Acht Tipps für die sichere Cloud

Tipp 3 - Server-Standort beachten

Sobald der Begriff "Cloud" fällt, werden deutschsprachige Benutzer hellhörig. Zu viel wurde in den Medien über den "Patriot Act" und die mitunter für den europäischen Markt zu schwachen Datenschutzrichtlinien in den USA berichtet. Die Diskussionen um den Patriot Act sind bekannt: US-amerikanische Behörden wie FBI, CIA oder NSA haben auch ohne richterliche Anordnung Zugriff auf Informationen auf Servern von US-Unternehmen. Dies gilt ebenso für ausländische Tochterunternehmen von US-Firmen. Diese sind selbst dann verpflichtet, den Behörden Zugriff zu gewähren, wenn es die lokalen Datenschutzrichtlinien in einem anderen Land untersagen.

Wer sichergehen möchte, dass die US-Behörden keinen Zugriff erlangen, muss somit einerseits prüfen, ob die Server, auf denen die Daten gespeichert werden, nicht in den USA stehen, und andererseits, ob das Unternehmen, das die Dienstleistung anbietet, keine Tochtergesellschaft eines primär US-amerikanischen Unternehmens ist. Bevor besonders sensible Informationen, beispielsweise die Patientendaten einer Arztpraxis, auf einem Online-Speicher abgelegt werden, empfiehlt es sich deshalb generell, den Rat oder eine Unbedenklichkeitsbescheinigung eines Datenschutzbeauftragen einzuholen.

Irland ist bei vielen Anbietern ein beliebter Standort in der Europäischen Union. Seit einigen Wochen mehren sich jedoch die Hinweise, dass irische Politiker den Datenschutz lockern möchten, da es für die Unternehmen teuer werden kann, wenn es gemäß dem EU-Recht zu einem Verstoß gegen die Richtlinien kommt. Diese Diskussion gilt es in der nächsten Zeit aufmerksam zu verfolgen!

Tipp 4 - Protokollfrage

Im Jahr 2012 veröffentlichte das Fraunhofer-Institut unter dem Titel "On The Security Of Cloud Storage Services" eine Sicherheitsanalyse des Online-Speicher-Markts. Das Gesamtergebnis ist für die Branche eine Ohrfeige, da keine der sieben geprüften Lösungen ohne Mangel war. Während der Benutzer blauäugig davon ausgeht, dass die Verbindung zwischen ihm und seinem Dienstanbieter gegenüber unberechtigten Zugriffen geschützt ist, sehen das einige Anbieter wohl etwas lockerer.

Einige Dienstleister verwenden bei der Absicherung der Datenübertragung zwischen Client und Server nicht einmal etablierte Standardprotokolle. Beispielsweise verzichtete der Anbieter Cloudme komplett auf eine Datenverschlüsselung. Die Verschlüsselung bei Crashplan, Teamdrive und Wuala setzt nicht auf den allgemein gebräuchlichen Konzepten von SSL/TLS auf, sondern sie verwenden eigene, nicht veröffentlichte Protokolle. Dieser Weg der "Security through Obscurity" wird jedoch gemeinhin zu Recht als Sicherheitsrisiko eingeschätzt.

Laut Fraunhofer-Institut verzichten Cloudme, Dropbox und Ubuntu One zudem auf eine Verschlüsselung auf Client-Seite. Die Informationen sind beim Dienstanbieter somit im Klartext abgelegt. Wer seine Daten einem solchen Anbieter überlässt, speichert dort entweder keine sensiblen Daten ab oder vertraut auf die Diskretion des Anbieters - sehr leichtsinnig. Wir raten, sehr genau zu überprüfen, wie und mit welchen - hoffentlich sicheren - Protokollen die Daten zum Cloud-Provider und wieder zurück gelangen.