eine eigene API anbieten.

Damit können auch andere Webanwendungen und

Software die Plattform CloudSafe als sicheres Ba-

ckend nutzen. Zur Zeit sprechen wir dort mit Anbietern

von Passwort-Managern.

Wir bedanken uns für das Gespräch!

legen Nutzerdaten unverschlüsselt ab. Das ist sicher-

lich einfacher in der Handhabe und spart auch Ressour-

cen – aber damit sind die Daten nur so sicher, wie der

Anbieter es schafft, interne und externe Zugriffe auf die

Daten zu unterbinden. Selbst bei großen Anbietern wie

Amazon und Google haben Mitarbeiter unerlaubten Zu-

griff auf persönliche Daten genommen. CloudSafe ist

deswegen bewußt als eine Plattform entwickelt worden,

bei der der Betreiber selber keinen Zugriff auf die Daten

nehmen kann. Wir speichern bei uns keine Passwör-

ter und keine Zugangscodes. Auch wenn jemand also

Zugriff auf unsere dedizierte Storage oder unsere Da-

tenbank hätte, könnte er nicht an die unverschlüsselten

Inhalte der Safes unserer Nutzer kommen.

hakin9: Was sind die Schwerpunkte von CloudSafe?Robert Valerio: Ganz klar die Sicherheit. Wir gehen

davon aus, daß in Zukunft ein Großteil der Geräte mit

denen wir arbeiten werden, den eigenen Datenbe-

stand nicht mehr lokal vorhalten wird. Erste Tenden-

zen sind schon bei Mobiltelefonen, Tablets und Net-

books auszumachen. Uns geht es nicht darum, die

Urlaubsbilder oder die Musiksammlung zu speichern

– dafür gibt es schon eine Reihe von bewährten An-

bietern. Wir wollen für die wirklich relevanten Daten ei-

ne sichere Umgebung anbieten: Dokumente, die man

nicht gerne in die Hände von großen Anbietern geben

möchte, bei denen der Zugriff nur über eine Corpo-

rate Policy geschützt ist, nicht über echte Verschlüsse-

lung. Und CloudSafe bietet zusätzliche Optionen, um

besagte Daten in Notfallsituationen anderen zu über-

lassen oder die Daten im geschäftlichen Umfeld mit

berechtigten Personen auszutauschen.

hakin9: Wer sind Benutzer von CloudSafe?Robert Valerio: Wir setzten den Fokus auf zwei Grup-

pen: Privatpersonen, die für Notfallsituationen Kopien

ihrer relevanten Dateien sicher abgelegt haben möch-

ten – ob nun für den eigenen Zugriff, oder für den Zu-

griff durch Vertrauenspersonen. Und wir adressieren

ferner Personen, die in Ihrem geschäftlichen Umfeld

online sensible Daten austauschen möchten – nach-

weisbar ohne Zugriffsmöglichkeiten durch den Anbieter.

Das können unter anderem Vertragsunterlagen, Pläne,

Dokumente, aber auch Passwörter und Schlüsseldatei-

en sein. Wir werden für die einfache Anwendung im-

mer eine kostenfreie Mitgliedschaft anbieten - bezahlen

tut man nur für spezifische Funktionen oder wenn man

mehr Speicherplatz benötigt.

hakin9: Sie haben neue Zugangsoptionen für Datenaustausch eingeführt. Was bedeutet das in der Praxis?Robert Valerio: Uns ist bei der Konzeption von Cloud-

Safe aufgefallen, daß die meisten Produkte für die ver-