Haben Sie schonmal die AGBs Ihres Cloud Dienstes durchgelesen? Oder deren Sicherheitskonzept näher beleuchtet?
Nein? Dann halten Sie sich bitte fest und atmen einmal tief durch 🙂
Wir zeigen Ihnen auf welche Punkte Sie achten müssen und mit welchen Passagen die Anbieter in Ihre Daten sehen können.
Durchuchung Ihrer Daten
Vor allem im Umfeld amerikanischer Cloud Anbieter räumen sich viele das Recht ein, Ihre Daten zu durchsuchen.
Microsoft OneDrive durchsucht die Inhalte seiner Kunden auf „unzulässige Inhalte“.
Die „unzulässigen Inhalte“ können laut Microsoft bereits Inhalte mit Werbung für Kreditberatung und Onlineumfragen sein.
Wie soll eine Bank oder Werbeagentur mit einem solchen Dienst denn arbeiten?
Dem Fotograf Dirk Salm aus Aachen wurde deshalb der Account gesperrt. Nun – professionelle Fotografen erstellen natürlich auch sehr persönliche Bilder für Ihre Kunden, das ist seit Jahrzehnten schon so.
Auch bei Dropbox finden sich ähnliche Passagen in den AGBs:
Unsere Dienste […] und andere Funktionen erfordern den Zugriff und das Scannen Ihrer Daten durch unsere Systeme.
Ein Dienst, der Ihre Daten wirklich verschlüsselt, kann diese auch nicht durchsuchen. Entsprechende Passagen in den AGBs zeigen, dass dies nicht der Fall ist.
Auswertung Ihrer Daten
Uns kann keiner erzählen, dass Unternehmen die gesammelten Daten nicht für Big Data Analysen nutzen.
Es wird Ihre politische Einstellung ausgelotet, Ihr Tagesrhythmus erfasst, das soziale Umfeld ausgewertet.
All diese Daten fließen dann in die interne Auswertung um weitere Marktanteile zu gewinnen und Sie mit noch mehr unerwünschter Werbung vollzuschütten.
An dieser Stelle geht es noch viel weiter: Viele Dienste gehen Kooperationen mit anderen Unternehmen ein und verkaufen Ihre Daten zu Werbezwecken weiter – ein lukratives Geschäft.
Einsatz unsicherer Software
In jedem Land schießen seit Jahren die Cloud Speicher Provider wie Pilze aus dem Boden. Möglich gemacht haben dies unter anderem günstige Festplattenpreise und fertige Lösungen für Cloud Anbieter.
Closed Source vs. Open Source
Viele Anbieter setzen auf proprietäre Fremd- bzw. Eigenentwicklungen. Um wirkliche Transparenz über Verschlüsselungsalgorithmen zu erreichen, muss unserer Meinung auch der Source Code frei verfügbar sein.
Aber eine Lösung für den Massenmarkt geht zwangsläufig Kompromisse bei der Sicherheit ein um alle Kunden glücklich zu machen. Genau hier liegt das Problem.
Allerdings muss ein seriöser Anbieter – vor allem bei Open Source Lösungen – für eine weitere Absicherung sorgen.
Bei vielen Anbietern finden sich noch teilweise über 2 Jahre alte Versionen mit bekannten Sicherheitslücken, da der Aufwand für eine neue Anpassung (Branding, eigene Funktionen) für die Anbieter zu hoch ist. Besitzt Ihr Anbieter Erfahrung im Betrieb sicherheitskritischer Applikationen?
Software aus dem Ausland
Vor allem in Deutschland lässt ein Großteil der Anbieter seine Software im Ausland programmieren und betreuen. Solange das in der EU geschieht, können wir noch ein Auge zudrücken.
Aber was ist mit Lösungen aus den USA?
Auch hier bleibt immer ein fader Beigeschmack wenn man an die dortigen Rechte von Geheimdiensten denkt.
Häufig erfüllen diese nicht alle Datenschutzstandards, die in Deutschland gefordert werden. Wir haben hier den Vorteil in einem Land zu Leben, welches den Datenschutz im internationalen Vergleich noch sehr ernst nimmt.
Preisgeld für Ihre Daten
Jetzt wird es absurd, denken Sie bestimmt? Leider weit gefehlt.
Es gibt einen Schweizer Anbieter für Cloud Speicher, der ein Preisgeld in Höhe von 50.000 € für einen erfolgreichen Hackangriff auf Ihre Daten ausgeschrieben hat.
Innerhalb von etwas mehr als einem Jahr haben sich hier über 1.000 Hacker versucht. Bisher war keiner erfolgreich.
Das Ganze ist eine wahnsinnig gute Marketingstrategie, aber auf der anderen Seite grob fahrlässig. Meiner Meinung nach ist es nur eine Frage der Zeit.
Zertifizierungen und Audits
Bei der Auswahl des passenden Anbieters sollten Sie stets folgende Fragen im Hinterkopf behalten:
- Verfügt das Rechenzentrum Ihres Anbieters über eine anerkannte Zertifizierung wie ISO27001 oder PCI DSS?
- Sind kritische Komponenten redundant ausgelegt (Strom, Klimatisierung, Internet)
- Wie regelmäßig wird ein Security Audit / Penetrationstest durchgeführt?
- Wie schnell und transparent reagiert Ihr Anbieter auf aktuelle Sicherheitslücken?
Aber denken Sie daran, dass der Anbieter Ihnen nicht alles verraten sollte – manche Informationen sollten einfach unter Verschluss bleiben (z.B. genaue Standorte, Zugangscodes).
Verteilung Ihrer Daten
Aus Kostengründen setzt z.B. Dropbox auf ein Backup bei Drittunternehmen (in diesem Fall Amazon).
Ihre Daten werden also mit Nutzung des Dienstes laufend vervielfältigt und zu einem weiteren US Anbieter kopiert:
Diese Genehmigung [Zugriff und Scannen Ihrer Daten] erstreckt sich auch auf unsere Partnerunternehmen und die Drittanbieter.
Diese Passage findet sich in einer Vielzahl von Cloud Anbietern. Ursache hierfür ist natürlich auch der starke Preiskampf in dem Segment.
Externe Backups sind günstig, da die Investitionen für eigene Backup Systeme entfallen und beim Drittanbieter die Daten dedupliziert (= gleiche Datenblöcke zusammengefasst, erfordert Scanning) werden.
Fazit
Die Auswahl eines geeigneten Cloud Anbieters fängt bereits bei den Vertragsbedingungen an. Gerade Dienste aus den USA räumen sich durch etliche Vertragspassagen umfangreiche Rechte an Ihren Daten ein.
Aber auch die Umsetzung des Angebots glänzt teilweise nicht gerade mit Sicherheit – Preisgelder, veraltete Software, unsichere Rechenzentren, etc.
Tipp: Sollten Sie zu einem Anbieter keine sichere Alternative finden, können Sie dessen Aktivitäten mit einigen Tricks zur Datensicherheit einen Riegel vorschieben.
Photo credit: perspec_photo88 via Visualhunt / CC BY-SA