Cloud Sicherheit
Wer seine Daten in der Cloud verwaltet, der sollte sich bei allen praktischen Vorteilen auch stets bewusst sein, dass seine Informationen an einem Ort liegen, auf den er selbst keinen unmittelbaren Zugriff hat. Zum einen betrifft das den Schutz vor Datenverlust durch regelmäßige Backups, im Zweifelsfall auch auf die eigene Festplatte oder einen USB-Stick. Zum anderen betrifft das Thema Cloud Sicherheit den Schutz der eigenen Daten vor dem unbefugten Zugriff anderer.
Vom Cloud-Server löschen ist oft gut gemeint, kann allerdings genauso gut nutzlos sein, wenn sich schon jemand an den Infos bedient hat. Zudem wissen IT Experten, dass „löschen“ von Daten bei vielen Firmen heisst, die Daten in der Datenbank (oder im Filesystem) als „gelöscht“ zu markieren, jedoch weiterhin vorzuhalten – zumindest solange bis der Speicherplatz anderweitig benötigt wird.
Zu allem Überfluss müssen Daten auch erst einmal in die Cloud gelangen. Eine Schwachstelle der Datensicherheit ist die Übertragung. Hier können interessierte Ohren leicht den transferierten Daten lauschen, auch beim Einsatz von verschlüsselten Verbindungen kann man sich nicht auf eine x-beliebige Lösung verlassen sondern sollte sich lieber Rat von Experten holen, wenn man das nötige Kleingeld dafür hat. Das beste Beispiel hierfür ist im Moment der Aufruf von Jacob Appelbaum, RC4 nicht mehr zu nutzen, da es von den Geheimdiensten in Echtzeit entschlüsselt werden kann.
Datensicherheit in der Cloud
Ständig müssen wir mitverfolgen, wie Accounts gehackt, Passwörter veröffentlicht oder geheime Daten offengelegt werden. Allen voran sind die Regierungen dieser Welt, die mit NSA, GCHQ, BND und anderen Geheimdiensten gezielt Wirtschaftsspionage betreiben – auch wenn sie natürlich offiziell etwas ganz anderes erzählen. Doch die Argumentation, dass GMail, Facebook, Twitter und nicht zuletzt Cloud-Dienste wegen des Terrorismus überwacht werden ist eine offensichtliche Lüge. Eine schreckliche Situation für jeden, der begreift dass das Recht auf Privatsphäre und Geschäftsgeheimnisse dadurch komplett ausgehebelt wurde und sich die deutsche Regierung nicht darum schert – schlimmer noch, nicht einmal den Ansatz des Problems versteht.
Wenn wir Glück haben, sind wir davon bisher nicht betroffen, denken sich die meisten User. Doch das einzige was jetzt noch hilft, ist der Selbstschutz. Einfache aber sinnvolle Maßnahmen zum Schutz beginnen bereits mit der Wahl Wahl eines sicheren Passwortes oder ein Check, ob die Adresse der Website, bei der man seine Daten angeben möchte auch über eine „https“ Verbindung zumindest rudimentär geschützt sind. E-Mails werden auch heutzutage nur selten verschlüsselt und so stellt die unverschlüsselte Übertragung keine große Hürde für Angreifer dar.
Die erste Regel lautet also: ZUGANGSDATEN FÜR DIE CLOUD NIEMALS UNVERSCHLÜSSELT PER E-MAIL VERSCHICKEN!
Die Sicherheit einer E-Mail ist in etwa mit der einer Postkarte zu vergleichen. Quasi jeder der möchte kann sie lesen.
In der Cloud ist das Thema Datensicherheit besonders wichtig, weil oft auch sensible Daten gespeichert und beispielsweise mit Arbeitskollegen geteilt werden sollen. Viele Betriebe nehmen wegen der vielen Unsicherheiten Abstand von der Cloud, da besonders der Industriespionage hier Tür und Tor offen stehen können. Wer sie trotzdem nutzen möchte, der sollte sich bewusst machen, wo die Schwachstellen im System liegen und wie man diese sicherer gestalten kann.
Die Übertragung
Daten müssen vom eigenen Gerät an einen Server des Cloud-Providers gesendet werden. Hier ist unbedingt darauf zu achten, dass es sich mindestens um eine SSL-Verschlüsselung handelt. Beim Provider lässt sich die Verschlüsselung erfragen und man erkennt sie auch an dem „s“ nach „http“ in der Web-Adresse. Heute ist SSL auch bekannt unter dem Namen TLS. Eine 100%-ige Sicherheit kann dieses Protokoll nicht bieten, da beispielsweise bei der Übertragung über mehrere Zwischenstationen Sicherheitslücken auftreten können. Noch höhere Sicherheit bietet die AES-Verschlüsselung.
Alternativ kann man die Daten über eine verschlüsselte VPN Verbindung in die Cloud schicken – allerdings muss man hier dem VPN Anbieter vertrauen, nicht auf die übertragenen Daten zuzugreifen oder sie wegzuspeichern.
Die Speicherung
Die Gefahr Daten zu verlieren wird von den Providern meist durch mehrfaches Speichern auf verschiedenen Servern eliminiert. Es besteht allerdings noch immer die Gefahr, dass fremde Hände an gespeicherte Daten gelangen. Hier ist zu unterscheiden, ob die Daten auf dem Server überhaupt verschlüsselt sind. Häufig werden sie einfach dort abgelegt, ohne weitere Sicherheitsvorkehrungen.
Andere Anbieter verschlüsseln die Daten, haben allerdings dadurch selbst den Schlüssel dafür und können sie problemlos einsehen. Besonders in den USA spielt das eine Rolle, da der Provider dazu verpflichtet ist der Regierung Daten auf Verdacht auszuhändigen. Auch ohne vorher eine richterliche Genehmigung einzuholen, wie uns der Whistleblower Edward Snowden gezeigt hat. Die momentan sicherste Variante lässt Daten auf dem eigenen Rechner kodieren. Hier hat nur der User den Schlüssel und der Provider hat keinen Zugriff auf den Klartext.
Auch die übertragenen Daten sind so bereits verschlüsselt und können nicht von Netzknotenpunkten oder Providern abgegriffen werden.
Anwendungen zur Verschlüsselung in der Cloud
Der Anbieter Boxcryptor verspricht schnelle und einfache Verschlüsselung von Daten für die gängigen Cloud-Anbieter. Für Privatpersonen ist die Anwendung kostenlos. Verschlüsselt wird mit einem Advanced Encryption Standard (AES) der Länge 256. Dabei handelt es sich um eine besonders sichere Stufe einer bereits sehr sicheren Verschlüsselung. Außerdem wird bei Boxcryptor die RSA Verschlüsselung verwendet, die auf das Zwei-Schlüssel-Prinzip aufbaut. In den letzten 3 Jahren konnte das junge Unternehmen aus Augsburg hinter Boxcryptor einiges an Preisen für Innovation einstreichen.
Das Angebot von Cloudfogger ist ebenfalls zur Verschlüsselung von Daten gedacht. Hier allerdings nur für SkyDrive, Dropbox und Google Drive. Um die Standards herauszufinden muss man leider selbst zum Spion werden. In der Hilfe kann man dann allerdings Informationen dazu finden. Auch hier wird AES-256 verwendet. Ebenso findet die Verschlüsselung RSA Anwendung. Momentan gibt es Cloudfogger kostenlos für jeden. Das Unternehmen kündigt allerdings bereits eine Bezahl-Version mit weiteren Funktionen für kommerzielle Nutzer an.
Swarmdesk bietet ebenfalls AES-256 Encryption an. Das Unternehmen rühmt sich mit der Bezeichnung “100% Safety”. Mit solchen Aussagen sollte man nicht hausieren gehen. Swarmdesk kann nicht nur für Cloud-Daten, sondern auch für E-Mails verwendet werden. Fairerweise muss man sagen dass Swarmdesk gerade in der Entwicklung ist und die Website eher nach einem Entwicklerblog als nach einem fertigen Produkt aussieht.
Erhältlich ist die Software momentan für Dropbox und Google Drive.
Truecrypt zeigt sich als echtes Expertentool. Hier schadet es nicht sich mit der Materie auszukennen um sich durch das Angebot zu lesen. Die Funktionen umfassen die Verschlüsselung von ganzen Partitionen von USB Flash Drives oder anderen Laufwerken. Dass sie ihre Verschlüsselung als “transparent” bezeichnen scheint wie ein Fehlgriff in die Schublade der Werbung, ist aber tatsächlich eine Technik um Datenbanken zu verschlüsseln. Beim Download der Software ist eine Spende erwünscht.
Fazit
Wie man immer wieder erleben muss sind selbst die besten Techniken zur Sicherung nicht 100% sicher. Bei sensiblen Daten sollte genau darüber nachgedacht werden ob die Vorteile einer Cloud so stark dem Sicherheitsgedanken überwiegen.
Auch wenn wir einen Cloud Vergleich machen, ist in manchen Fällen die eigene Festplatte, sicher verschlüsselt mit Truecrypt und mit einer Festplattenkopie, verwahrt an einem sicheren Ort, die bessere Alternative als seine Daten über das Internet auf fremden Servern zu speichern.
Alternativen zum Hosting auf fremden Rechnern bietet z.B. Owncloud. Die Softwarelösung kann sowohl auf einem eigenen server installiert, oder alternativ bei Anbietern wie Owncube gehostet werden. Natürlich ist der Einsatz einer eigenen Cloudlösung mit einem höheren, administrativen Aufwand verbunden. Allerdings erhält man dafür das beruhigende Gefühl, dass die Daten auf eigenen Rechnern liegen auf die man (hoffentlich) nur selbst Zugriff hat.
Wichtig ist dabei einfach der Anwendungsfall. Absolut vertrauliche Firmengeheimnisse brauchen natürlich einen anderen Schutz als die eigenen, unverfänglichen Urlaubsfotos oder die legal erworbene MP3 Sammlung.