Vorsicht vor Wolke 7
Ist Cloud-Computing- die Auslagerung eigener Daten bei einem Internet-Dienst-Anbieter - nun sicher oder grob fahrlässig: In der Welt der Bits und Bytes gibt es keine 100%ige Sicherheit! Aber es gibt empfehlenswerte Annäherungen...
Schon Edward Snowden hat vor der Nutzung des Speicher-Dienst-Anbieters Dropbox gewarnt: er sei ein leichtes Ziel für die NSA. Da hat er wohl etwas untertrieben: 2014 wurde bekannt, dass ausgerechnet die ehemalige US-Außenministerin und Beraterin für Nationale Sicherheit, Condoleezza Rice, Mitglied im Dropbox-Verwaltungsrats sei. Spätestens seit dieser Feststellung ist der vermeintlich sichere Cloud-Dienst für User, denen ihre Persönlichkeitsrechte wichtig sind, No-Go-Area.
Snowdons Cloud-Empfehlung
Der Whistleblower empfiehlt als Cloud-Lösung den amerikanischen Anbieter Spideroak: dieser verwende das Zero-Knowledge-Verfahren, bei dem der Anbieter keinerlei Einblick auf die Kundendaten habe. Zugangsdaten werden dabei ausschließlich auf dem Computer des Anwenders gespeichert und die Daten zusätzlich verschlüsselt. Wer bei dieser Technik sein Passwort verliert, hat keine Möglichkeiten mehr, seine Daten je wieder zu erhalten.
2015 hatte ich 6 Monate den Online-Daten-Dienst getestet und war durchaus zufrieden mit ihm, da ich z.B. auch Datenzugriff über mein Smartphone bzw. Tablet erhielt. Doch Vorsicht!
Vorsicht vor amerikanischen Anbietern
Spideroak ist ein amerikanisches Unternehmen und verspricht Sicherheit durch zero-knowledge File Storage. Ein Widerspruch in sich? Zusätzlich gibt es massive Sicherheitsbedenken, da das Web-Interface des Anbieters in JavaScript geschrieben ist – und dies in Sicherheitskreisen als nicht sicher eingestuft wird.
Meine persönliche Empfehlung
Wägen Sie genau ab, welche Daten Sie - auch bei einem vermeintlich-sicheren Cloud-Anbieter - online stellen wollen: Persönlich wichtige Daten gehören nicht ins Internet - sondern auf ein verschlüsseltes Medium: Lokale Festplatte und zur Sicherung auf einen USB-Stick/Festplatte. Wollen Sie mit nicht so emfpindlichen Daten eine Cloudlösung nutzen, dann schauen Sie sich meine Empfehlung an:
Hätte ich also noch vor einem Jahr eine Empfehlung zu einer Cloud-Lösung geben sollen, dann wäre es Spideroak gewesen. Ein Jahr später -und einige Erfahrungen und Gedanken weiter - heißt meine Empfehlung heute : Tresorit: Ein schweizer Unternehmen, dass für seine Cloud-Technik das Zero-Knowledge-Verfahren verwendet und dessen Rechenzentrum sich in Europa befindet.
Das Unternehmen hat ein Preisgeld von Eur 50.000,- ausgesetzt für den Hacker, der es schafft, das Sicherheitssystem zu knacken. Der Wettbewerb wurde vor 468 Tagen gestartet und bis heute seien 1056 Hacker daran gescheitert.
Doch auch wenn der WDR auf der Unternehmens-Website zitiert wird: “Alles wird im eigenen Gerät ver- und entschlüsselt. Knacken oder Hacken ist damit völlig unmöglich.” - darf nicht vergessen werden: Ist das eigene Gerät kompromittiert, dann sind die Daten nicht mehr sicher!
Eine andere Alternative wäre natürlich, seine Cloud selbst zuhause zu hosten. z.B. mit der Open-Source-Software arXshare: diese verwendet zero-knowledge und end-to-end encryption und kann auf dem eigenem Server gehostet werden. Die Open-Source-Gemeinde überwacht die Entwicklung der Anwendung und kann so eine Zusammenarbeit mit Behörden ausschließen.
Tipp: Wenn Ihnen der Schutz Ihrer Persönlichkeitsrechte wichtig ist, dann sollten Sie prinzipiell jede Cloud-Lösung ablehnen, die nicht in Europa gehostet ist!
Augenzwinkern:
Manchmal sickert in offiziellen Verlautbarungen mehr durch, als vielleicht beabsichtigt war, - und gewährt uns Bürgern "zufällig" Einblick hinter den Schleier der Machtvernebelung. So etwa, als eben der Dropbox-Mitbegründer und Chef Drew Houston 2014 verlautbarte: „Wir sind stolz darauf, Dr. Condoleezza Rice in unserem Verwaltungsrat begrüßen zu dürfen.“ – und dabei erwähnte, dass sie auch bei Hewlett-Packard im Verwaltungsrat säße...
Interessante Internet-Links zum Thema:
Viele Cloud-Dienste überflüssig und unsicher
Snowden warnt vor Dropbox: Nutzer sollten sich Dienste mit Zero-Knowledge-Philosophie suchen
Javascript Cryptography Considered Harmful