Die Internetkriminalität ist in Österreich auch 2022 weiter gestiegen: Mit rund 60.200 Anzeigen wurde eine Zunahme von 30,4 Prozent im Vergleich zu 2021 verzeichnet. Die Folgen von Cyberangriffen sind weitreichend. Neben finanziellen und Reputationsschäden umfassen sie unter anderem Systemausfälle sowie Diebstahl, Verlust oder Manipulation von Daten. Ziel der Angreifer sind in vielen Fällen Metadaten, wie Informationen zum Urheber einer Datei, oder in einigen Fällen sogar Geodaten. Gelangen solche Informationen in die Hände von Unbefugten, kann dies für Betroffene unerwünschte Folgen haben. Um dieser Herausforderung zu begegnen, hat das Wiener Unternehmen MyPrivacy eine Lösung entwickelt, die darauf abzielt, sensible Daten zu schützen.

MyPrivacy warnt vor Metadaten-Einsicht

MyPrivacy wurde im Jahr 2018 in Wien gegründet und im Jahr 2019 von Erwin Toplak übernommen, der zuvor zwei Jahrzehnte lang Vorstand der Kapsch TrafficCom war. Das Wiener Startup erhielt eine Seedfinancing-Förderung von der Förderbank Austria Wirtschaftsservice (aws) sowie eine Forschungsförderung von der FFG (Österreichische Forschungsförderungsgesellschaft). Aktuell beschäftigt es zehn Mitarbeiter.

Das My-Privacy-Team verweist auf die KPMG Cloud Monitor-Studie aus dem Jahr 2022, in der erhoben wurde, dass bereits 71 Prozent der Unternehmen in Österreich mit 20 oder mehr Mitarbeitern in einer Cloud aktiv sind. Unter anderem sind Kosteneinsparungen und eine bessere Skalierbarkeit die beherrschenden Themenfelder hier.

Allerdings könne die Entscheidung für eine Public-Cloud-Infrastruktur auch Sicherheitsrisiken und Compliance-Herausforderungen verschärfen. Bekannte Cloud-Anbieter verfügen, laut Managing Director David Marwan, nicht nur über Informationen, wer welche Daten hochgeladen hat, sondern auch, wann jemand auf bestimmte Daten zugegriffen hat und wer mit wem in Kontakt steht. Diese Metadaten seien wegen des mangelnden Schutzes bei gängigen Cloud-Anbietern ein leichtes Ziel für Hacker.

Verschlüsselungsprotokoll

Um eine höhere Sicherheit zu gewährleisten, hat MyPrivacy ein Verschlüsselungsprotokoll entwickelt, welches verhindern soll, dass Systembetreiber etwas über den Inhalt, die Struktur der Daten oder die Benutzer, die darauf zugreifen, erfahren. Es schütze auch vor Manipulationen der Daten und vor der Ablehnung ihres Empfangs durch den Systembetreiber. Dabei werden die Daten, bevor sie das Gerät des Nutzers verlassen, in Stücke einheitlicher Größe, sogenannte „Chunks“, aufgeteilt.

Anschließend werden diese Fragmente mit zufälligen Daten ergänzt, um die ursprüngliche Struktur der Daten unkenntlich zu machen, was die Möglichkeit für einen unbefugten Zugriff erheblich erschwere. Die Daten können erst rekonstruiert werden, nachdem die entsprechenden „Chunks“ abgerufen und entschlüsselt wurden. Unbefugte Benutzer:innen könnten sie weder ausfindig machen noch entschlüsseln. Nur Dateneigentümer:innen würden die Zugriffsberechtigungen und -historie kennen.

„Die User müssen sich keine Sorgen mehr darüber machen, ob der Betreiber des Cloud-Dienstes der Versuchung widerstehen kann, ihre Daten und Metadaten zu analysieren und zu nutzen, etwa für Werbezwecke. Stattdessen wird verborgen, welche Daten den Nutzern gehören, wann sie darauf zugreifen, mit wem sie sie teilen und wer die Daten mit ihnen teilt“, erklärt Marwan.

MyPrivacy: Anonymität vs. Pseudonymität

Dabei nutzt MyPrivacy eine Technik namens „Zero-Knowledge-Proof“. Dies ist ein kryptografisches Verfahren, bei dem sich Nutzer nicht mit Nutzerkennung und Passwort in der Cloud einloggen, sondern es wird lokal am Rechner ein Schlüssel erzeugt, der beweisen kann, dass man Zugriffsrechte auf die Dateien habe.

Dadurch würden die Daten und Metadaten der Benutzer:innen für die Serviceanbieter unzugänglich und anonym bleiben. Dieser Ansatz unterscheide sich von der Pseudonymität, bei der die Identität des Benutzers zwar versteckt wird, aber das Verhalten des Benutzers (wann er sich einloggt oder auf welche Daten er zugreift etc.) durch den Serviceanbieter einsehbar bleibe.

Zero Knowledge Proofs

„Wir nutzen ‚Zero Knowledge Proofs‘, damit User ihre Berechtigungen beweisen können, ohne dabei ihre Identität, ihre Aktivitäten und Interaktionen preiszugeben. Das schafft echte Anonymität und erhöht den Schutz der Benutzer erheblich. In einer Zeit, in der Internetkriminalität immer mehr zunimmt, leisten wir damit einen wichtigen Beitrag zur Sicherheit von Anwendern und Anwendungen“, so Zoltan Fazekas, Technical Director von MyPrivacy.

MyPrivacy plant künftig, seine Lösungen auf dem österreichischen Markt anzubieten. In einem weiteren Schritt sollen der deutschsprachige Raum und anschließend auch weitere europäische Länder in den Fokus genommen werden. Dafür hat sich das Startup bereits Patente für den EU-Markt, Großbritannien und die USA gesichert.