Verschlüsselung 22. September 2014 von

Datentresor für die Cloud

Bild-23975

Kryha-Chiffriermaschine, Foto von ideonexus via Flickr, CC-BY.

Seine Daten in der Cloud zu lagern ist zwar praktisch, was ist aber mit der Datensicherheit? Verschlüsselung hilft. Nur: Wie funktioniert das genau? Welche Möglichkeiten und Anbieter gibt es?

Für die meisten von uns ist die Cloud längst mehr als nur ein gern verwendeter Marketingbegriff, sie ist Realität – vielfach, ohne dass wir es uns bewusst machen. Mit dem Smartphone gemachte Fotos landen automatisch bei iCloud, Flickr oder in der Dropbox. Auf dem Windows-Rechner gespeicherte Dokumente werden bei Microsoft OneDrive hinterlegt. Mit Kollegen getauschte oder gemeinsam bearbeitete Dokumente lagern auf Online-Festplatten wie Dropbox, Google Drive oder Hidrive. Und wer soziale Netzwerke wie Facebook, Twitter oder Instagram nutzt, der begibt sich ohnehin vollends in die Datenwolke.

Die Cloud ist allgegenwärtig, ihre Vorteile wie Komfort liegen auf der Hand. Wichtig ist, sie intelligent und mit Bedacht zu nutzen – vor allem, wenn es um sensible Daten geht.

Verschiedene Arten von Verschlüsselung

Das Zauberwort lautet „Verschlüsselung“, denn verschlüsselte Daten lassen sich nicht so ohne weiteres abgreifen oder auslesen. Verschlüsselung ist nicht nur für Hacker und Kriminelle eine hohe Hürde, sondern auch für neugierige Geheimdienste – in Zeiten von NSA, GCHQ und Co. sicher kein unwichtiger Aspekt. Die meisten Cloud-Anbieter versprechen daher mittlerweile eine Verschlüsselung der Daten. Die Frage ist allerdings, welche Art von Verschlüsselung durch den Cloud-Dienst konkret angeboten wird, welche Daten überhaupt verschlüsselt werden und vor allem wann verschlüsselt wird.

Daten können und sollten beim Transport ver- und entschlüsselt werden, damit sie niemand auf dem Weg vom PC zum Server oder zurück mitlesen oder auswerten kann. Ohne Verschlüsselung lassen sich die Daten abgreifen und im Klartext lesen. Deswegen sollte die Verschlüsselung des Übertragungswegs heute getrost vorausgesetzt werden dürfen. Aber es schadet natürlich nicht, noch mal explizit zu prüfen, ob der eigene Cloud-Dienst das auch macht. Eine unverschlüsselte Übertragung zwischen dem eigenen Rechner und dem Server, wo die Daten schlussendlich liegen, sollte bei Cloud-Diensten tabu sein.

Plus an Sicherheit: Daten verschlüsselt speichern

Weitere Möglichkeit: Die Daten können verschlüsselt beim Cloud-Anbieter gespeichert werden. Die online gelagerten Daten können dann nicht einfach so gelesen oder sogar manipuliert werden. Allerdings ist hier die Frage entscheidend, wo der Schlüssel hinterlegt ist. Sofern nur der Nutzer den Schlüssel hat, ist alles in Ordnung.

In der Regel verfügt aber auch der Cloud-Anbieter über den Schlüssel, etwa damit die Daten für das Web-Interface entschlüsselt werden können. Das ist sicherlich komfortabel, bedeutet aber auch ein erhöhtes Sicherheitsrisiko. Denn so kann der Schlüssel auch in falsche Hände geraten. Fremde könnten die Daten entschlüsseln, sie liegen dann im Klartext vor. Auch der Cloud-Anbieter selbst (oder seine Mitarbeiter) haben dann möglicherweise Zugriff auf die gespeicherten Daten. Besser – und daher zu empfehlen – ist es, wenn der Schlüssel nicht beim Anbieter lagert.

Zu guter Letzt gibt es die Möglichkeit, die Daten auf der eigenen Festplatte zu verschlüsseln. Denn entgegen der landläufigen Meinung sind Daten, die nur auf der eigenen Festplatte gespeichert sind, keineswegs sicher vor Diebstahl oder Manipulation. Dazu muss man nicht mal seinen Rechner verlieren, auch Trojaner oder Schadprogramme schnüffeln Daten aus. Sind die Daten verschlüsselt auf der Festplatte gespeichert, ob nun durch eine Verschlüsselung direkt im Betriebssystem oder durch eine extra Software, bedeutet das eine zusätzliche Hürde für Datendiebe.

Einige Cloud-Dienste bieten die Möglichkeit, die in der Cloud gespeicherten Daten auf verschiedene Geräte zu synchronisieren. Die Daten liegen dann nicht nur in der Cloud vor, sondern auch auf den genutzten Geräten – in der Regel unverschlüsselt. Die Daten verschlüsselt zu speichern und nur bei Bedarf, also Nutzung, zu entschlüsseln, erhöht die Sicherheit.

Ein weiterer Punkt ist relevant und sollte nicht vergessen werden: Einige Cloud-Dienste synchronisieren die in der Cloud gespeicherten Daten auf Wunsch mit verbundenen Geräten. Dadurch liegen Kopien der Daten auf jedem Rechner und Gerät vor, das synchronisiert wird, etwa der PC zu Hause, der PC am Arbeitsplatz, das Smartphone und das Tablet. Vorteil der Kopien: Sie stehen auch im Offline-Modus zur Verfügung. Nachteil: Die Daten liegen auf mehreren Geräten vor, in der Regel unverschlüsselt. Wer seine Daten verschlüsselt im der Cloud speichert und nur bei Bedarf entschlüsselt, erhöht die Sicherheit.

Verschlüsselung von Anfang bis Ende: Wuala und Spideroak

Screenshot Spideroak

Spideroak – komfortable Bedienung und Einstellmöglichkeiten: Hier lassen sich Ordner synchronisieren oder Backups anfertigen ­und alles wird verschlüsselt.

Einige Cloud-Dienste bieten Verschlüsselung total an: Wuala und Spideroak zum Beispiel. Spideroak wird sogar von Whistleblower Edward Snowden empfohlen, um sensible Daten zu speichern. Bei Spideroak und Wuala gespeicherte Daten sind nach aktuellem Kenntnisstand verlässlich geschützt, da die Daten von Anfang bis Ende verschlüsselt sind. Selbst die Mitarbeiter der beiden Onlinedienste haben keine Chance, die Daten zu entschlüsseln, da die Schlüssel nicht auf den Server der Betreiber hinterlegt werden. Nicht mal Dateinamen oder Ordner lassen sich im Online-Laufwerk erkennen. Ein Konzept, das Spideroak „Zero Knowledge“ nennt: Der Dienst will rein gar nichts über seine Benutzer wissen. Er kennt vor allem nicht die Schlüssel, mit denen die Daten verschlüsselt werden; über die verfügt ausschließlich der Nutzer.

Verschlüsselt und entschlüsselt wird direkt in den Endgeräten. Das bringt deutlich mehr Sicherheit – aber auch ein paar Nachteile. So kann man nicht per Web-Browser auf seine Daten zugreifen; aus Sicherheitsgründen werden auch keine Tools wie FTP unterstützt. Man muss die spezielle Software von Spideroak oder Wuala nutzen, um seine Daten zu verwalten. Ansonsten bieten Spideroak und Wuala denselben Komfort wie populäre Cloud-Dienste wie Dropbox: Man kann Backups anfertigen oder Dateien und Ordner synchronisieren, und das auf beliebig vielen Geräten. Unterstützt werden Windows, Mac, Linux, iOS und Android.

Wuala: Der Cloud-Dienst aus der Schweiz verschlüsselt alle Daten bereits im Rechner oder Mobilgerät. Gut: Deutschsprachige Benutzeroberfläche,­ aber kein kostenloser Test möglich.

Wuala: Der Cloud-Dienst aus der Schweiz verschlüsselt alle Daten bereits im Rechner oder Mobilgerät. Gut: Deutschsprachige Benutzeroberfläche,­ aber kein kostenloser Test möglich.

Einen entscheidenden Nachteil gibt es allerdings: Vergisst man sein Passwort, hat man ein Problem. Denn Spideroak und Wuala können einem weder das Passwort zusenden, noch lässt es sich zurücksetzen. Die in der Cloud gespeicherten Daten sind dann verloren. Vollen Komfort bei vollständiger Sicherheit gibt es nicht. Lange Zeit war Wuala besonders beliebt, weil das Unternehmen seinen Sitz in der Schweiz hat und die Daten auch in der Schweiz gespeichert werden. Mittlerweile gehört Wuala aber zu Seagate und ist damit ein amerikanisches Unternehmen, mit den damit verbundenen Risiken.

Authentifizierung in zwei Schritten

Wer seine Daten in der Cloud speichert, sollte sie so sicher wie möglich aufbewahren. Dazu gehört, den Zugang abzusichern. Es ist dringend zu empfehlen, die Zwei-Wege-Authentifizierung zu nutzen, die nahezu alle großen kommerziellen Dienste mittlerweile anbieten, allerdings optional – der Benutzer muss das sichere Login extra aktivieren. Bei einer aktivierten Zwei-Wege-Authentifizierung erhält der Benutzer beim Login auf einem bislang nicht genutzten Gerät einen Code aufs Handy geschickt, etwa per SMS. Einige Anbieter wie Dropbox oder Google unterstützen auch spezielle Apps, die solche Codes erzeugen, etwa den Google Authenticator. Wenn ein Konto auf diese Weise abgesichert ist, kann sich ein Hacker selbst dann nicht in das Onlinekonto einloggen, wenn ihm Zugangskennung und Passwort in die Hände fallen.

Verschlüsselung bei Dropbox und Co.

Doch nicht jeder will oder kann zu einem Cloud-Anbieter wie Wuala oder Spideroak wechseln, um seine Daten verschlüsselt zu speichern, etwa wenn man in einem Team arbeitet, das sich für einen anderen Anbieter entschieden hat. Bedauerlicherweise speichern die bekannten Online-Dienste wie Dropbox, Google Drive, OneDrive und Co. alle Daten unverschlüsselt auf ihren Servern. Aber auch die populären Cloud-Dienste lassen sich absichern. Allerdings ist dazu spezielle Zusatz-Software nötig, die dafür sorgt, dass gespeicherte Daten verschlüsselt beim Cloud-Anbieter landen. Solche Programme oder Erweiterungen sind Boxcryptor, Cloudfogger, Viivo, Truecrypt, Safemonc, Safebox oder EncFS.

Das Funktionsprinzip ist bei allen Erweiterungen mehr oder weniger gleich: Die Daten werden noch vor der Übertragung an den Cloud-Dienst im eigenen Gerät verschlüsselt und landen als Datensalat beim Speicherdienst. Ein Entschlüsseln durch den Cloud-Dienst ist nicht möglich, ebenso wenig eine Weitergabe der Daten an Dritte, da der Schlüssel fehlt. Vom Cloud-Dienst geladene Daten werden im Endgerät automatisch wieder entschlüsselt. Das alles geschieht schnell und im Hintergrund, der Benutzer bemerkt davon nichts.

Anbietercheck: Von komfortabel und bezahlt zu einfach und kostenlos

Am einfachsten und komfortabelsten ist Boxcryptor. Wer die Software auf seinem Rechner installiert, verfügt über einen neuen Ordner „Boxcryptor“. Alle Daten, die hier abgelegt werden, speichert Boxcraptor verschlüsselt beim gewünschten Cloud-Dienst. Der Benutzer hat die Wahl, ob er die Daten bei Dropbox, OneDrive, Google Drive oder Box speichern möchte. Nur die im Boxcryptor-Ordner hinterlegten Daten werden verschlüsselt, alle weiteren bleiben unverschlüsselt, können aber jederzeit nachträglich mit Boxcryptor verschlüsselt werden.

Boxcryptor verschlüsselt alle Daten, bevor sie in populären Cloud-Diensten wie Dropbox, OneDrive, Google Drive oder Box landen. Für Privatleute ist die Software kostenlos ­ auf dem Desktop.

Boxcryptor verschlüsselt alle Daten, bevor sie in Cloud-Diensten wie Dropbox, OneDrive, Google Drive oder Box landen. Für Privatleute ist die Software auf dem Desktop kostenlos­.

Um auf verschlüsselte Daten zugreifen zu können, ist aber zwingend die Boxcryptor-Software nötig – auch auf Mobilgeräten. Daher gibt es entsprechende Apps für iOS, Android und Windows. Nachteil: Die Daten lassen sich im Web-Interface des jeweiligen Cloud-Dienstes dann nicht mehr ansehen. Ausnahme: Es gibt für Google Chrome eine Erweiterung, die sogar das möglich macht.

Die Macher von Boxcryptor haben an alles gedacht. Die Handhabung ist vergleichsweise einfach und auch von Laien mühelos zu bewerkstelligen.

Boxcryptor gibt es als kostenlose und kostenpflichtige Version. In der kostenlosen Version wird lediglich ein Cloud-Anbieter unterstützt. Außerdem lässt sich Boxcryptor auf lediglich bis zu zwei Geräten nutzen. Dateinamen werden nicht verschlüsselt. Wer die Software geschäftlich einsetzt, auch Dateinamen verschlüsseln möchte, mehr Geräte nutzt und auch Datei- und Ordnernamen unkenntlich machen möchte, muss sich für die kostenpflichtige Version entscheiden. Kostenpunkt: 36 EUR im Jahr für private und 72 EUR im Jahr für gewerbliche Nutzer.

Cloudfogger und andere Verschlüsselungs-Erweiterungen laufen auch auf Mobilgeräten und verschlüsseln dort zuverlässig alle Daten. Cloudfogger ist komplett kostenlos.

Cloudfogger und andere Verschlüsselungs-Erweiterungen laufen auch auf Mobilgeräten und verschlüsseln dort zuverlässig alle Daten. Cloudfogger ist komplett kostenlos.

Andere Dienste wie Cloudfogger sind komplett kostenlos. Auch hier werden die Daten automatisch im Endgerät ver- und entschlüsselt. Cloudfogger erledigt seine Arbeit unter Windows und Mac OSX sowie iOS und Android zuverlässig, ist aber weniger komfortabel und bietet deutlich weniger Funktionen als Boxcryptor. Cloudfogger eignet sich prima, um gezielt einzelne Dateien zu schützen. Wer jedoch Komfort braucht, ist mit Boxcryptor besser bedient.

Ähnlich ist es bei anderen Lösungen wie Viivo oder Safebox. Technisch funktionieren sie genauso, es gibt aber teilweise Einschränkungen in Sachen Bedienkomfort oder die Software ist ausschließlich mit englischer Benutzeroberfläche zu haben, was nicht jedermanns Sache ist. Außerdem werden zwar nahezu immer Windows und Mac OSX unterstützt sowie iOS und Android, aber seltener Linux, Windows Phone oder Blackberry.

Wer sich für eine Lösung zur Ver- und Entschlüsselung für Cloud-Dienste entscheidet, sollte sich also vorher Gedanken darüber machen, auf welchen und auf wie vielen Geräten er den Dienst nutzen möchte, welchen Komfort er erwartet und welche Cloud-Dienste zum Einsatz kommen. Erst dann lässt sich die Entscheidung fällen, welcher Verschlüsselungsdienst optimal passt.

Zum Thema bei iRights

Zum Thema im Internet

4 Kommentare

  • 1 tba am 22. Sep, 2014 um 19:23

    Toller Artikel für Einsteiger, da er völlig ohne Tech-Sprech auskommt. Danke dafür.

    Ein Frage: Wenn Angebote wie Cloudfogger komplett kostenlos sind, aber keine Daten verkaufen (können), weil alles verschlüsselt ist (davon gehe ich mal aus), was ist dann deren Geschäftsmodell?

  • 2 5 Lesetipps für den 24. September - Netzpiloten.de am 24. Sep, 2014 um 09:02

    […] irights: Datentresor für die Cloud: Die Cloud ist in vielen Bereichen schon fast undenkbar. Fotos, Videos und andere Daten werden von zu Hause und von unterwegs in den virtuellen Speicher geladen. Das ist zwar praktisch, aber was ist mit dem Datenschutz? Die richtige Verschlüsselung gibt es, nur welche davon sicher ist, muss geprüft werden. Anbieter und Möglichkeiten im Check! […]

  • 3 Jörg Schieb am 24. Sep, 2014 um 11:20

    Hallo, freut mich, dass der Artikel gefällt. :) Cloudfogger erklärt dazu, dass es derzeit kostenlos ist, in Zukunft aber auch Paid-Versionen geben wird, in der Regel für Business und Unternehmen. So sind Wuala und Spideroak auch vorgegangen. Die Daten werden jedoch nicht verkauft (lassen sich auch gar nicht lesen), sondern die Software/der Service.

  • 4 Selbstleseverfahren, Band 76 - Strafakte.de am 28. Sep, 2014 um 08:41

    […] zu Kauf von Spiel­zu­be­hör ani­miert wer­den Keine ED-Behandlung für Tem­po­sün­der Ver­schlüs­se­lung: Daten­tre­sor für die Cloud Hin­weis: Das iPhone 6 ist nicht (!) in der Mi­kro­welle auf­lad­bar You’ve got a law […]

Was sagen Sie dazu?