Start-up-Check 23.12.2019, 15:00 Uhr

Centraya: Schutzschicht für Cloud-Daten

Public Clouds sind für viele Unternehmen überlebenswichtig geworden. Dass Geschäftsdaten dort sicher sind, ist jedoch nicht garantiert. In die Bresche springen soll die Security-Lösung Centraya des Start-ups e3 CSS.
Das Start-up e3 CSS will den Einsatz der Cloud für Unternehmen sicherer machen
(Quelle: Shutterstock / issaro prakalung )
¨Das Geschäft mit der Datenwolke boomt. Immer mehr Unternehmen speichern und verarbeiten ihre Daten in der Cloud. Um mit der Konkurrenz mitzuhalten, können es sich viele gar nicht mehr leisten, auf den Einsatz der Technologie zu verzichten. Die Cloud bietet aber nicht nur Vorteile, sondern birgt auch Risiken – beispielsweise punkto Datenschutz. So ist dem Shared-Responsibility-Modell zufolge nicht der Cloud-Provider für die Daten verantwortlich, sondern der Kunde. Die Anwender müssen also ihren Beitrag dazu leisten. Laut dem IT-Security- Experten Michael Hoos wird dies jedoch auch heute noch oft vernachlässigt. «Mit dem Aufkommen des Cloud-Computings scheint es so, als würde der Schutz der eigenen Daten nicht mehr nötig sein. Fast könnte man meinen, dass der eine oder andere sein Hirn ausgeschaltet hat.» In der Cloud verliere man komplett die Kontrolle über seine Daten und wisse nicht, was mit diesen geschehe. «Wenn heute eines sicher ist, dann dass die Geschäftsdaten abgegriffen werden – die Frage ist nur wann», ist er überzeugt.
“Wir machen es möglich, Cloud-Applikationen sicher zu nutzen„
Michael Hoos
Für Thomas Fürling, Chef der Zürcher IT-Sicherheitsfirma e3, sei dies vor rund sieben Jahren der Grund dafür gewesen, sich Gedanken über ein Produkt zu machen, das in diesem Bereich für mehr Sicherheit sorgt. Hoos, der damals noch für Symantec gearbeitet hatte, sei dann von Fürling angefragt worden, ob er dieses Projekt anpacken möchte. «Weil das schon immer mein Traum war, habe ich sofort zugesagt.» So wurde im Anschluss das Start-up e3 CSS gegründet, im Juni 2014 startete das Team mit dem Bau des Security-Produkts Centraya. Hoos beschreibt den Nutzen der Lösung nun folgendermassen: «Wir unterstützen Kunden bei ihrer Strategie zur digitalen Transformation, indem wir es ihnen möglich machen, Cloud-Applikationen sicher zu nutzen.»

Zwischen Firmennetz und Web

Laut dem Mitgründer und CEO handelt es sich bei Centraya um eine klassische Gateway-Technologie. Denn sie sitzt am Proxy, dem Übergabepunkt vom Unternehmensnetz ins Internet. Dabei werde das Internet Content Adaption Protocol (ICAP) genutzt, um im Datenstrom Felder von App­likationen abzugreifen. Wenn ein Kunde beispielsweise in Salesforce Namen und Vornamen schützen möchte, läuft das Hoos zufolge so: «Dazu instruieren wir den Proxy, im Datenstrom zu Salesforce unserem Produkt den Inhalt dieser Felder zu liefern. Wir verschlüsseln diesen anschlies­send und geben ihn zurück an den Proxy. Dieser speist den Inhalt zurück in den Datenstrom, sodass er schliesslich in Salesforce verschlüsselt abgespeichert wird.» Der Security-Experte verspricht, dass dieses Prozedere pro Feld jeweils nur zwei bis drei Millisekunden dauert. Bei der Verschlüsselung setzt die e3 CSS auf eine 256 Bit starke AES-Technologie. Das Ganze passiert beim Kunden und unter seiner ausschliesslichen Kontrolle.
Bei Zugriffen von unautorisierten Dritten werden die Daten dank Centraya verschlüsselt angezeigt. Mitarbeitende sehen diese jedoch stets im Klartext
Quelle: e3 CSS
Hoos versichert, dass keine Cloud-Applikation angepasst werden muss, damit die Lösung funktioniert. Denn Centraya verändere lediglich die Feldinhalte. Greifen Mitarbeitende bei der täglichen Arbeit mit dem Browser auf eine Cloud-Anwendung zu, kommt der Datenstrom wieder durch Centraya zurück und wird von der Lösung entschlüsselt. «Angestellte bekommen davon also gar nichts mit und können mit den Daten im Klartext arbeiten.» Dieser Teil sei bei der Entwicklung der Lösung auch die grösste Herausforderung gewesen. Denn letztlich solle die Funktion der Cloud-Anwendung nicht beeinträchtigt werden, sodass man normal mit dieser arbeiten könne, sagt Hoos. «Das hat uns ein paar graue Haare gekostet», scherzt er.

Flexibler Ansatz

Als Stärken von Centraya sieht der Co-Gründer den modularen Aufbau der Lösung sowie die flexible Anwendung auf verschiedene Kundenbedürfnisse. So habe man bei der Entwicklung einen generischen Ansatz gewählt, um möglichst viele Cloud-Applikationen abdecken zu können – auch solche, die dem Unternehmen noch gar nicht bekannt seien. Hoos zufolge unterstützt Centraya aktuell rund 35 Cloud-Applikationen – unter anderem Salesforce, HubSpot, ServiceNow oder auch Microsoft Dynamics CRM. Möglich sei es auch, Applikationen in internen Datenbanken zu schützen.
Flexibilität und Sicherheit verspricht Hoos seinen Kunden auch beim Schlüsselmanagement. Einerseits haben diese hierbei die Möglichkeit, ihre eigenen SQL-, Postgres- oder auch Oracle-Datenbanken zu verwenden. Andererseits lege Centraya die Keys bei den Kunden stets verschlüsselt ab. Trete nun der Fall ein, dass die Schlüssel-Datenbank geklaut werde, könnten die Diebe nichts mit dieser anfangen, weil die Keys darin allesamt verschlüsselt seien.

Bunter Kundenkreis

Mittlerweile bedient die e3 CSS mit Centraya Unternehmen aus verschiedensten Bereichen. Der Geschäftsleiter erzählt, dass die deutsche Beiersdorf die erste Kundin gewesen sei. Für die Lösung habe sich der Konzern entschieden, um Kundendaten und das Beschwerdemanagement innerhalb von Salesforce abzusichern. Laut Hoos beinhalten Beschwerden bei Beiersdorf teils medizinische Daten. Und diese würden mit Centraya nun verschlüsselt. Damit werde sichergestellt, dass Unberechtigte nicht auf die Informationen zugreifen könnten.
Hierzulande arbeitet die e3 CSS mit dem Distributor Datastore zusammen. Mit diesem führt die Firma gerade eine Kampagne für den Gesundheitssektor durch. Zum Schweizer Kundenstamm gehört gemäss dem Mitgründer aber etwa auch eine Firma aus dem Bereich des Vertragsmanagements. Über eine OEM-Partnerschaft mit einem grossen US-Hersteller habe die e3 CSS zusätzlich «eine Reihe grosser, spannender Kunden» dazugewinnen können – darunter verschiedene Banken in den Vereinigten Staaten, ein Reseller von Bezahlfernsehern in Mexiko oder auch ein japanischer Industriekonzern.
Insgesamt gibt es Hoos zufolge zwei Arten von Unternehmen, die sich für die Lösung interessieren. Die Skeptischen, die nicht genau wissen, ob sie ihrem Cloud-Provider vertrauen können, aber aus geschäftlichen Gründen in die Cloud gehen müssen. «Denen sagen wir: Geht in die Cloud, Centraya sorgt dafür, dass ihr das sicher machen und alle Vorteile der Technologie nutzen könnt.» Gemäss dem Security-Experten wendet sich die Mehrheit der Kunden allerdings aufgrund regulatorischer Vorgaben wie der EU-Datenschutz-Grundverordnung oder dem Cloud Act an die e3 CSS. Letzterer erlaubt amerikanischen Ermittlungsbehörden weltweit den Zugriff auf Daten, die bei US-Internet-Firmen und -IT-Dienstleistern gehostet oder gespeichert werden.

Zäher Anfang

Hoos erzählt, dass das Start-up viel Anlaufzeit gebraucht habe – insbesondere weil die Nutzung von Cloud-Tech­nologie zur Gründungszeit noch in den Kinderschuhen steckte. «Die ersten Jahre waren für uns extrem harzig. Da putzten wir viele Klinken und knüpften viele Kontakte, ohne grossen Ertrag. Wir fragten uns mehrmals, ob wir komplett am Markt vorbei arbeiten oder nicht verstehen, worum es geht», seufzt Hoos. Das habe viel Durchhaltevermögen gebraucht. Auch die Unterstützung des Mutterhauses und der Privatinvestoren sei sehr wichtig gewesen.
«Jetzt machen sich Unternehmen aber nach und nach Gedanken darüber, welche Schutz- und Kontrollmöglichkeiten sie in der Cloud noch über ihre eigenen Daten haben.» Organisationen, mit denen man vor zwei bis drei Jahren über das Thema gesprochen habe, kämen jetzt wieder und wollten Projekte lancieren. Dennoch bewege sich das Start-up nach wie vor in einem stark erklärungsbedürftigen Markt­umfeld, sagt Michael Hoos. So betont er, dass das Team hier nach wie vor «knallharte Arbeit» leisten müsse. «Mit Verschlüsselung geht man heutzutage nicht leichtfertig um. Deshalb ist es unsere Aufgabe, potenziellen Kunden zu erklären, weshalb das sinnvoll ist und warum das gar nicht so fest wehtut, wie man vielleicht denkt.»
Firma
e3 CSS
wurde 2014 als Tochter­gesellschaft der IT-Sicherheitsfirma e3 gegründet. Mit Centraya bietet das Start-up eine Lösung für die Datensicherheit in Cloud-Applikationen an. Wesentlich an der Entwicklung des Produkts beteiligt waren anfänglich Michael Hoos, Mirko Sarach und Crispin Tschirky. Die e3 CSS arbeitet nach wie vor stark mit der Mutterfirma zusammen und hat ihren Sitz in der Stadt Zürich.


Das könnte Sie auch interessieren