Vertrauen ist Silber, Nichtwissen ist Gold: Wie man den sichersten Cloudspeicher erkennt

Das immer zunehmende Datenvermögen von Unternehmen wird größtenteils in der Cloud gespeichert: geheime Produktkonzepte, Forschungsergebnisse, finanzielle Daten, Strategiepläne. Und kein Unternehmen kann sich im Geringsten erlauben, seine sensiblen Daten in Gefahr zu bringen. Es ist daher das höchste Gebot für jedes Unternehmen, die sensiblen Daten seiner Nutzer vor Manipulation, Verlust und Diebstahl zu schützen. Denn gerade die Vorteile der Cloudlösungen können Gefahren in sich bergen: Der gesamte Übertragungsweg der Daten vom Sender zum Empfänger kann nämlich Schwachstellen bereithalten. Und die Folgen einer Datenpanne – sei es durch Cyberangriffe oder von Mitarbeitern verursachte Fahrlässigkeit – können den Firmen langfristige Kosten und Reputationsschäden zufügen.

Daher lautet die Frage: Wie gut ist Ihr Datenkapital bei gängigen Cloudanbietern aufgehoben? Nehmen wir doch einmal die Marktführer wie Dropbox, OneDrive und Google Drive unter die Lupe: Wie ist es bei ihnen tatsächlich um die Sicherheit bestellt? Nach einigen skandalösen Datenpannen schreibt jeder Anbieter Sicherheit auf seine Flagge.

Dropbox behauptet:

“Die Sicherheit Ihrer Daten ist unsere oberste Priorität und alle Dateien, die in Dropbox gespeichert werden, sind verschlüsselt.”

Sie versichern ihren Nutzern, dass der Anwender der Herr über seine Daten ist – oder laut OneDrive:

“Sie steuern Ihre Daten. Wenn Sie Ihre Daten in OneDrive speichern, bleiben Sie der Besitzer der Daten.“

Wie würden diese ambitionierten Aussagen jedoch einem technischen Sicherheitstest standhalten?

Klarheit im Dickicht der Verschlüsselungstermini

Nach dem Stand der Technik gelten „Ende-zu-Ende-Verschlüsselung“ und „Zero-Knowledge“ als höchster Maßstab für Sicherheit. Verschlüsselung kann jedoch Verschiedenes bedeuten und der Begriff weist oft auf eine unvollständige Verschlüsselung hin.

Auch wenn sich die kryptografischen Hinweise auf den ersten Blick als Fachlatein lesen, kann es hilfreich sein, sich mit den Grundlagen auseinanderzusetzen. Denn auch wenn nahezu alle Anbieter heutzutage die Daten ihrer Kunden verschlüsseln, verwenden die meisten jedoch nur eine Teilverschlüsselung. Der Datenverkehr durchläuft aber viele Stationen und an jeder gilt die Frage: Sind meine Daten verschlüsselt? Wenn ja, wo sind die Entschlüsselungscodes gespeichert? Und wer hat Zugriff auf meine Daten?

Verschlüsselung anzuwenden heißt bei den Mainstream-Anbietern, ruhende Dateien (Data at Rest) und Daten bei der Übertragung (Data in Transit) zu verschlüsseln. In dieser Hinsicht gehen alle drei Dienstleister gleiche Wege und setzen auf standardmäßige Verschlüsselungsmethoden:

  • Dropbox verschlüsselt At-Rest-Daten mit einer starken 256-Bit-Advanced-Encryption-Standard-Verschlüsselung (AES). Um Daten bei der Übertragung zu schützen, setzt der Provider auf das Prinzip Secure Sockets Layer (SSL)/Transport Layer Security (TLS), das einen Tunnel mit mindestens 128-Bit-AES-Verschlüsselung einrichtet.
  • Die Verschlüsselungsmechanismen sehen bei OneDrive ähnlich aus: Bei der Übertragung auf die Server werden Ihre Daten mittels TLS-Verschlüsselung geschützt. Einmal auf dem Server abgelegt, verwendet Microsoft eine 256bit-AES-Verschlüsselung.
  • Auch Google setzt Verschlüsselung auf mehreren Ebenen ein. So wird unter anderem HTTPS (Hypertext Transfer Protocol Secure) für alle Übertragungen zwischen den Nutzern und G-Suite-Diensten verwendet. Google betont zudem, als Vorreiter in der Branche für alle Dienste Perfect Forward Secrecy (PFS) zu verwenden. Um die E-Mail-Kommunikation mit externen Empfängern zu schützen, verschlüsselt Google Nachrichtenübertragungen mit anderen Mailservern auch über TLS. Und die gespeicherten Daten werden ebenfalls verschlüsselt.

Die Gefahren der Teilverschlüsselung 

In-Transit- und At-Rest-Verschlüsselung decken nicht den gesamten Transferweg von Dateien ab. Somit sind zahlreiche weitere Szenarien vorstellbar, in denen Hacker mühelos auf Ihre Dateien Zugriff erlangen können: direkt nach dem Versand einer unverschlüsselter Datei, an den Endpunkten des Kommunikationskanals, auf den Datenverarbeitungsservern usw. Nachstehend heben wir einige zentrale Probleme bei dieser Verschlüsselungspraxis von Mainstream-Anbietern hervor:

1. Serverseitige Verschlüsselung: Sie bieten serverseitige Verschlüsselung, und zwar die Daten verlassen das Gerät des Nutzers unverschlüsselt und werden erst auf dem Server des Anbieters verschlüsselt abgelegt. Schaffen die böswilligen Angreifer es zu den Servern des Providers, können die Daten einfach kompromittiert werden. Dropbox selbst weist auf diese Schwachstelle im eigenen System hin: 

Dropbox bietet keine clientseitige Verschlüsselung und unterstützt auch nicht die Erstellung von privaten Schlüsseln.”

2. Unverschlüsselte Kanäle: Obwohl alle Anbieter darauf bestehen, dass der Transportweg der Daten verschlüsselt wird, bezieht sich dies allein auf den Kommunikationskanal, nicht aber auf die durch den Kanal wandernden Daten. Entschlüsselt man den Kanal, lassen sich die Daten einfach einsehen. Aber Achtung! Auch an den Endpunkten des Kanals lauert die Gefahr durch Hacker.

3. Erhöhte Kontrolle ist kein Garant: Für besonders schützenswerte Dokumente hat OneDrive die neue Tresorfunktion „Personal Vault“ mit fortschrittlicheren Sicherheitsmaßnahmen freigeschaltet. Trotz der Zwei-Faktor-Authentifizierung und der automatischen Sperrfunktion ist diese an sich ein normaler Ordner. Der erhöhte Passwortschutz ist nicht mit dem Sicherheitsniveau einer Ende-zu-Ende-Verschlüsselung gleichzusetzen: Im Gegensatz zur technisch unknackbaren Verschlüsselungsmethode sind Passwörter einfach zu umgehen.

4. Schlüsselverwaltung durch Anbieter: Serverseitige Verschlüsselung bedeutet, dass Dateien zwar verschlüsselt werden, aber Anbieter die Entschlüsselungscodes oft innerhalb derselben Umgebung wie die verschlüsselten Dateien selbst verwalten. Zum Thema Schlüsselverwaltung steht auf OneDrives Webseite:

„Jede Datei wird im Ruhezustand mit einem eindeutigen AES256-Schlüssel verschlüsselt. Diese eindeutigen Schlüssel werden mit einem Satz von Hauptschlüsseln verschlüsselt, die im Azure Key Vault gespeichert sind.“

5. Datenübermittlung an Behörden: Die Anbieter haben also Zugriff auf Ihre Daten und wenn z. B. Regierungen Einsicht in die Daten fordern, erfüllen sie dieses Ersuchen ohne Probleme. Dazu zwingt sie u. a. der US Cloud Act, der den Umgang mit Daten von US-Unternehmen regelt und US-amerikanischen Behörden einen Zugang zu Nutzerdaten eröffnet. Google sagt:

„Wenn wir gesetzlich verpflichtet sind, einem solchen Ersuchen Folge zu leisten, werden wir die entsprechenden Informationen für die Behörden bereitstellen.“

Bei wem liegt die Datenhoheit?

Der Verschlüsselungsgrad von gängigen Cloudspeicherdiensten ist nicht sicher genug: Auf dem Übertragungsweg der Daten vom Nutzer zum Empfänger befinden sich Passagen, an denen die Daten in unverschlüsselter Form zugänglich sind. Die derartig zugelassenen Schwachstellen eröffnen Einfallstore für Hacker und machen das gesamte IT-System verwundbar. Infolge der von ihnen verwendete Technologie sind Dropbox, Google und Microsoft dazu in der Lage, auf Ihre Verschlüsselungscodes zuzugreifen und Ihre Daten zu entschlüsseln.

Diese Kenntnis versetzt sie in eine Machtposition und entzieht Ihnen zugleich die Hoheit über Ihre Daten. Denn gerade dieses Wissen wird monetarisiert: Aus den Daten wird Gewinn geschlagen. Datenanalyse und Vermarktung von Daten sind nämlich das Öl für ihr Geschäftsmodell, um neue Services zu entwickeln, ihre Leistung zu verbessern, Werbeanzeigen zu personalisieren und Infos an Subunternehmen weiterzugeben. Und je mehr Augen können Ihre Dateien mitlesen, desto größer wird die Gefahr, dass ihre Daten absichtlich oder unabsichtlich kompromittiert werden. Man zahlt für die Dienste zwar nicht mit Geld, jedoch mit seinen eigenen Daten. Da die Anbieter darüber hinaus sogar gesetzlich verpflichtet sind, auf behördliche Anfragen zu reagieren, stände ihnen nichts im Wege, Ihre Daten ggf. herauszugeben.  Haben Sie es versäumt, das Kleingedruckte der Nutzungsbedingungen zu lesen? Kein Problem – In unserem Blogeintrag legen wir offen, wie die Online-Dienstleister Ihre Daten nutzen.

Null Vertrauen, Null Kenntnisse

Daraus ist klar ersichtlich, dass Sicherheit und Privatsphäre in den Business-Modellen gängiger Cloudanbieter als nachträgliches Anhängsel behandelt werden. Deshalb sollten Unternehmen zweimal nachdenken, bevor sie aus Bequemlichkeitsgründen führenden Providern ihre sensiblen Daten anvertrauen. Damit Firmen die volle Kontrolle über ihre Daten behalten können, muss es ihnen sicherheitstechnisch garantiert werden, dass niemand auf ihre Dateien zugreifen kann. Das heißt, dass selbst die Anbieter zu keinem Zeitpunkt ihre Dateien lesen, sortieren, indexieren und verarbeiten können. Eine technisch lückenlose Sicherheit ist mithilfe der Zero-Knowledge-Ende-zu-Ende-Verschlüsselung umsetzbar – wie das innovative Konzept von Tresorit beweist.

Tresorit verschlüsselt den gesamten Übertragungsweg – ohne Schwachstellen und Hintertüren. Dank der clientseitigen Verschlüsselung kann keine Datei das Gerät des Nutzers in unverschlüsselter Form verlassen und alle Dateien werden erst auf dem Gerät des Empfängers entschlüsselt. Während des Dateitransfers gilt die doppelte Verschlüsselung: Sowohl die Datei als auch der Übertragungskanal werden verschlüsselt. Die ruhenden Daten werden ebenfalls zweimal verschlüsselt, während die Verschlüsselungscodes einzig und allein in den Händen der Nutzer bleiben.

Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Prinzip bedeutet, dass weder unbefugte Personen noch Tresorits Entwickler dazu in der Lage sind, auf Ihre Dateien zuzugreifen. Und es macht es selbst Kriminellen, der Polizei und den Geheimdiensten unmöglich, die abgefangene Kommunikation zweier Parteien zu entschlüsseln – alles, was hier jemals für neugierige Blicke lesbar sein könnte, wäre ein Zeichensalat.

Möchten Sie mehr über unsere Sicherheitstechnologie erfahren?         Hier geht es zum Tresorits smarten Kryptokonzept.

Suggested posts