1904323

So machen Sie Cloud-Dienste sicher

12.03.2014 | 12:19 Uhr |

Daten in der Cloud waren die letzten Jahre ein Hype, und Cloud-Anbieter wuchsen wie Pilze. Heutzutage ist aber Verschlüsselung Thema der Stunde.

Neben den namhaften Cloud-Anbietern wie Dropbox, Ubuntu One, Google Drive, Hidrive, Skydrive, Spideroak, Wuala sind mittlerweile noch diverse Dienstleister und Hardware-Anbieter wie Telekom, GMX, Amazon oder Samsung auf die Datenwolke gesprungen. Und so mancher Linux- und Windows-Nutzer war überall dabei, wo kostenlos ein paar Gigabyte hergingen: Man könnte ja was verschenken. Dass Daten auf einem externen Server nützlich sein können, ist unbestritten. Aber jetzt, nach dem NSASkandal, dürfte glasklar sein, dass man seine Daten nicht bedenkenlos über den Globus verteilen sollte.

1. Motive für Cloud-Daten: Einige Gigabyte reichen

Bei heutigen Festplattengrößen, günstigen externen Platten und NAS-Lösungen muss niemand massenhaft Fotos, Musik oder Texte ins Internet sichern. Dagegen spricht neben dem Datenschutzaspekt vor allem der meist langsame Upload. Nachvollziehbare Motive für den Einsatz von Cloud-Speicher sind hingegen folgende:

  • Wichtige Daten wie Kontakte, Kennwörter, Projektdaten sollen zentral von jedem Ort und Gerät zugänglich sein. Eine eher seltene Variante dazu: Technische Daten wie externe und interne IP-Adressen, Systemlogs und Online/-Offline-Status der LAN-Geräte sollen via Cloud abrufbar sein.

  • Besonders wichtige Dateien sollen zusätzlich zur lokalen Sicherung auch im Internet liegen, damit sie im Web auch einen Elementarschaden zu Hause überleben.

  • Sie möchten Dateien für andere bereitstellen.

Für diese Einsatzzwecke genügen die kostenlosen zwei bis fünf Gigabyte in der Regel vollkommen, wie sie etwa Ubuntu One, Dropbox oder Google anbieten. Nutzen Sie immer erst das Kontingent eines Anbieters: Je mehr Sie Ihre Daten über verschiedene Anbieter streuen, desto schneller geht der Überblick verloren und desto größer wird der Aufwand, sensible Daten überall konsequent zu verschlüsseln.

Die nachfolgenden Tipps setzen größtenteils (Ausnahme allenfalls Tipp 2) einen Cloud-Service voraus, der einen lokalen Sync-Ordner und eine entsprechende Client-Software bietet. Unter Linux kommen dafür in erster Linie Dropbox und Ubuntu One in Betracht. Das leider nicht mehr kostenlose Hidrive von Strato ist ebenfalls erste Wahl, weil es sich – ohne Sync-Software – direkt in das lokale Dateisystem einbinden lässt.

Per Owncloud sicher auf persönliche Daten zugreifen

GUIIntegrierte 7zip-Verschlüsselung: Mit Hilfe des Nautilus-Actions Configuration Tools (in der Abbildung rechts) erhält der Ubuntu-Dateimanager das Kontextmenü „7zEncryption“.
Vergrößern GUIIntegrierte 7zip-Verschlüsselung: Mit Hilfe des Nautilus-Actions Configuration Tools (in der Abbildung rechts) erhält der Ubuntu-Dateimanager das Kontextmenü „7zEncryption“.

2. Dateien und Ordner einzeln verschlüsseln

Nicht alle Dateien oder Ordner, die Sie auf einen Cloud-Speicher kopieren, benötigen Datenschutz durch Verschlüsselung. Daher genügt es oft, die wirklich sensiblen Daten ad hoc manuell zu codieren. Für diese Aufgabe reicht ein Packer wie 7zip, der Archive mit Passwort schützen kann und optional die Dateinamen unlesbar codiert. Bei ausreichend komplexem Passwort bieten diese 7zip-Archive hohe Sicherheit.

Solches Verschlüsseln und Entschlüsseln lässt sich durch ein einmal dafiniertes Standardpasswort erheblich vereinfachen, das 7zip per Script automatisch übergeben wird. Die Linux- Welt bietet auf Heft-DVD für den Ubuntu-Standard-Dateimanager Nautilus eine sehr komfortable und klickfreundliche Lösung. Installieren Sie zunächst das Nautilus-Actions Confiuration Tool:

sudo apt-get install nautilusactions

Starten Sie dann das Tool über das Dash (Super- oder Windows-Taste). Es findet sich dort als „Einstellungen für Nautilus-Aktionen“. Über „Werkzeuge -> Importassistent“ lesen Sie dann die beiden Dateien ein.

Danach zeigt der Dateimanager Nautilus nach Rechtsklick auf ein Dateiobjekt (Datei oder Verzeichnis) den neuen Eintrag „7zEncryption“. Damit wird das Objekt automatisch im aktuellen Ordner mit dem Standardpasswort eingepackt und verschlüsselt. Umgekehrt erkennt Nautilus gepackte Archive an der künstlichen Extension „7zEnc“ und entpackt sie mit dem Kontextmenü „7zEncryption“ im aktuellen Verzeichnis.

Beachten Sie, dass zwar ein komplexes Passwort voreingestellt ist, das Sie dennoch unbedingt durch ein eigenes ersetzen sollten. Gehen Sie dazu im Nautilus-Actions Configuration Tool auf die beiden Einträge „7zEncryption“, und ersetzen Sie auf der Registerkarte „Befehl“ alles, was nach dem Schalter „-p“ in Anführungszeichen steht, durch Ihr Kennwort. Das Kennwort muss für beide Einträge genau identisch sein.

Windows: Um so verschlüsselte Archive auch unter Windows nutzen zu können, verwenden Sie 7zEnc für Windows. Eine Installationsanleitung ist ebenfalls in diesem Ordner.

Android: Auf Smartphones können Sie mit Zarchiver passwortgeschützte 7zip-Archive entpacken oder erstellen. Hier müssen Sie aber das komplexe Kennwort manuell eingeben.

Unspektakuläre Ersteinrichtung eines Enc-FS-Ordners: Nach dem encfs-Kommando mit dem Quell-Ordner und dem Mount-Ordner ist nur noch die Kennwortvergabe erforderlich.
Vergrößern Unspektakuläre Ersteinrichtung eines Enc-FS-Ordners: Nach dem encfs-Kommando mit dem Quell-Ordner und dem Mount-Ordner ist nur noch die Kennwortvergabe erforderlich.

3. Sync-Ordner der Cloud mit Enc FS verschlüsseln

Enc FS (Encrypted Filesystem) bietet einen komfortablen Weg, entweder alle Cloud-Daten zu verschlüsseln oder – in einem Unterverzeichnis – jenen vertraulichen Teil, den weder der Cloud-Betreiber noch Geheimdienste einsehen sollen. Enc-FS-verschlüsselte Daten sind unter jedem Betriebssystem verwendbar: Neben Linux können Android-Geräte mit der voll kompatiblen App Cryptonite Enc-FS-Daten lesen. Für Mac-Bastler gibt es – nach einem gewissen Installationsaufwand – ein praktisch identisches Enc FS.

Auf Windows lässt sich das – allerdings nur bedingt – kompatible Boxcryptor einsetzen. Boxcryptor Free scheitert zum Beispiel, wenn Enc FS mit Dateinamenverschlüsselung arbeitet, und das ist ohne Benutzereingriff der Standard.

Enc-FS-Verschlüsselung ist flexibler als etwa Truecrypt: Sie müssen nicht planen, wie groß Ihre Datenmengen werden, sondern legen einfach einen neuen Ordner an. Alles, was Sie anschließend in den Mount-Ordner legen, wird automatisch verschlüsselt.

Enc FS ist meist nicht vorinstalliert, aber in den Repositories aller namhaften Distributionen enthalten. Unter Ubuntu können Sie es über das Software-Center installieren oder auch einfach auf der Kommandozeile mit:

sudo apt-get install encfs

Ein zusätzliches grafisches Frontend wie der gnome-encfs-manager vereinfacht zwar die Bedienung, solche GUI- Tools sind aber nicht mit jedem System, jeder Version oder jedem Desktop kompatibel. Daher beschreiben wir im Folgenden die generell taugliche Nutzung auf der Kommandozeile.

Als Beispiel gehen wir davon aus, dass Sie einen Synchronisierungsordner von Ubuntu One verschlüsseln möchten – etwa „/home/user/UbuOne“. Wenn sich darin bereits Daten befinden, spielt das keine Rolle, sie bleiben dann aber weiterhin unverschlüsselt. Legen Sie an beliebiger Stelle im Dateisystem einen Mount-Ordner an, etwa am Desktop und mit dem Namen „Cloud“. Dann geben Sie auf der Kommandozeile diesen Befehl ein:

encfs /home/user/UbuOne /home/user/Arbeitsfläche/Cloud

Der erste Parameter ist das zu verschlüsselnde Verzeichnis, an zweiter Stelle folgt der Mount-Punkt. Bei der Ersteinrichtung werden Sie nun nach dem Einrichtungsmodus gefragt, was Sie mit der Enter-Taste überspringen und damit den „Standard-Modus“ auslösen. Dieser Standard bietet 192-Bit-AES-Verschlüsselung inklusive Dateinamen-Codierung. Danach müssen Sie nur noch ein Kennwort eingeben und dieses bestätigen.

Ignorieren Sie künftig das verschlüsselte Verzeichnis, und arbeiten Sie ausschließlich im Mount-Ordner mit den lesbaren Daten (hier im Beispiel der Ordner „Cloud“ am Desktop). Alles, was Sie dort einstellen oder bearbeiten, landet umgehend verschlüsselt im eigentlichen Quellverzeichnis. Von dort gehen dann die Daten weiter zum Cloud-Server im Web. Wenn Sie einen verschlüsselten Ordner nicht mehr benötigen, entladen Sie seinen Moun-Punkt mit folgendem Befehl:

fusermount -u /home/user/Arbeitsfläche/Cloud

Künftiges Laden geschieht mit genau demselben Enc-FS-Befehl wie oben bei der Ersteinrichtung. Dabei wird nur noch das Kennwort abgefragt.

Cloud-Dienste mit Boxcryptor schützen

4. Tipps zur optimierten Enc-FS-Bedienung

Tipp 1: Wenn Sie einen Cloud-Ordner auf die beschriebene Weise für Enc-FSVerschlüsselung eingerichtet haben, der vorher bereits Daten enthielt, bleiben diese unverschlüsselt. Nur neue, im Mount-Verzeichnis erstellte Dateien werden codiert. Wenn Sie ältere Dateien des Cloud-Ordners nachträglich verschlüsseln wollen, verschieben Sie diese einfach vom tatsächlichen Verzeichnis in das Mount-Verzeichnis.

Tipp 2: Die tägliche Eingabe des Kennworts beim Mounten können Sie sich sparen: Wenn Sie dem Programmaufruf encfs die Option -stdinpass oder kurz -S mitgeben, übergeben Sie das Kennwort mit echo direkt per Script:

echo kennwort | encfs -S [Quellordner] [Mountordner]

Ein Shell-Script zum Mounten eines verschlüsselten Ordners könnte dann so aussehen:

echo kennwort | encfs -S /home/user/UbuOne /home/user/Arbeitsfläche/Cloud nautilus /home/user/Arbeitsfläche/Cloud

Tipp 3: Wer es noch bequemer haben und zum Laden des Ordners nicht das Terminal bemühen will, kann ein solches Script auch grafisch veredeln. Für den Einbau des Scripts in das Kontextmenü des Dateimanagers Nautilus eignet sich dafür wieder das bereits erwähnte Nautilus-Actions Configuration Tool (siehe Punkt 2).

Enc-FS-Verschlüsselung: Das grün markierte Kommando (oben) lädt den verschlüsselten Cloud-Ordner (Mitte) in den virtuellen Ordner (unten).
Vergrößern Enc-FS-Verschlüsselung: Das grün markierte Kommando (oben) lädt den verschlüsselten Cloud-Ordner (Mitte) in den virtuellen Ordner (unten).

5. Externe IP in der Cloud: Einfacher Weg zum Fernzugriff

DSL-Nutzer erhalten täglich eine neue öffentliche IP-Nummer. Folglich ist es nicht möglich, einen heimischen FTPServer aus der Ferne mit einer konstanten IP anzusprechen. Um dieses Problem zu umschiffen, hilft ein Host-Name eines DNS-Anbieter, der die wechselnde WAN-IP jeweils auf diesen Hostnamen umleitet (siehe S. 54). Dank Cloud-Speicher ist das aber nicht zwingend erforderlich: Sie können Ihre externe IP täglich auf einem Cloud-Speicher oder auf Ihrer Homepage ablegen. Über diese IP ist dann der Server erreichbar, sofern die sonstigen Voraussetzungen stimmen (der Router muss FTP-Anfragen auf Port 21 an die interne IP Ihres FTP-Servers weiterleiten). Sie können einen beliebigen Cloud-Anbieter verwenden – Ubuntu One, Strato Hidrive, Dropbox oder wie auch immer. Voraussetzung ist nur, dass die Cloud im lokalen Dateisystem eingebunden ist und synchronisiert wird. Dann genügt, hier am Beispiel Hidrive, folgender Befehl:

curl http://ifconfig.me >/home/ha/hidrive/extIP.txt.

Vom lokalen Sync-Ordner geht die kleine Textdatei dann automatisch in die Cloud. Das hierfür notwendige Tool Curl sollte auf keinem System fehlen und ist mit sudo apt-get install curl schnell nachinstalliert. Um die Herkunft der IP-Info besser zu dokumentieren, können Sie noch weitere Infos in die Datei schreiben, etwa den Rechnernamen ( uname -n ) oder die Zeit ( date +%d.%m.%Y-%T).

Die heutige WAN-IP auf den Cloud-Speicher schreiben: Das ist ein Fall für ein automatisch auszuführendes Start-Script. Was das Shell-Script enthalten sollte, beschreibt der Haupttext.
Vergrößern Die heutige WAN-IP auf den Cloud-Speicher schreiben: Das ist ein Fall für ein automatisch auszuführendes Start-Script. Was das Shell-Script enthalten sollte, beschreibt der Haupttext.

Speichern Sie das Mini-Script als Shell-Script, etwa als „extIP.sh“, und machen Sie es nach Rechtsklick über „Eigenschaften -> Zugriffsrechte“ ausführbar. Dann lassen Sie es bei der Anmeldung über „Startprogramme“ automatisch ausführen oder per Cron-Job einmal täglich.

Sicher in der Cloud: Plattformunabhängig verschlüsseln

6. Infos, Daten und Steuerung via Cloud

Über ein technisch simples Datei-Polling lässt sich ein Rechner mit minimalem Aufwand über die Cloud steuern und abfragen – ohne zusätzliche Software. Voraussetzung ist erneut, dass die Cloud-Daten lokal synchronisiert werden oder wie bei Strato Hidrive in das Dateisystem eingebunden sind.

Das ausbaufähige Prinzip sieht so aus:
Lassen Sie auf dem Linux-PC einen simplen Cron-Job laufen. Dafür reicht ein winziges, einzeiliges Shell-Script mit diesem Inhalt:

sh /home/ha/hidrive/Remote/input.sh

Dieses Script nennen Sie etwa „Cloud-Server.sh“ und lassen es per Cron alle paar Minuten starten. Die Cron-Tabelle bearbeiten Sie am besten mit dem grafischen Tool gnome-schedule („Geplante Aufgaben“), das Sie gegebenenfalls mit sudo apt-get install gnomeschedule nachinstallieren. Die nebenstehende Abbildung zeigt ein Konfigurationsbeispiel.

Wenn im vereinbarten Cloud-Ordner (hier Hidrive) die Datei „input.sh“ existiert, wird diese umgehend ausgeführt. Folglich können Sie aus der Ferne alles auslösen, was sich per Textkommando und normalen Benutzerrechten starten lässt. Die Datei „input.sh“ laden Sie mit dem gewünschten Inhalt von einem anderen Gerät auf den Cloud-Speicher und löschen sie wieder nach erledigter Arbeit. Angenommen, Sie benötigen eine Office-Tabelle vom Rechner, dann suchen Sie zunächst mit folgender „input.sh“ die Datei (Beispiel):

cd /home/ha find $(pwd)/ -type f -name "*.odt" >>/home/ha/hidrive/Remote/out.txt

In der Ausgabedatei („out.txt“) finden Sie wenig später im Cloud-Speicher die Liste aller ODT-Dateien. Und im nächsten Schritt kopieren Sie dann mit einer neuen „input.sh“ und cp die gesuchte Datei auf den Cloud-Speicher. Natürlich müssen Sie am entfernten Rechner immer die Ordnerstruktur des heimischen Linux-PCs berücksichtigen.

Theoretisch lassen sich auch Aktionen auslösen, die root-Rechte erfordern – etwa ein Shutdown. Dies setzt eine spezielle Konfiguration der Datei „sudoers“ voraus, die hier in diesem Kontext jedoch zu weit führen würde.

Tipp: Wenn Sie die Eingabedatei (im Beispiel „input.sh“) unter Windows schreiben, sollten Sie den Editor Notepad vermeiden. Der produziert unvorhergesehene Zeilenumbrüche, die das Script unter Linux scheitern lassen.

Cloud-Abfrage für den Fernzugriff: Das Shell-Script erkundigt sich alle fünf Minuten nach einer bestimmten Datei im Sync-Ordner der Cloud und führt es gegebenenfalls aus.
Vergrößern Cloud-Abfrage für den Fernzugriff: Das Shell-Script erkundigt sich alle fünf Minuten nach einer bestimmten Datei im Sync-Ordner der Cloud und führt es gegebenenfalls aus.

7. Autobackup: Im Cloud-Ordner arbeiten

Wenn Sie sich über die Sicherung aktueller Projekte möglichst wenig Gedanken machen wollen, bearbeiten und speichern Sie diese einfach im Synchronisierungsordner Ihres Cloud-Dienstes, also etwa in einem Unterverzeichnis des Dropbox-Ordners oder eines Ubuntu-One-Ordners. Sofern Sie die oben empfohlene Enc-FS-Verschlüsselung einsetzen, arbeiten Sie einfach im Mount-Ordner von Enc FS.

Dann landen neue oder neu bearbeitete Dateien in kurzer Frist automatisch im Cloud-Speicher. Da aktuell geöffnete Daten oft gesperrt sind und nicht kopiert werden können, sollten Sie sich angewöhnen, den PC nach getaner Arbeit nicht sofort herunterzufahren, sondern der Cloud-Synchronisierung ein paar Minuten Zeit zu lassen.

0 Kommentare zu diesem Artikel
1904323