Können Sie Ihrem Cloud Anbieter wirklich vertrauen?

Haben Sie schonmal die AGBs Ihres Cloud Dienstes durchgelesen? Oder deren Sicherheitskonzept näher beleuchtet?

Nein? Dann halten Sie sich bitte fest und atmen einmal tief durch 🙂

Wir zeigen Ihnen auf welche Punkte Sie achten müssen und mit welchen Passagen die Anbieter in Ihre Daten sehen können.

 

Durchuchung Ihrer Daten

Vor allem im Umfeld amerikanischer Cloud Anbieter räumen sich viele das Recht ein, Ihre Daten zu durchsuchen.

Microsoft OneDrive durchsucht die Inhalte seiner Kunden auf „unzulässige Inhalte“.

Die „unzulässigen Inhalte“ können laut Microsoft bereits Inhalte mit Werbung für Kreditberatung und Onlineumfragen sein.

Wie soll eine Bank oder Werbeagentur mit einem solchen Dienst denn arbeiten?

Dem Fotograf Dirk Salm aus Aachen wurde deshalb der Account gesperrt. Nun – professionelle Fotografen erstellen natürlich auch sehr persönliche Bilder für Ihre Kunden, das ist seit Jahrzehnten schon so.

Auch bei Dropbox finden sich ähnliche Passagen in den AGBs:

Unsere Dienste […] und andere Funktionen erfordern den Zugriff und das Scannen Ihrer Daten durch unsere Systeme.

Auszug Dropbox AGBs

 

Aber was viel schlimmer daran ist: Die Dienste durchsuchen alle Daten und haben damit potentiell Zugriff auf Kontodaten, Kontakte, Termine, Telefonnummern, etc.

 

Ein Dienst, der Ihre Daten wirklich verschlüsselt, kann diese auch nicht durchsuchen. Entsprechende Passagen in den AGBs zeigen, dass dies nicht der Fall ist.

 

Auswertung Ihrer Daten

Uns kann keiner erzählen, dass Unternehmen die gesammelten Daten nicht für Big Data Analysen nutzen.

Es wird Ihre politische Einstellung ausgelotet, Ihr Tagesrhythmus erfasst, das soziale Umfeld ausgewertet.

All diese Daten fließen dann in die interne Auswertung um weitere Marktanteile zu gewinnen und Sie mit noch mehr unerwünschter Werbung vollzuschütten.

An dieser Stelle geht es noch viel weiter: Viele Dienste gehen Kooperationen mit anderen Unternehmen ein und verkaufen Ihre Daten zu Werbezwecken weiter – ein lukratives Geschäft.

Achten Sie darauf, dass Ihr Anbieter auch in den vertraglichen Bedingungen eine Einsicht und Auswertung Ihrer Daten explizit ausschließt.

 

Einsatz unsicherer Software

In jedem Land schießen seit Jahren die Cloud Speicher Provider wie Pilze aus dem Boden. Möglich gemacht haben dies unter anderem günstige Festplattenpreise und fertige Lösungen für Cloud Anbieter.

Closed Source vs. Open Source

Viele Anbieter setzen auf proprietäre Fremd- bzw. Eigenentwicklungen. Um wirkliche Transparenz über Verschlüsselungsalgorithmen zu erreichen, muss unserer Meinung auch der Source Code frei verfügbar sein.

Aber eine Lösung für den Massenmarkt geht zwangsläufig Kompromisse bei der Sicherheit ein um alle Kunden glücklich zu machen. Genau hier liegt das Problem.

Allerdings muss ein seriöser Anbieter – vor allem bei Open Source Lösungen – für eine weitere Absicherung sorgen.

Bei vielen Anbietern finden sich noch teilweise über 2 Jahre alte Versionen mit bekannten Sicherheitslücken, da der Aufwand für eine neue Anpassung (Branding, eigene Funktionen) für die Anbieter zu hoch ist. Besitzt Ihr Anbieter Erfahrung im Betrieb sicherheitskritischer Applikationen?

 

Software aus dem Ausland

Vor allem in Deutschland lässt ein Großteil der Anbieter seine Software im Ausland programmieren und betreuen. Solange das in der EU geschieht, können wir noch ein Auge zudrücken.

Aber was ist mit Lösungen aus den USA?

Auch hier bleibt immer ein fader Beigeschmack wenn man an die dortigen Rechte von Geheimdiensten denkt.

Häufig erfüllen diese nicht alle Datenschutzstandards, die in Deutschland gefordert werden. Wir haben hier den Vorteil in einem Land zu Leben, welches den Datenschutz im internationalen Vergleich noch sehr ernst nimmt.

Achten Sie darauf, dass der Anbieter seine Lösung selbst (am besten im eigenen Land) weiterentwickelt und stets aktuell hält.

 

Preisgeld für Ihre Daten

Jetzt wird es absurd, denken Sie bestimmt? Leider weit gefehlt.

Es gibt einen Schweizer Anbieter für Cloud Speicher, der ein Preisgeld in Höhe von 50.000 € für einen erfolgreichen Hackangriff auf Ihre Daten ausgeschrieben hat.

Innerhalb von etwas mehr als einem Jahr haben sich hier über 1.000 Hacker versucht. Bisher war keiner erfolgreich.

Das Ganze ist eine wahnsinnig gute Marketingstrategie, aber auf der anderen Seite grob fahrlässig. Meiner Meinung nach ist es nur eine Frage der Zeit.

Ein seriöser Cloud Provider sollte kriminelle Gruppen nicht aktiv anwerben. Das wäre als würden wir eine Terrororganisation dafür bezahlen einen erfolgreichen Anschlag zu verüben!

 

Zertifizierungen und Audits

Bei der Auswahl des passenden Anbieters sollten Sie stets folgende Fragen im Hinterkopf behalten:

  • Verfügt das Rechenzentrum Ihres Anbieters über eine anerkannte Zertifizierung wie ISO27001 oder PCI DSS?
  • Sind kritische Komponenten redundant ausgelegt (Strom, Klimatisierung, Internet)
  • Wie regelmäßig wird ein Security Audit / Penetrationstest durchgeführt?
  • Wie schnell und transparent reagiert Ihr Anbieter auf aktuelle Sicherheitslücken?

 

Ein seriöser Anbieter stellt Ihnen die Daten auf Anfrage meist gerne zur Verfügung und stellt sich entsprechenden Rückfragen.

 

Aber denken Sie daran, dass der Anbieter Ihnen nicht alles verraten sollte – manche Informationen sollten einfach unter Verschluss bleiben (z.B. genaue Standorte, Zugangscodes).

 

Verteilung Ihrer Daten

Aus Kostengründen setzt z.B. Dropbox auf ein Backup bei Drittunternehmen (in diesem Fall Amazon).

Ihre Daten werden also mit Nutzung des Dienstes laufend vervielfältigt und zu einem weiteren US Anbieter kopiert:

Diese Genehmigung [Zugriff und Scannen Ihrer Daten] erstreckt sich auch auf unsere Partnerunternehmen und die Drittanbieter.

Auszug Dropbox AGBs

 

Diese Passage findet sich in einer Vielzahl von Cloud Anbietern. Ursache hierfür ist natürlich auch der starke Preiskampf in dem Segment.

Externe Backups sind günstig, da die Investitionen für eigene Backup Systeme entfallen und beim Drittanbieter die Daten dedupliziert (= gleiche Datenblöcke zusammengefasst, erfordert Scanning) werden.

Lesen Sie die Datenschutzbestimmungen und AGBs Ihres Anbieters genau durch. Enthalten diese Passagen zur Vervielfältigung und Weitergabe Ihrer Daten?

 

Fazit

Die Auswahl eines geeigneten Cloud Anbieters fängt bereits bei den Vertragsbedingungen an. Gerade Dienste aus den USA räumen sich durch etliche Vertragspassagen umfangreiche Rechte an Ihren Daten ein.

Aber auch die Umsetzung des Angebots glänzt teilweise nicht gerade mit Sicherheit – Preisgelder, veraltete Software, unsichere Rechenzentren, etc.

Tipp: Sollten Sie zu einem Anbieter keine sichere Alternative finden, können Sie dessen Aktivitäten mit einigen Tricks zur Datensicherheit einen Riegel vorschieben.

Photo credit: perspec_photo88 via Visualhunt / CC BY-SA

Michael Kostka

Gründer und Geschäftsführer der EntekSystems GmbH. Bei StoreShelter verantwortet er die Bereiche IT-Infrastruktur, Sicherheit und Entwicklung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert