Cloud-Dienste 1. Oktober 2014 von Claus Hesseling

Der Kampf zwischen praktisch und sicher

Die Anwenderfreundlichkeit von Speicherdiensten in der Cloud geht häufig auf Kosten der Datensicherheit. Wie kann man sich trotzdem schützen? Authentifizierungsstandards, sichere Passwörter, Voreinstellungen von Apps checken sind nur der Anfang. Dateien zu verschlüsseln und sich eine eigene Cloud zu bauen, sind weitere Schritte.

Für Apple hätte der Zeitpunkt nicht schlimmer sein können: Eine Woche vor der Präsentation des neuen iPhones und der Apple Watch Anfang September wurde bekannt, dass Hacker sich Zugang zu den Daten von Prominenten verschafft hatten. Unter den Opfern waren die Schauspielerinnen Jennifer Lawrence und Kirsten Dunst, und das Fotomodell Kate Upton. Experten erkannten schnell, dass die Schwachstelle in Apples iCloud-Anwendung lag. Offenbar war es Angreifern gelungen, ein komplettes Backup aller Daten ihrer Zielpersonen herunterzuladen und im Netz zu verbreiten. Der Konzern hat seitdem Besserung gelobt. Doch dass dies die letzte große Datenpanne bei einem Cloud-Anbieter war, davon sind nur die wenigsten überzeugt.

Wo liegt das Problem?

Alles in der Hosentasche, Zugriff von überall – egal ob Musik, Videos, Kontaktinfos oder Dokumente. Das ist das Versprechen der Cloud. Damit es klappt, muss es möglichst einfach sein. Kein kompliziertes Dateisystem wie bei Windows, sondern alles mit ein paar Klicks oder Wischbewegungen. Diese Anwenderfreundlichkeit geht jedoch häufig auf Kosten der Sicherheit. Wenn man jedes Mal, wenn man ein Dokument von der Cloud laden möchte, ein Passwort eingeben müsste, wäre das ganze System schon viel weniger attraktiv.

Theoretisch könnten Anbieter alle Daten beim Hochladen automatisch verschlüsseln. Das bedeutet, dass Hacker mit den Dokumenten, die sie direkt vom Server klauen, nichts anfangen könnten. Aber: Nutzer wollen von unterwegs von jedem beliebigen Gerät ihre Daten abrufen können – und da wird es mit der Entschlüsselung schwierig. Praktisch oder sicher? Beides scheint nur schwer zusammen zu gehen. Und im Zweifel entscheiden sich die großen Anbieter für die Nutzerfreundlichkeit.

Intimes gehört nicht in die Cloud

Hinzu kommt, dass auch die größtmögliche Sicherheit immer lückenhaft bleiben wird. Computersysteme bieten keinen hundertprozentigen Schutz gegen Angriffe von Hackern. Das bedeutet, dass Anwender nur solche Daten in der Cloud speichern sollten, die im schlimmsten Fall in andere Hände gelangen könnten. Alles andere – private Fotos, Finanz- und Steuerunterlagen etc. – sollte man keiner Firma anvertrauen und im besten Fall (verschlüsselt) auf einem Computer speichern, der nicht ans Internet angeschlossen ist.

Auch die Hardware bestimmt mit

Das bedeutet aber auch, dass man schon beim Kauf darauf achten muss, wie stark die Geräte auf Cloud-Dienste aufsetzen. Googles Chromebook-Reihe verfügt zum Beispiel über keinen nutzbaren Festplattenplatz mehr – alles landet automatisch in der Cloud. Auch viele Handys und Tablets bringen nur noch wenig internen Speicher mit, oft mit dem Argument beworben, alles weitere könne man ja in der Cloud speichern. Das heißt: Lieber ein paar mehr Euro in den Speicherplatz investieren.

Kein automatischer Upload von Fotos

Beim Installieren von Handy-Apps wie Dropbox oder Google+ Fotos wird abgefragt, ob Fotos automatisch „gesichert“ werden sollen. Klingt praktisch, denn falls das Handy verloren geht, sind die Bilder immer noch da. Andererseits vergessen viele Anwender, dass sie irgendwann einmal zugestimmt hatten, und so landen alle Fotos automatisch in der Cloud. Auch die Selfies, die eigentlich nur für einen selbst (oder den oder die Liebste) bestimmt waren…

Der automatische Upload lässt sich ausstellen, aber das ist nicht immer einfach: Bei iOS findet sich die Funktion im Einstellungsmenü unter „iCloud“; bei der Dropbox-App im Menü unter Einstellungen und „Kamera Upload“. Der Upload ist deaktiviert wenn dort „Kamera-Upload aktivieren“ zu lesen ist; und bei Google Plus muss im Einstellungsmenü die „automatische Sicherung“ auf „Aus“ stehen. Da das automatische Sichern entfällt, muss man allerdings die Handybilder in regelmäßigen Abständen per Hand (also mit Datenkabel oder Bluetooth) auf einem Computer sichern.

Sicherheitsfragen: Bitte nur „falsche“ Antworten

Mehr als einmal waren Apples größte Schwachstellen die Sicherheitsfragen, die gestellt werden, wenn man sein Passwort vergessen hat. Antworten auf Fragen wie „Wie heißt Ihr Hund?“ oder „Was ist der Mädchenname Ihrer Mutter“ können Angreifer nicht selten über persönliche Postings auf Facebook oder Twitter einfach herausfinden. Das bedeutet: Nutzer sollten dort falsche Antworten eingeben – allerdings sollten sie sich diese Daten dann notieren, falls sie wirklich das Passwort vergessen haben.

Zwei Faktoren für mehr Sicherheit

Nach Daten-Pannen empfehlen Experten immer wieder, die sogenannte 2-Faktor-Authentifizierung zu verwenden. Klingt kompliziert, ist es leider oft auch. Die Idee dabei: Das Passwort (1. Faktor) reicht allein nicht aus, um sich Zugang zu verschaffen. Erst eine weitere Authentifizierung (2. Faktor) macht den Weg frei. Folgende Möglichkeiten gibt es:

Etwas, das ich weiß (Passwörter, Sicherheitsfragen)
Etwas, das ich besitze (Code auf dem Handy, Zugangskarte, Schlüssel)
Etwas, was mich körperlich auszeichnet (Fingerabdruck, Iris, Stimme)

Bei den großen Cloud-Anbietern ist es in der Regel ein Code, der auf dem Handy generiert wird. Für die Google-Anwendungen (Google Drive, Googlemail, Google Plus) zum Beispiel kann die Zwei-Faktor-Authentifizierung hier eingerichtet werden: Der Prozess dauert zu Beginn rund eine halbe Stunde (für jede Anwendung, die auf das Google Konto zugreift, wie zum Beispiel Outlook oder Thunderbird, muss ein eigenes Passwort erstellt werden). Am Ende ist der Zugang jedoch recht einfach: Das Passwort und der automatisch generierte Code der Handy-App „Google Authenticator“ öffnet die Tür zum Mail-Konto oder zur Datenablage. Wichtig dabei ist jedoch: Im schlimmsten Fall kann man sich für immer aus seinem Nutzerkonto aussperren. Wer das Passwort (1. Faktor) vergisst und das Handy verliert (2. Faktor) und zudem keine „Offline-Codes“ generiert hat, für den gibt es wenig Hoffnung.

Dropbox-Nutzer müssen sich auf der Webseite anmelden, auf ihren Namen oben rechts klicken und den Reiter „Sicherheit“ auswählen. Dort müssen sie unter dem Punkt „Zweistufige Überprüfung“ auf „aktivieren“ klicken. Die Sicherheitscodes werden entweder über eine Handy-App angezeigt oder per SMS geschickt.

Für die 2-Faktor-Authentifizierung im Apple-Ökosystem müssen sich Nutzer auf https://appleid.apple.com/ anmelden. Unter „Kennwort und Sicherheit“ findet sich dort der Punkt „zweistufige Bestätigung“. Mit einem Klick auf „Erste Schritte“ startet man den Prozess. Auch hier wird der Zugangscode über die App geliefert oder als SMS verschickt. Auch Microsoft bietet für OneDrive, Outlook.com, Xbox, Skype und Co. eine 2-Faktor-Authentifizierung an, genau so wie Facebook, Paypal, Twitter, WordPress und viele andere.

Verschlüsselung nicht nur bei Transport, sondern bei Speicherung gefragt

Allerdings hätte im Fall Apple auch die 2-Faktor-Authentifizierung nichts gebracht, da die Hacker sich über einen anderen Weg Zugriff auf die iCloud-Backup-Daten gesichert haben. (Siehe Link oben) Deshalb ist es wichtig, dass die Daten, die in der Cloud gespeichert werden, verschlüsselt sind. Nur dann können Hacker nichts mit den Dokumenten oder Fotos anfangen. Und nicht nur Hacker, auch Geheimdienste, scheinen sich für die Nutzerdaten in der Cloud zu interessieren.

Die großen Anbieter übertragen die Daten vom Nutzer-PC zum Cloud-Server zwar verschlüsselt, jedoch werden die Dokumente oder Fotos in der Regel unverschlüsselt gespeichert. Oder die Daten werden erst nach dem Hochladen vom Anbieter verschlüsselt. Das hat den Nachteil, dass wenn US-Anbieter Behörden den Zugriff gestatten müssen (nach Gerichtsbeschluss), diese Zugang zu den gesamten privaten Daten haben.

Nach dem NSA-Skandal haben Anbieter wie Google Änderungen angekündigt, aber bislang scheint sich wenig zu tun. Auch bei Dropbox, iCloud, OneDrive und anderen Anbietern scheint das Thema Verschlüsselung derzeit keine Priorität zu haben. Diese Lücke haben kleinere Cloud-Anbieter erkannt. Edward Snowden hat in einem Gespräch mit der Zeitung Guardian beispielsweise die Cloud-Lösung von Spideroak empfohlen. Dort gibt es 2 GB Speicherplatz kostenlos, für 10 US-Dollar gibt es 100 GB. Spideroak verschlüsselt die Daten vor dem Hochladen, so dass ein richterlicher Durchsuchungsbeschluss in diesem Fall nichts bringen würde. Die Behörden bekämen nur Datensalat. Auch das neuseeländische Cloud-Portal „Mega“ wird von einigen Experten in dieser Hinsicht als sicher angesehen. Letztlich muss man als Nutzer hier auch dem „Mega“-Gründer Kim Schmitz (alias Kim DotCom) vertrauen.

Erst verschlüsseln, dann in die Cloud

Die sicherste Variante ist die umständlichste: Natürlich kann man vor dem Hochladen in die Cloud die Dateien selbst verschlüsseln. Der Nachteil ist jedoch, dass sich die Dateien an anderen Computern oder Mobilgeräten nicht einfach entschlüsseln lassen. Wer jedoch seine Fotos oder Steuerdaten als „Backup“ in der Cloud speichern möchte und immer nur mit dem gleichen Computer darauf zugreift, für den ist diese Lösung interessant.

Bislang war die Software TrueCrypt erste Wahl dafür. Mit TrueCrypt konnte man sichere Container erstellen, in denen man die schützenswerten Daten speichern konnte. TrueCrypt wird seit einigen Monaten von Experten allerdings nicht mehr als sicher angesehen. Die Webseite Prism-Break empfiehlt unter anderem das Tool „encfs“ als Ersatz. Zusätzlich gibt es kommerzielle Tools, wie zum Beispiel „Boxcryptor“ der Augsburger Firma Secomba, die vor dem Hochladen Daten automatisch verschlüsseln.

Cloud selbst gemacht

Wer sich gar nicht auf Cloud-Firmen verlassen möchte, der kann sich seine Cloud auch selbst basteln. Die Open-Source-Software Owncloud lässt sich sowohl auf gemietetem Webspace bei einem Internet-Provider als auch auf einem eigenen Rechner oder sogar Rasberry-Pi zu Hause installieren.

Checkliste für den sicheren Umgang mit der Cloud:

Wichtige oder intime Dokumente und Fotos gehören nicht in die Cloud.
Lange und komplizierte Passwörter benutzen: Es sollte Zahlen, Groß- und Kleinschreibung und Satzzeichen enthalten.
Nicht das gleiche Passwort für unterschiedliche Anwendungen verwenden.
Die 2-Faktor-Authentifizierung aktivieren.
Bei Sicherheitsfragen „falsche“ Antworten hinterlegen.
Sensible Daten, wenn sie denn unbedingt in der Cloud gespeichert werden sollen, selbst verschlüsseln.
Automatischen Foto-Upload deaktivieren.
Beim Hardware-Kauf darauf achten, wie stark das Gerät mit Cloud-Diensten vernetzt ist.

Claus Hesseling ist freier Journalist für Wirtschafts- und Verbraucherredaktionen Fernsehen und Radio (WDR, NDR) sowie Medientrainer mit Schwerpunkt auf Onlinejournalismus.

Zum Thema bei iRights

Mini-Cloud im Selbstbau: Mac-Adressbuch und Kalender mit dem Raspberry Pi und Owncloud synchronisieren

Owncloud bringt Virenscanner und Volltextsuche für die eigene Datenwolke

Stiftung Warentest: Überwiegend mäßige Noten für Cloud-Speicherdienste

ULD: „Ein gewisses Misstrauen ist berechtigt”

Wie betreibe ich meine private Cloud?

Wolkendämmerung: Vertrauen in Clouddienste nach PRISM, Tempora & Co.

Zum Thema im Internet

Patriot Act und Cloud Computing: Zugriff auf Zuruf?

owncloud.org: Documentation Centre