Ernst & Young-Bewertung bestätigt Tresorits Sicherheitsarchitektur
Vor nun fast 10 Jahren legten wir den Grundstein für Tresorit, denn wir hatten einen besorgniserregenden Verdacht. Ein Verdacht, der – trotz vieler Neinsager – schon sehr bald bestätigt wurde. Obwohl sich die Cloud damals als eine vielversprechende Innovation durchsetzte, konnten wir bereits einige mit der neuen Technologie einhergehenden Schwierigkeiten vorhersehen. Kurzum: Wir gründeten Tresorit, weil uns klar war, dass wir unsere Daten gängigen Dienstleistern nicht anvertrauen wollten. Und wir wussten auch, dass die Data-Mining-Praxis von Tech-Giganten über Jahre hinweg Konsequenzen nach sich ziehen würde.
Unsere Mission war es, für alle einen sicheren Hafen in der Cloud zu schaffen. Als Ingenieure kennen wir die Schwachstellen anderer Datentauschlösungen und wissen, dass von Nutzern generell erwartet wird, ihre eigene Datensicherheit und Privatsphäre für mehr Benutzerfreundlichkeit zu opfern. Wir wollten dies ändern. Wir setzten uns dafür ein, dass Privatnutzer und Unternehmen die Kontrolle über ihre Daten zurückerlangen – mithilfe einer Ende-zu-Ende-verschlüsselten Lösung mit Zero-Knowledge-Prinzip, die Privatsphäre “by Design” bietet.
Aber wie konnten wir sicherstellen, dass unsere Kunden nicht mit den gleichen Bedenken kämpfen würden, die uns selbst bei der Gründung von Tresorit kamen? Wie können wir beweisen, dass sie uns ihre geschäftskritischen Informationen – oft Hunderte von Millionen von Dollar wert – anvertrauen können? Bisher mussten sie uns einfach beim Wort nehmen und uns aufgrund ihrer Erfahrungen beurteilen. Aber das ist nicht mehr der Fall.
Und nun, ohne weitere Umschweife, freuen wir uns bekanntzugeben, dass Ernst & Young einen unabhängigen Sicherheitsbewertungsbericht über unsere Services vorgelegt und Tresorits Sicherheitsarchitektur nachgewiesen haben.
Sie wundern sich vielleicht, warum wir diesen Weg gewählt haben. Um die ganze Geschichte zu erfahren, lesen Sie einfach weiter.
Es gibt eine Redewendung in der Informationssicherheit, die besagt: “Vertrauen ist gut, Validierung ist besser.”
Wir dachten lange darüber nach, wie wir sicherstellen könnten, so transparent wie möglich zu sein und gleichzeitig unsere Technologie zu schützen, so dass wir unseren Nutzern weiterhin den bestmöglichen Dienst anbieten können. Zunächst veröffentlichten wir ein Whitepaper mit Details zu unserer Sicherheitsarchitektur und unseren Verschlüsselungsstandards. Dies schien uns dann immer noch nicht ausreichend zu sein. Denn dabei könnten wir die Gefahr laufen, einen breiten Teil unserer Kundenbasis außer Acht zu lassen, der eventuell nicht über den nötigen IT-Hintergrund zum Verständnis unseres Konzepts verfügt. Was sollte also als Nächstes folgen?
Wir wollten etwas universell Gültiges und einfach Fassbares für alle.
Nach den bereits vorhandenen Validierungen, bescheinigt durch ISO 27001 und TÜV, wollten wir unserem Transparenzprozess auf die nächste Stufe verhelfen und unser Unternehmen einer unabhängigen Sicherheitsevaluierung unterziehen. Dies sollte wirtschaftlichen Entscheidungsträgern – egal, ob technisch versiert oder eben nicht – den Seelenfrieden bezüglich der Nutzung unserer Lösung geben – ohne jegliche Zweifel an Tresorits Glaubwürdigkeit. Mit anderen Worten: eine Validierung durch einen zuverlässigen Dritten, der die unbestrittenen Kompetenzen zur Bewertung derartig komplexer Verschlüsselungsarchitekturen besitzt. Dies war die Vorgeschichte unserer Zusammenarbeit mit Ernst & Young (EY), dem globalen Führer im Bereich Informationstechnologie und -service. Das technische Team von EY war von diesem Auftrag äußerst begeistert und ging die Aufgaben mit umfangreichen Kryptografieerfahrungen an.
Das EY-Team verstand sehr schnell unsere Ziele und was als Nächstes zu tun war.
Sie empfahlen einen dreistufigen Bewertungsprozess und jede Phase sollte dabei auf einzelne Schlüsselaspekte unserer Lösung fokussieren.
- Penetrationstest: Messung von Tresorits Sicherheitslevels und davon, wie schwierig es für böswillige Angreifer ist, unsere Dienste zu knacken.
- Review des Quellencodes: Prüfung von Tresorits Kernplattform, um zu bestätigen, ob die Technologie zweckmäßig und ohne unnötige Risiken funktioniert.
- und letztlich, Prüfung des Wettbewerbsvorteils und wichtiger Unterscheidungsmerkmale des Unternehmens: Evaluierung von Tresorits kryptografischen Features, um handfeste Beweise für unsere Sicherheitsbehauptungen zu liefern.
Obwohl wir diese Komponenten stetig kontrollieren und prüfen lassen, erhält all dies, durch einen objektiven Dritten attestiert, freilich ein anderes Gewicht.
Was haben die Experten von EY über den Bewertungsprozess von Tresorit zu sagen?
Mihaly Zala, Leiter der Bereiche Cybersicherheit, Technologierisiken und Technologieberatung bei EY, fasst ihre Ergebnisse zusammen:
“Wir haben während des Sicherheitsreviews Tresorits Aussagen hinsichtlich der Ende-zu-Ende-Verschlüsselung und potenzieller Sicherheitsschwachstellen besondere Aufmerksamkeit geschenkt. Unsere Bewertung ist zu dem Schluss gekommen, dass Tresorit durch die clientseitige Verschlüsselung von Daten hohe Vertraulichkeit sicherstellt, und zwar in einer Weise, in der Tresorits Server und Mitarbeiter niemals die Daten oder die Entschlüsselungscodes im Klartext einsehen können.”
Als eine Organisation, die versteht, dass es von höchster Wichtigkeit ist, dass man sein Vertrauen (und seine Informationen) dem richtigen Service zukommen lässt, freuen wir uns enorm, die EY-Bewertung mit Ihnen teilen zu können. Das bedeutet, dass sich zukünftig niemand unsicher fühlen muss, wenn er uns seine vertraulichen Daten anvertraut. Mit diesem Schritt wollten wir als Unternehmen auch unser Engagement dafür bekräftigen, unseren Nutzern erstklassige Datensicherheit und Transparenz anzubieten. Dank diesem Seelenfrieden können unsere aktiven Nutzer und potenziellen Kunden unsere Lösung genauso bedenkenlos verwenden wie wir selbst.
Möchten Sie die vollständige Zusammenfassung der EY-Bewertung lesen?
Laden Sie den Bericht hier herunter.