Cloud Computing


Google Drive, Microsoft Skydrive, Teamdrive

Acht Tipps für die sichere Cloud

Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

Tipp 1 - Das Kleingedruckte lesen

Microsofts Datenschutz- und Nutzungsbestimmungen umfassen neun DIN-A4-Seiten.
Microsofts Datenschutz- und Nutzungsbestimmungen umfassen neun DIN-A4-Seiten.
Foto: Frank-Michael Schlede / Thomas Bär

Da es so viele Anbieter gibt, ist die Auswahl entsprechend schwierig. Geht es nur um die eigenen, primär persönlichen Daten, so bieten sich die klassischen Dienste von GoogleGoogle oder MicrosoftMicrosoft an. Aber auch klassische Internet-Provider wie beispielweise 1&1 haben ihre Angebote um Online-Speicher oder gar komplette "Cloud-Office"-Lösungen erweitert. Wie bei jedem Vertragsabschluss gilt auch hier: Der Blick in die Geschäftsvereinbarungen ist besonders wichtig. Als Beispiel für Sicherheitsprobleme, die schon zu diesem Zeitpunkt auftreten können, möchten wir an die erste Fassung der deutschsprachigen allgemeinen Geschäftsbedingungen des Google-Dienstes erinnern: Hier stand im "Kleingedruckten" zunächst, dass Google das Recht habe, alle vom Anwender erstellten Dokumente beliebig weiterzuverwenden. Die Firma hat diese Klausel als Übersetzungsfehler bezeichnet und den Abschnitt komplett ersetzt. Der Vorfall zeigt aber deutlich, wie wichtig der Blick in die Geschäftsvereinbarungen für die Sicherheit und Integrität der Daten ist, die Sie in einem Cloud-Speicher ablegen. Alles zu Google auf CIO.de Alles zu Microsoft auf CIO.de

Tipp 2 - Immer mehrfach sichern

Auch wenn die Anbieter immer wieder gern suggerieren, dass bei Verwendung eines Cloud-Speichers alle Daten absolut sicher sind: Der Online-Speicher sollte niemals der einzige Speicherort für wichtige Daten sein. Solche Cloud-Services sind eine praktische Alternative zu anderen Speichermedien, wie beispielsweise traditionellen Backup-Systeme oder externen Festplatten, da sie vor Zerstörung oder Naturkatastrophen am eigenen Standort schützen. Sie helfen aber beispielsweise nicht bei der Insolvenz eines Anbieters. Sollte ein Dienst wegen wirtschaftlicher Schwierigkeiten eingestellt werden müssen, kann es durchaus passieren, dass die Daten von einem Tag auf den anderen weg sind. So bleibt auch hier nur der Hinweis: Regelmäßig Backups sind und bleiben wichtig - auch wenn die Daten auf einem Cloud-Speicher liegen.

Tipp 3 - Server-Standort beachten

Am deutschen Anbieter Hornetdrive gefällt nicht nur der Wizard, sondern auch die klare Regelung der Zugriffsrechte.
Am deutschen Anbieter Hornetdrive gefällt nicht nur der Wizard, sondern auch die klare Regelung der Zugriffsrechte.
Foto: Frank-Michael Schlede / Thomas Bär

Sobald der Begriff "Cloud" fällt, werden deutschsprachige Benutzer hellhörig. Zuviel wurde in den Medien über den "Patriot Act" und die mitunter für den europäischen Markt zu geringen Datenschutzrichtlinien in den USA berichtet. Die Diskussionen hinsichtlich des Patriot Acts sind bekannt: US-amerikanische Behörden wie das FBI, CIA oder NSA haben auch ohne richterliche Anordnung Zugriff auf Informationen auf Servern von US-Unternehmen. Dies gilt auch für ausländische Tochterunternehmen von US-Firmen. Diese sind selbst dann verpflichtet, den Behörden Zugriff zu gewähren, wenn es die lokalen Datenschutzrichtlinien in einem anderen Land untersagen.

Wer sicher gehen möchte, dass die US-Behörden keinen Zugriff erlangen, muss somit einerseits prüfen, ob die ServerServer, auf denen die Daten gespeichert werden, nicht in den USA stehen und weiterhin, ob das Unternehmen, welches die Dienstleistung anbietet, kein Tochterunternehmen eines primär US-amerikanischen Unternehmens ist. Bevor besonders sensible Informationen, beispielsweise die Patientendaten einer Arztpraxis, auf einem Online-Speicher abgelegt werden, empfiehlt es sich deshalb generell, den Rat oder eine Unbedenklichkeitsbescheinigung eines Datenschutzbeauftragen einzuholen. Alles zu Server auf CIO.de

Irland ist bei vielen Anbietern ein beliebter Standort in der Europäischen Union. Seit einigen Wochen mehren sich jedoch die Hinweis, dass irische Politiker den Datenschutz lockern möchten, da es für die Unternehmen teuer werden kann, wenn es gemäß dem EU-Recht zu einem Verstoß gegen die Richtlinien kommt. Diese Diskussion gilt es in der nächsten Zeit noch aufmerksam zu verfolgen!

Tipp 4 - Protokollfrage

Im Jahr 2012 veröffentlichte das Fraunhofer-Institut unter dem Titel "On The Security Of Cloud Storage Services" eine Sicherheitsanalyse des Online-Speichermarkts. Das Gesamtergebnis ist für die Branche eine Ohrfeige, da keine der sieben geprüften Lösungen ohne Mangel war. Während der Benutzer stillschweigend davon ausgeht, dass die Verbindung zwischen ihm und seinem Dienstanbieter gegenüber unberechtigten Zugriffen geschützt ist, sehen das einige Anbieter wohl etwas lockerer.

WebDAV erleichtert die Integration des Online-Speichers in das Betriebssystem.
WebDAV erleichtert die Integration des Online-Speichers in das Betriebssystem.
Foto: Frank-Michael Schlede / Thomas Bär

Einige Dienstleister verwenden bei der Absicherung der Datenübertragung zwischen Client und Server nicht einmal etablierte Standardprotokolle. Beispielsweise verzichtete der Anbieter Cloudme komplett auf eine Datenverschlüsselung. Die Verschlüsselung bei Crashplan, Teamdrive und Wuala setzt nicht auf den allgemein gebräuchlichen Konzepten von SSL/TLS auf, sondern verwenden eigene nicht veröffentlichte Protokolle. Dieser Weg der "Security through Obscurity" wird jedoch gemeinhin zu Recht als Sicherheitsrisiko eingeschätzt.

Laut dem Fraunhofer Institut verzichten Cloudme, Dropbox und Ubuntu One zudem auf eine Verschlüsselung auf Client-Seite. Die Informationen sind beim Dienstanbieter somit im Klartext abgelegt. Wer seine Daten einem solchen Anbieter überlässt, speichert dort entweder keine sensible Daten ab oder vertraut auf die Diskretion des Anbieters… Wir raten dazu, sehr genau zu überprüfen, wie und mit welchen - hoffentlich sicheren - Protokollen die Daten zum Cloud-Provider und wieder zurück gelangen.

Zur Startseite