2336455

Bei der Cloud-Auswahl auf Nummer sicher gehen

15.03.2018 | 15:13 Uhr |

57 Prozent der Unternehmen, die Cloud-Services nutzen, halten ihre Daten für gesichert. Das wirft kein gutes Licht auf die Anbieter von Cloud-Diensten. Die Sicherheit Ihrer Daten hängt aber tatsächlich davon ab, wo Sie sie ablegen.

Cloud-Dienste sind auf dem Vormarsch: Laut des gemeinsamen Cloud Monitors 2017 der Bitkom und KPMG nutzen 65 Prozent aller deutschen Unternehmen Cloud-Services. Dies entspricht einer Steigerung um 11 Prozent im Vergleich zum Vorjahr. 44 Prozent der Unternehmen bevorzugen eine auf ihre Bedürfnisse zugeschnittene Private Cloud. Sie gelten als besonders sicher, da nur ein autorisierter Nutzerkreis über eine direkte Netzanbindung oder eine Virtual-Private-Network-Verbindung auf die Daten zugreifen kann. 29 Prozent der Unternehmen entscheiden sich für eine Public Cloud, bei der der Datenzugriff über das Internet erfolgt.

Obwohl Sicherheitslücken wie Meltdown und Spectre vor kurzem gezeigt haben, wie angreifbar unsere IT-Systeme – und damit auch Cloud-Server sind – halten 57 Prozent der Unternehmen, die Cloud-Services nutzen, ihre Daten für sehr gut gesichert.

Zero Knowledge Cloud

Die Verschlüsselung und Entschlüsselung der Daten sollte ausschließlich auf der Client-Seite, also auf dem heimischen Computer, erfolgen. Denn nur wenn Sie die Schlüsselgewalt haben, können weder Cyber-Kriminelle noch der Cloud-Betreiber selbst auf Ihre Nutzerdaten zugreifen. Damit Ihre Daten nicht auf dem Übertragungsweg gestohlen, durchleuchtet oder manipuliert werden können, sollten Sie darauf achten, dass der Betreiber eine Ende-zu-Ende-Verschlüsselung und keine Punkt-zu-Punkt-Verschlüsselung einsetzt.

Das bedeutet, dass die Daten zuerst auf Ihrem Computer verschlüsselt werden, dann verschlüsselt über das Internet übertragen und letztendlich auf dem Ziel-Server verschlüsselt abgelegt werden. Damit ist die Verschlüsselungskette zu keinem Zeitpunkt unterbrochen und somit sind die Inhalte der Daten für Unbefugte oder Kriminelle nicht einsehbar. Eine Ende-zu-Ende-Verschlüsselung sollte jeder Cloud-Anbieter als selbstverständlich ansehen, damit private Daten im Falle eines Hackerangriffs nicht in fremde Hände gelangen können.

Wenn Sie dann noch ein sicheres Passwort wählen und dieses entsprechend schützen, ist ein Datendiebstahl nahezu unmöglich. Generell sollten Passwörter nirgendwo auf Cloud-Servern hinterlegt und gespeichert und regelmäßig geändert werden. Eine clientseitige Verschlüsselung ist immer dann sinnvoll, wenn es sich um besonders sensible Daten handelt.

Zwei-Faktor-Authentifizierung

Rund 81 Prozent aller IT-Sicherheitsvorfälle basieren auf zu schwachen Passwörtern. Erschwerend kommt hinzu, dass viele Nutzer auf unterschiedlichen Seiten ein und dasselbe Passwort nutzen. Damit erhalten Cyber-Kriminelle sehr schnell Zugriff auf die gesamte Online-Identität einer Person. Deshalb ist es wichtig, dass der Cloud-Betreiber eine Zwei-Faktor-Authentifizierung (2FA) nutzt.

Im Gegensatz zum einfachen Anmeldeverfahren mit Nutzerkennung und Passwort werden beim 2FA zwei voneinander unabhängige Komponenten für die Anmeldung benötigt. Neben dem Passwort ist dies zumeist eine sechsstellige PIN, die Sie als SMS oder über eine App auf Ihr Smartphone geschickt bekommen.

Kostenlos bedeutet Datenverkauf

Seien Sie bei „kostenlosen“ Cloud-Angeboten skeptisch. Nicht „umsonst“ werben Amazon, Dropbox und Google mit kostenlosen Cloud-Speichern: Meistens zahlen Sie hier zwar nicht mit Geld, dafür aber mit Ihren Daten. Schauen Sie sich die AGB also sehr genau an und prüfen Sie, ob sich der Anbieter vollen Zugriff sowie die Nutzungsrechte auf Ihre Kundendaten einräumt. Ihre Daten werden dann mit hoher Wahrscheinlichkeit gewinnbringend an Dritte weiterverkauft oder weiterverwendet, etwa für die Erstellung von Kundenprofilen und individuellen Angeboten.

Gehen Sie auf Nummer sicher: Die besten kostenlosen Cloud-Speicher aus Deutschland

Nicht selten sind bei kostenlosen Cloud-Services außerdem Hintertüren vorhanden, die staatlichen Behörden und Sicherheitsdiensten vollen Zugriff auf Ihre Kundendaten gewähren und somit in Ihre Privatsphäre eingreifen.

Ob tatsächlich Hintertüren vorhanden sind, können Sie daran erkennen, wenn bestimmte Formulierungen bezüglich der Nutzerrechte in den AGB oder Datenschutzbestimmungen sehr ungenau und doppeldeutig sind oder von vornherein gesagt wird, dass der Nutzer seine Nutzerrechte dem Anbieter überlässt.

Ansonsten ist es für Privatnutzer eher schwer feststellbar, ob Backdoors eingebaut worden sind.

Open-Source-Software

Viele Cloud-Anbieter sagen zwar, dass Unbefugte keinen Zugriff auf Kundendaten haben, die Wirklichkeit sieht aber anders aus: So werden zum Beispiel auf Google Drive gespeicherte Daten automatisch Google-Eigentum. Google kann die Daten also für eigene Werbezwecke nutzen, an andere Unternehmen weiterverkaufen oder an die NSA weiterleiten.

Bei amerikanischen Anbietern besteht außerdem die Gefahr, dass in der Cloud bewusst eine sogenannte Backdoor eingebaut ist, die US-Geheimdiensten Zugriff auf die Daten ermöglicht. Eine Backdoor ist eine vom Programmierer gewollt eingebaute alternative Zugangsmöglichkeit unter Umgehung der üblichen Sicherheitsmechanismen.

Entscheiden Sie sich deshalb für einen Cloud-Anbieter, der eine Open-Source-Software verwendet. So müssen Sie dem Cloud-Anbieter nicht blind vertrauen, sondern können durch Offenlegung des Codes sicher sein, dass keine Backdoor vorhanden ist.

Server-Standort entscheidet über Datenschutz

Viele Cloud-Anbieter mieten ihre Server bei größeren Unternehmen, beispielsweise Google oder Amazon, die ihren Firmensitz im Ausland haben. Damit unterliegt die Verarbeitung und Speicherung der Nutzerdaten nicht den deutschen Gesetzen und Normen. Achten Sie deshalb darauf, dass Ihr Anbieter seine Server-Infrastruktur in Deutschland hat. Nur dann gelten die deutschen Datenschutzbestimmungen sowie die neue EU-Datenschutzgrundverordnung (DSGVO) . Diese sieht vor, dass die Daten revisionssicher gespeichert und die Änderungshistorie vollständig und unveränderbar zurückverfolgt werden können.

Sicheres Team-Work

Falls Sie häufig in virtuellen Teams arbeiten, sollte es Schutzfunktionen geben, die verhindern, dass Mitglieder Inhalte mit externen Nutzern bzw. Unbefugten teilen können. So sollten Sie die Möglichkeit haben, die Zugriffsrechte individuell zu konfigurieren und zeitlich zu begrenzen, um unautorisierte Zugriffe zu verhindern.

Arbeiten mehrere Mitarbeiter an einem Dokument, kann es vorkommen, dass Daten überschrieben oder aus Versehen gelöscht werden. Wenn Ihr Cloud-Anbieter eine Blocksystem-Versionierung bietet, werden alle Änderungen an einem Dokument in Blöcken angelegt und gespeichert und Sie sind auf der sicheren Seite. Denn dann können Sie überschriebene oder gelöschte Daten ganz einfach wiederherstellen.

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2336455