1841870

Sicherheit in der Cloud

21.10.2013 | 11:09 Uhr |

Wer sensible Daten bei Cloud-Diensten wie Dropbox, Google Drive oder Skydrive vertrauensselig ablegt, handelt riskant. Nutzen Sie Datenverschlüsselung und weitere Maßnahmen, um die Risiken zu minimieren.

Wenn Sie Ihre Daten Cloud-Anbietern anvertrauen, ergeben sich eine Reihe von Risiken: Der Cloud-Betreiber kann die Daten theoretisch einsehen, die Exekutive kann Einsicht vom Betreiber einfordern (insbesondere bei US-Anbietern), Ihre Zugangsdaten können zufällig oder gezielt ausspioniert werden. Schließlich können technische Pannen die Schleusen öffnen – und sei es auch nur vorübergehend. Dagegen helfen zum einen das Misstrauen, sensible und intime Daten erst gar nicht in die Cloud zu stellen, zum zweiten sichere Zugangsdaten, drittens die sichere Verschlüsselung zumindest jener Dateien, die Sie selbst als sensibel und kritisch einschätzen.

Was gehört in die Cloud?

Cloud-Anbieter hoffen, dass privaten Nutzern die kostenlosen zwei bis fünf Gigabyte nicht lange ausreichen und diese dann auf ein kostenpflichtiges Kontingent umsteigen. Kritische Nutzer nehmen aber die Cloud überwiegend ad hoc als Zwischendepot in Anspruch, um schnell Daten von einem Gerät einem zweiten eigenen Gerät oder einem Mitarbeiter anbieten zu können. Der Einsatz von Client-Software (Google, Microsoft, Dropbox, Ubuntu One) mit lokalen Synchronisierungsordnern verleitet zu unkontrollierten Cloud-Kopien ganzer Arbeitsprojekte oder Fotosammlungen. Wer sichergehen will, sollte darauf verzichten, ganze Ordnerhierarchien einfach in den Sync-Ordner seines Cloud-Dienstes zu kippen. Bankdaten, Unternehmensinterna, Geschäftskontakte, pikante Fotos haben in der Cloud nichts verloren. Die Entscheidung ist eigentlich ganz einfach: Jede Datei, die Sie bei einem Leck des Anbieters beunruhigen würde, sollte auf der lokalen Festplatte bleiben.

Sicherheit aus der Cloud: Vor- und Nachteile

Sichere Zwei-Wege- Authentifizierung

Zwei-Wege-Anmeldung: Google und Dropbox bieten optional einen sehr sicheren Kontenzugang ähnlich dem SMSTAN-Verfahren beim Banking.
Vergrößern Zwei-Wege-Anmeldung: Google und Dropbox bieten optional einen sehr sicheren Kontenzugang ähnlich dem SMSTAN-Verfahren beim Banking.

Gegen ausspionierte Zugangsdaten bieten Google hier und Dropbox hier eine Zwei-Wege-Prüfung. Ist diese aktiviert, genügen für die Anmeldung User-Name und Kennwort nicht mehr. Erst die nach diesem normalen Log-in automatisch zugeschickte SMS mit einer Zahlen-PIN schließt das Konto auf. Mit anderen Worten: Ohne Ihr Handy bleibt ein geknacktes Google- oder Dropbox-Konto verschlossen. Das Verfahren klingt umständlicher, als es ist, weil Sie auf ein und demselben Gerät nach der Erstanmeldung normalerweise tage- und wochenlang keine manuelle Anmeldung benötigen. Trotzdem ist die Vorstellung unangenehm, dass Sie eines Tages an einem anderen PC dringend Zugriff auf die Google-Docs benötigen, aber der Akku des Smartphones mal wieder leer ist.

Sicherer Datenaustausch dank Verschlüsselung

Die beste Präventivmaßnahme ist die Verschlüsselung der Cloud-Daten – zumindest jener, die andere nichts angehen. Unter den vielen Möglichkeiten nennen wir hier drei mit ihren Vor- und Nachteilen:

Boxcryptor ist ein spezialisierter Daten-Tresor für Cloud-Inhalte

Einrichten von Boxcryptor: Installierte Synchronisierungs-Clients (hier Dropbox und Skydrive) erkennt die Software und bietet deren Hauptordner als Ziel an.
Vergrößern Einrichten von Boxcryptor: Installierte Synchronisierungs-Clients (hier Dropbox und Skydrive) erkennt die Software und bietet deren Hauptordner als Ziel an.

Der ganz entscheidende Vorteil: Der Boxcryptor kann nicht nur die Daten aller Cloud-Anbieter verschlüsseln, er kann das auch auf jedem System und Gerät: Windows, Windows RT, Linux, iOS, Mac- OS, Android. In Kürze erklärt arbeitet Boxcryptor so: Sie geben einen Ordner an, dessen Inhalte verschlüsselt werden sollen. Dieser Ordner ist ein Unterordner im Synchronisationsordner Ihrer Cloud, also etwa „\Dropbox\Box- Cryptor.bc“. Vorhandene Cloud-Ordner erkennt Boxcryptor automatisch und bietet den Zielordner beim Einrichten selbst an. Ihre Daten legen Sie dann aber nicht hier ab, sondern in einem virtuellen Laufwerk, dessen Kennbuchstaben Sie selbst bestimmen können. Alles was Sie dort ablegen, speichern, hineinkopieren, ist in diesem Laufwerk normal benutzbar, wird aber im tatsächlichen Ordner AES-verschlüsselt und landet folglich verschlüsselt in der Cloud.

Nachteil: Die kostenlose Version hat die ganz entscheidende Einschränkung, dass sie nur für einen einzelnen Cloud-Dienst nutzbar ist, also etwa für Dropbox oder für Google Drive – aber nicht für beide. Boxcryptor ist außerdem eine recht komplexe Extra-Software mit einem virtuellen Arbeitslaufwerk, die nicht jeder Nutzer sofort intuitiv verstehen wird.

Truecrypt ist eine bewährte Open-Source- Verschlüsselung

Sie eignet sich bei richtiger Nutzung auch für Cloud-Daten. Dazu starten Sie die Software und legen mit „Volumen -> Neues Volumen erstellen“ eine verschlüsselte Container-Datei an – am besten gleich im Synchronisationsordner Ihrer Cloud. Wählen Sie eine geringe „Volumen-Größe“, ein sicheres Kennwort, und „Formatieren“ Sie den Container. Danach lässt sich der Container im Hauptdialog über „Datei“ und „Einbinden“ laden. Es erscheint ein Explorer-Fenster mit dem virtuellen Laufwerk, das Sie beliebig mit Daten befüllen. Später „Trennen“ Sie das virtuelle Laufwerk in Truecrypt . Sobald die Container-Datei nicht mehr von Truecrypt gesperrt ist, wird sie automatisch in die Cloud synchronisiert.

Nachteil: Es gibt keine Zugriffs-Apps für Smartphone und Tablets. Außerdem verursachen geringste Änderungen an einer Datei im Container den kompletten Upload des verschlüsselten Containers. Daher sollten Sie die Größe des Containers immer so gering wie möglich wählen.

Teamarbeit über die Cloud - ein Überblick

7z-Encryption als Windows-Erweiterung

Eine einfache Lösung, um schnell mal Daten lokal oder für die Cloud zu verschlüsseln, bietet die 7z-Encryption der PC-WELT  : Sie basiert auf dem Open-Source-Packer 7-Zip, der eine sichere Verschlüsselung bietet, sofern das Kennwort ausreichend lang und komplex ist. Zum Einsatz:

1. Entpacken Sie das Zip-Archiv „7zEnc. zip“, und verschieben Sie den resultierenden Ordner Ordner „7zEnc“ an einen Ort, wo er dann dauerhaft bleiben kann.

2. Starten Sie dann die Datei „7zEnc_Register_[ Als_Administrator].cmd“ nach einem Rechtsklick mit der Option „Als Administrator ausführen“.

3. Danach öffnen Sie die Datei „7zEnc.cmd“ und ändern das voreingestellte komplexe Standardpasswort „u R-2 w_6=.?)3-7!L*9#“ an beiden Stellen. Das Kennwort darf dabei auch länger oder kürzer werden. Länge und Komplexität sind deshalb kein Problem, weil Sie das Kennwort niemals manuell eingeben müssen. Allerdings sollten Sie sich das Kennwort an sicherer Stelle ein zweites Mal aufbewahren. Im Explorer steht nun nach Rechtsklick auf Ordner und Dateien das Kontextmenü „7z-Encryption“ bereit, das Dateien und Ordner sicher einpackt. Verschlüsselte Dateien erhalten die künstliche Extension „7zEnc“. Daran erkennt die Shell-Erweiterung, wenn sie Daten auspacken soll. Sie haben 7-Zip bereits an Bord? Auch dann können Sie den beschriebenen Weg gehen. Nötig ist das aber nicht: Hier genügt es, die Batch-Dateien „7zEnc.cmd“ und „7zEnc_Register_[Als_Administrator].cmd“ in das Programmverzeichnis von 7-Zip zu kopieren. Dort starten Sie dann „7zEnc_Register_[ Als_Administrator].cmd“ und setzen das eigene Kennwort in „7zEnc.cmd“ ein.

Nachteil: 7z-Encryption ist eine reine Windows- Lösung für Windows-PCs und Notebooks. Auf anderen Systemen sind die Archive entweder nicht oder nur umständlich nutzbar.

0 Kommentare zu diesem Artikel
1841870