Überblick Technik 15. Oktober 2012 von

Sicherheit in der Cloud

Bild-10418

Sicherheit in der Cloud hat verschiedene Aspekte: auf der einen Seite geht es darum, dass die eigenen Daten vor dem Zugriff von Dritten geschützt werden und dass diese Daten nicht manipuliert werden können, auf der anderen müssen sie vor Verlust aus technischen Gründen bewahrt werden. Worauf müssen Nutzer achten?

Es ist die wohl häufigste Frage beim Cloud Computing: Ist das auch sicher? Genau besehen verbergen sich hinter der Frage eine ganze Reihe an unterschiedlichen Problemen und Aspekten. Zwei Betrachtungsweisen kann man fürs erste unterscheiden:

1. Datenschutz

Die rechtlichen Aspekte von Sicherheit in der Cloud regelt vor allem der Datenschutz. Das Datenschutzgesetz soll die „informationelle Selbstbestimmung” schützen – also dafür sorgen, dass man als Nutzer selbst darüber bestimmen kann, ob, wann und welche Daten man über sich preisgibt und wie sie verwendet werden. Mehr zum Datenschutz findet man im Artikel „Datenschutz in der Cloud“.

2. Datensicherheit

Um die technischen Aspekte geht es bei der Datensicherheit, häufig spricht man auch von Informationssicherheit. Informationssicherheit und Datenschutz sind nicht dasselbe, auch wenn beides eng miteinander verbunden ist. Während Datenschutz vor allem den Missbrauch personenbezogener Daten verhindern soll, geht es bei der Informationssicherheit ganz allgemein darum, dass ein System (etwa ein Cloud-Dienst) generell funktionsfähig und geschützt ist.

Häufig wird in diesem Zusammenhang von drei zentralen Schutzzielen der Informationssicherheit gesprochen. Sie sind auch relevant, wenn es um Cloud-Dienste geht.

  1. Vertraulichkeit: Systeme müssen erstens davor geschützt sein, dass unautorisierte Dritte eindringen und Daten einsehen können.
  2. Integrität: Zweitens muss verhindert werden, dass unautorisierte Nutzer Daten verändern oder sonstwie manipulieren können.
  3. Verfügbarkeit: Drittens müssen Daten und Dienste verfügbar sein, wenn man sie braucht – und nicht zum Beispiel durch unvorhergesehene Ereignisse ausfallen oder verlorengehen.

Soweit die Theorie in aller Kürze. Während Sicherheitserwägungen beim Cloud Computing für geschäftliche Nutzer außerordentlich relevant sind (und sich viele weitere Dimensionen und Aspekte von Sicherheitsrisiken anführen ließen), ist das bei privaten Cloudnutzern nicht immer der Fall.

Für ein Fotoalbum etwa, das ohnehin schon bei Facebook oder anderswo hochgeladen wurde, sind die Anforderungen an die Sicherheit meistens weniger hoch als für Geschäftsgeheimnisse eines Unternehmens. Doch sobald es um wichtige persönliche Daten wie etwa private Korrespondenz, medizinische Daten oder ähnliches geht, ist auch ein privater Nutzer gut beraten, bei den Sicherheitsversprechen der Anbieter genauer hinzusehen.

Und woher weiß man, ob ein Cloud-Anbieter sicher ist? Ob und wie ein Anbieter tatsächlich für Sicherheit sorgt, kann ein normaler Nutzer praktisch nie kontrollieren. Umso wichtiger ist es, zumindest die Aussagen der Anbieter genauer beurteilen zu können. Denn wo „sicher” drauf steht, muss keinesfalls ein wirklich sicherer Dienst dahinter stecken. So kamen etwa Forscher des Fraunhofer-Instituts 2012 in einer Studie zum Ergebnis, dass praktisch alle Anbieter von Cloud-Speicherdiensten mehr oder weniger große Sicherheitsmängel zulassen. Neben der Entscheidung für oder gegen einen Anbieter empfiehlt es sich daher, gegebenenfalls auch selbst eigene Schritte zu unternehmen, um private Daten zu schützen.

Sicherheit durch Verschlüsselung

Das wichtigste Werkzeug für die Sicherheit der eigenen Daten ist die Verschlüsselung. Zwar werben praktisch alle Anbieter von Cloud-Diensten, bei denen es um persönliche Daten geht, damit, eine Verschlüsselung einzusetzen, doch hier sollte man genau hinsehen und wissen, was und wie verschlüsselt wird und wer den Schlüssel besitzt.

1. Verschlüsselung der Verbindung

Damit Daten auf dem Weg vom eigenen Rechner in die Cloud sicher sind, werden sie verschlüsselt übertragen. Dazu wird eine sichere Verbindung zwischen dem eigenen Rechner und einem Rechner im Internet aufgebaut. Damit der eigene Rechner (oder das eigene Endgerät) erkennen kann, dass am anderen Ende der Leitung ein vertrauenswürdiger Rechner steht, weist sich dieser aus. Bei Webdiensten erkennt man das zumeist daran, dass man im Browser ein Zertifikat akzeptieren muss.

Aus dem Alltag kennt man so gesicherte Verbindung zum Beispiel vom Homebanking. In der Browserleiste erscheint dann ein Schloss-Symbol und die Webadresse beginnt mit „https://”. Das ist eine besondere Version des Protokolls HTTP, das den Datenverkehr beim Browser regelt. Das angehängte „s” bezeichnet die verschlüsselte Verbindung. Solche verschlüsselten Verbindungen werden auch für Webmail-Anwendungen, zum Hochladen von Dateien im Hintergrund oder für das Übertragen von Passwörtern bei personalisierten Diensten genutzt. Das technische Verfahren, das dafür am häufigsten verwendet wird, nennt sich TLS beziehungsweise SSL (Transport Layer Security/ Secure Sockets Layer).

Dennoch gibt es hier eine entscheidende, prinzipielle Schwachstelle, denn für den Empfänger (was auch ein Rechner auf dem Weg in die Cloud sein kann, der nur als Zwischenstation dient) sind trotz der verschlüsselten Verbindung alle übertragenen Daten einsehbar. Das wird zum Beispiel bei sogenannten „Man-in-the-middle”-Angriffen ausgenutzt, bei denen sich ein solcher Rechner in einem Netzwerk als legitimer Knoten ausgibt, tatsächlich aber Daten abfängt oder manipuliert.

2. Verschlüsselung der Inhalte

Damit die Daten nicht nur beim Transport, sondern auch in der Cloud selbst geschützt sind, müssen nicht nur die Verbindung, sondern auch die eigentlichen Inhalte verschlüsselt werden. Das kann entweder schon beim Nutzer selbst passieren (Client-seitige Verschlüsselung) oder erst beim Cloud-Dienst. Aber auch, wenn die Anbieter Daten verschlüsseln, bleibt die Frage, wer den Schlüssel wofür hat. So kann ein Cloud-Dienst etwa mit Verschlüsselung werben, aber nur einen Schlüssel für alle Benutzer verwenden. Je nach Land und damit Jurisdiktion sind die Regelungen und Befugnisse für eine Herausgabe des Schlüssels an Dritte zudem unterschiedlich gestaltet. Wer auf Nummer sicher gehen will, sollte daher auf eigene, Client-seitige Verschlüsselung achten. Beim Portal „Verbraucher Sicher Online“ gibt es Anleitungen, wie man seine Daten schützen kann.

Verfügbarkeit der Daten

Vor allem neue Nutzer von Cloud-Diensten sind häufig besorgt, dass eigene Daten in der Wolke verloren gehen könnten. Tatsächlich gibt es bei vielen Webdiensten immer wieder Meldungen über Ausfälle; ein Datenverlust lässt sich grundsätzlich nie ausschließen. Das muss allerdings nicht generell gegen die Datenverfügbarkeit bei Cloud-Diensten sprechen.

Denn dagegen lässt sich einwenden, dass die Gefahr eines Datenverlusts in der Cloud geringer sein dürfte als beim klassischen lokalen Speichern auf dem eigenen Rechner oder Mobilgerät. Auch hier besteht immer das Risiko eines Datenverlusts durch defekte Geräte, durch Verlust oder sonstige Ereignisse. Cloudanbieter hingegen verfügen über ausgereifte Infrastrukturen und speichern Daten mehrfach (redundant) ab, dies ist ja gerade ihr Kerngeschäft. Beim durchschnittlichen Nutzer ist ein vergleichbarer Aufwand dagegen selten. In Bezug auf die Datenverfügbarkeit ist daher auch vieles schlicht eine Sache der Gewöhnung.

Zum Thema im Internet