Daten im Cloud-Speicher oder Online-Speicher – manch einer hat dabei die Assoziation, dass seine Daten ungeschützt durch den Äther vagabundieren und niemand so genau weiß, was mit ihnen geschieht.
Tatsächlich liegen die Daten jedoch auf einem Server, der von Fachpersonal administriert wird. Moderne Serverfarmen sind gegen Hackerangriffe von außen sehr gut geschützt. Die Daten der Kunden werden darüber hinaus redundant gespeichert, damit sie unter allen Umständen wiederbeschaffbar sind.
Berechtigungseinstellungen, die der Besitzer der Daten selbst einrichten kann, schützen vor unbefugtem Zugriff – wobei allerdings in den USA aufgrund der dortigen Antiterror-Gesetze (u.a. „Patriot Act“) unter bestimmten Umständen auch Geheimdienste Zugriff auf die Daten erlangen.
Hausgemachte Sicherheitsprobleme
Unternehmen in Deutschland stimmt dies oft skeptisch. Trotzdem soll darauf hingewiesen werden, dass dieselben Unternehmen auf anderen Ebenen sehr sorglos mit ihren Daten umgehen. Hoch geheime Informationen werden per unverschlüsselter E-Mail übermittelt, obwohl jedem bewusst sein sollte, dass eine E-Mail ungefähr so vertraulich ist wie eine Postkarte.
Mitarbeiter schleppen schutzwürdige Daten oft auch auf den Festplatten ihrer Laptops herum. Diese Computer bleiben schon einmal in der Bahn oder im Taxi liegen, oder sie werden gestohlen oder werden durch einen Sturz auf den Boden zerstört.
Das Smartphone ist ein weiteres, oft unterschätztes Datenleck.
Hinzu kommen Situationen, in denen sich Mitarbeiter selbst Plattformen für den Datenaustausch in der Cloud suchen, weil ihre Unternehmen diese nicht bereitstellen. Hier führt dann die Cloud-Phobie der Arbeitgeber ironischerweise dazu, dass die schutzwürdigen Daten gerade bei den Anbietern mit den niedrigsten Sicherheitsstandards landen.
Drei Aspekte der Datensicherheit
Drei Aspekte spielen für die Sicherheit Ihrer Daten in der Cloud eine Rolle:
Standort des Servers
Es gilt das Datenschutzrecht des Landes, in dem der Server steht. Cloud-Anbieter, die mit „Hosting in Germany“ werben, unterliegen somit dem strengen deutschen Datenschutzrecht. Zu diesen Unternehmen gehören z. B. die Telekom, der Hosting-Anbieter STRATO, aber auch kleinere Cloud-Unternehmer wie CenterDevice.
Andere Unternehmen bieten ein „Hosting in der EU“. Hier gelten die Datenschutzrichtlinien 95/46/EG und 2002/58/EG. EU-Länder haben darüber hinaus ihre eigenen Datenschutzregelungen.
In Irland ist das Datenschutzrecht ist zwar großzügiger als in Deutschland, aber restriktiver als in den USA, besonders, was den Zugriff von NSA und Co angeht. Versuche, den deutschen Datenschutz durch AGB-Klauseln auszuhebeln, wie dies z. B. Dropbox tun möchte, sind rechtlich strittig.
Wieder andere Anbieter haben ihren Serverstandort in den USA oder betreiben Serverfarmen an vielen verschiedenen Orten auf der Welt. Das muss nicht unbedingt bedeuten, dass die darauf gehosteten Daten „Freiwild“ sind. Amerikanische Anbieter lassen sich z. B. nach dem „Safe Harbor“-Verfahren o.ä. zertifizieren. Microsoft nimmt sogar einen Rechtsstreit mit der US-Regierung in Kauf, weil es deren Ersuchen um Offenlage von Daten nicht nachkommen will.
Verschlüsselung der Datenübertragung
Die meisten Cloud-Anbieter achten darauf, dass die Datenübertragung beim Hochladen auf oder Herunterladen von dem Cloud-Speicher verschlüsselt stattfindet. Dabei wird mit Technologien wie z. B. SSL eine verschlüsselte Verbindung hergestellt, damit Daten auf der Reise vom Endgerät zum Server und umgekehrt sicher bleiben.
Die Daten selbst bleiben von dieser Technologie unberührt, d. h. sie werden nicht verschlüsselt. Auf dem Server und dem Client liegen sie im Klartext vor und können von jedem ausgelesen werden, der darauf zugreift.
Verschlüsselung der Daten selbst
Abschließend können auch die Daten selbst verschlüsselt werden. Diese Verschlüsselung kann auf der Clientseite oder auf der Serverseite stattfinden.
Auf der Clientseite
Wer seine Daten bereits auf dem Client verschlüsselt, ehe sie auch nur auf einen Cloud-Speicher hochgeladen werden, kann sich weitgehend in Sicherheit wiegen. Neben betriebssystemeigenen Tools und Techniken, etwa durch das EFS (Encrypted File System) von Windows, gibt es Programme, die E-Mails, Dateien, Ordner, USB-Sticks oder ganze Partitionen verschlüsseln können. Das ist natürlich der Königsweg, um die eingangs genannten Sicherheitslücken durch mobile Geräte und ungeschützten E-Mail-Verkehr in den Griff zu bekommen. Doch auch für die Cloud sind diese Techniken bedeutend: Werden die Daten verschlüsselt auf den Cloudspeicher hochgeladen, können sie auch vom Anbieter oder den US-Geheimdiensten nicht gelesen werden.
Auf der Serverseite
Einige Anbieter punkten sogar mit serverseitiger Datenverschlüsselung. Das bedeutet, dass die Daten, die Kunden in ihrem Cloud-Speicher ablegen, dort verschlüsselt werden. Der Kunde muss dem Anbieter in dieser Hinsicht Vertrauen entgegenbringen.
Weiterführende Informationen
Wer sich zu diesem Thema weiterbilden möchte, kann dies auf folgenden Websites tun:
- secunet.com / Allianz für Cybersicherheit
- Bundesamt für Sicherheit in der Informationstechnik (BSI)
- Deutschland sicher im Netz – DsiN-Blog
- Beitrag zum Thema Datenverschlüsselung bei der Zeitschrift Chip