Vorsicht bei der Nutzung von US-Cloud-Diensten

  • Allgemein

  • HotPi
  • 141 Aufrufe 4 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Vorsicht bei der Nutzung von US-Cloud-Diensten

    Datenschutz 06.11.2019, 17:42 Uhr
    Vorsicht bei der Nutzung von US-Cloud-Diensten
    Annähernd zur gleichen Zeit wie die DSGVO ist der CLOUD Act in den USA in Kraft getreten - dieser erlaubt US-Behörden den Zugriff auf sensible Daten zur Strafverfolgung. Das ist jedoch nicht DSGVO-konform.

    Das Tohuwabohu rund um die Datenschutz-Grundverordnung (DSVGO) im vergangenen Jahr war enorm. Wenig beachtet, ist in den USA - quasi im Windschatten der DSGVO - fast zeitgleich der CLOUD Act in Kraft getreten. Das Akronym steht für Clarifying Lawful Overseas Use of Data. Ziel und Zweck des CLOUD Act ist es, US-Behörden zu ermöglichen, im Rahmen der Strafverfolgung Zugriff auf Daten zu erlangen, die bei US-Unternehmen gespeichert sind. Das Gesetz verpflichtet US-Unternehmen zur Herausgabe von Daten, die auf ihren Servern vorhanden sind - auch dann, wenn sich diese im Ausland befinden, also etwa in Europa. Zusätzlich sollen bilaterale Rechtshilfeabkommen zwischen den USA und anderen Staaten abgeschlossen werden. Diese würden es auch nicht US-amerikanischen Behörden ermöglichen, Zugriff auf solche Daten zu erhalten.

    Microsofts Klage

    Der CLOUD Act ist die Folge einer ganzen Reihe von Rechtsstreitigkeiten um die Herausgabe von Daten an US-Behörden. Der prominenteste Fall war United States gegen Microsoft, der bis zur höchsten gerichtlichen Instanz ging, dem Supreme Court. Der CLOUD Act wurde just zu einem Zeitpunkt ratifiziert, als das Department of Jus­tice die Geduld mit Microsoft verlor - und beendete das Verfahren schlagartig. Damals wollte die US-Behörde von Microsoft die Daten eines US-Bürgers, die sich auf Cloud-Servern von Microsoft in Irland befanden. Microsoft verweigerte die Herausgabe und berief sich auf die Datenschutzgesetze Irlands und der EU. Beim CLOUD Act spielt es nun keine Rolle mehr, wo der Cloud-Provider seine Server betreibt, er zwingt ihn gewissermassen dazu, die jeweiligen nationalen Gesetze zu brechen.

    Was der CLOUD Act besagt

    Selbst für gestandene Juristen ist es keine leichte Aufgabe, die Inhalte und Auswirkungen des CLOUD Act genau zu bestimmen. Michael Scheffler, Area Vice President EMEA beim Cloud-Security-Anbieter Bitglass, erklärt es so: "Der CLOUD Act dient dazu, US-Behörden die Ermittlungen in Strafverfahren zu erleichtern. Er ermöglicht ihnen den Zugriff auf Kommunikationsdaten, die Telekommunikations-, E-Mail- oder Cloud-Anbieter im Ausland gespeichert haben. Dafür wurde bislang das Verfahren des Rechtshilfeersuchens genutzt, bei dem US-Behörden mit Unterstützung der Ermittlungsbehörden im Ausland von den Unternehmen die entsprechenden Daten anfordern können. Gemäss CLOUD Act kann die Aushändigung von Kommunikationsdaten aus dem Ausland nun unmittelbar durch die Unternehmen auf Veranlassung der US-Behörden erfolgen."

    Oft stösst man auf das Missverständnis, der CLOUD Act betreffe nur US-Unternehmen. Der CLOUD Act richtet sich aber an alle Unternehmen, die der US-Gerichtsbarkeit unter­liegen. Er gilt vielmehr unabhängig davon, ob Unternehmen in den USA oder in einem anderen Land niedergelassen sind. Das bedeutet, dass jedes Unternehmen mit einer Zweigstelle, einem kleinen Büro oder einer Tochtergesellschaft in den USA dem CLOUD Act unterliegt. Einzelne US-Gerichte gehen noch weiter: Sie haben geurteilt, dass der CLOUD Act selbst für Nicht-US-Webseiten gilt, die von Kunden mit Sitz in den Vereinigten Staaten genutzt werden. Zwar können die betroffenen Unternehmen gegen die Herausgabe der Daten Einspruch einlegen - dieses Vorgehen erscheint aber wenig erfolgversprechend.

    Eva-Maria Scheiter, Managing Consultant GRC beim Security-Dienstleister NTT Security, merkt an: "Es geht die Sorge um, US-Behörden könnten an den Gerichten vorbei agieren und an personenbezogene Daten oder gar Betriebsgeheimnisse gelangen, ohne betroffene Personen oder Unternehmen darüber informieren zu müssen." Es bestehe jedoch kein Automatismus zur Herausgabe solcher Daten. Unternehmen könnten gegen eine Herausgabe votieren, dann werde der Fall vor einem US-Gericht verhandelt, das die Regelungen eines Staates gegen die der USA abwägen solle. Eva Maria Scheiter sagt ausserdem: "Der CLOUD Act bietet ein weiteres Rechtsinstrument, das für mehr Klarheit in der sich ständig ausweitenden internationalen Gesetzgebung im Bereich der Cyberkriminalität sorgt."

    Teil 2: Widersprüche zur DSGVO
    Teil 3: Privacy Shield
    Teil 4: Schutz vor dem CLOUD Act

    Autor(in)
    Andreas Dumont


    Quelle: Vorsicht bei der Nutzung von US-Cloud-Diensten - onlinepc.ch
  • Den hier beschriebenen CLOUD Act finde ich ganz schön heftig! Ich habe keine Lust darauf, dass meine Daten potentiell von „Big Brother“ ausgespäht werden dürfen.

    Ich würde mich freuen, wenn ihr hier antwortet und Cloud-Anbieter nennt, die nicht dem CLOUD-Act unterliegen und denen man mehr oder weniger bedenkenlos seine Daten anvertrauen kann.
    Lächelnde SMILEYS bringen Farbe in den tristen Alltag!
    Rechteübersicht * Forenregeln * F.A.Q. * Lexikon
    Suchfunktion * Chat * User helfen User
  • Hallo Zusammen,

    wer glaubt seine Daten - verschlüsselt oder nicht - sind in der Cloud sicher, der irrt gewaltig.

    Ich rate Jedem davon ab.

    Wer es dennoch tun möchte, sollte sich regelmässig die Seiten des 'Bundesamtes für Sicherheit in der Informationstechnik' anschauen.

    Hier ein Artikel über

    Cloud: Risiken und Sicherheitstipps
    Grundsätzliches zur Cloud-Nutzung

    Der Zugang zu Cloud-Diensten erfolgt über ein internetfähiges Gerät. Dies kann beispielsweise ein PC, ein Smartphone oder ein internetfähiger Fernseher sein. Ist ein Gerät zum Beispiel durch einen Trojaner infiziert, sind somit auch die Cloud-Dienste, auf die von diesem Gerät zugegriffen wird, angreifbar. Die Endgeräte sind schützenswert und sollten sicher eingerichtet sein.

    Auf die Daten in der Cloud greift man über die Webseite des Cloud-Anbieters zu oder nutzt eine entsprechende App z. B. auf einem PC oder Smartphone. Der Zugang zu Cloud-Diensten muss besonders geschützt werden: Ein fehlender oder schwacher Passwortschutz öffnet Datendieben Tür und Tor. Denn ist die Zugangshürde genommen, steht der Zugriff auf alle Daten offen, sofern sie nicht zusätzlich verschlüsselt sind. Beachten Sie daher unsere Tipps für ein sicheres Passwort.

    Mittlerweile bieten viele Cloud-Anbieter außerdem eine Zwei-Faktor-Authentisierung an, wie sie beispielsweise auch beim Online-Banking eingesetzt wird: Hier wird zusätzlich zu Benutzername und Passwort ein Merkmal benötigt, um sich zweifelsfrei zu authentisieren. Das kann ein einmalig gültiger Zugangscode (eine TAN) sein ein USB-Stick mit einem geheimen Schlüssel,der Personalausweis oder ein Fingerabdruck. xDie Informationen zur Authentisierung (Benutzername/Passwort) sollten nicht im Gerät, beispielsweise als gespeichertes Passwort im Browser, hinterlegt sein und automatisch beim Aufruf des Cloud-Dienstes genutzt werden. Die Verwendung einer Zwei-Faktor-Authentisierung erhöht die Sicherheit beachtlich und sollte deshalb nach Möglichkeit genutzt werden.

    Ebenso stellt der Zugriff über unsichere Netze – etwa WLAN Hotspots am Flughafen – ein Risiko dar. In diesen Netzen könnten Angreifer Zugangsdaten abfangen und missbrauchen. Dies ist besonders kritisch, wenn keine Zwei-Faktor-Authentisierung verwendet wird. Im Idealfall werden Daten deshalb nur in verschlüsselter Form in die Cloud übertragen. Wenn Sie an Ihrem PC beispielsweise ein Textdokument erstellt haben und dieses in Ihren Online-Speicher hochladen, kann die Übertragung verschlüsselt oder unverschlüsselt erfolgen. Wird die Datei nicht verschlüsselt übertragen, ist diese theoretisch für Unbefugte einsehbar, die sich in Ihre Datenübertragung einklinken. Eine Verschlüsselung der Datenübertragung kann erfolgen, indem die Daten über eine sichere verbindung mit https übertragen werden. Falls der Anbieter die Möglichkeit einer solchen Transportverschlüsselung nicht anbietet, sollte die weitere Verwendung des Dienstes in Frage gestellt werden.

    Ein besonderes Risiko stellt in vielen Fällen der Zugang via Smartphone dar. Werden die Zugangsdaten in der App des Dienstes gespeichert, genügt ein bloßes Aufrufen der App, um auf die Cloud zuzugreifen. Was auf der einen Seite praktisch ist, bedeutet andererseits, dass möglicherweise auch Schadprogramme auf dem Smartphone leichten Zugriff auf die Daten in der Cloud haben. Wenn das Smartphone durch Verlust oder Diebstahl in falsche Hände gerät, sind die Cloud-Daten nur so sicher, wie der Zugriff auf das Smartphone geschützt ist. Wer also beispielsweise sein Smartphone nur mit einer vierstelligen PIN schützt, legt die Hürde recht niedrig. Außerdem ist in der Regel nicht garantiert, dass die verwendeten Apps die Daten verschlüsselt übertragen. Anders als bei der Benutzung moderner Internet-Browser werden Benutzer hier i.d.R. nicht auf die Risiken einer unverschlüsselten Verbindung hingewiesen. Die Benutzung eines Smartphones in unsicheren Hotspots kann also mit Sicherheitsrisiken verbunden sein.

    Datenlöschung und Beendigung der Nutzung
    Bevor Sie Ihre Daten bei einem Cloud-Anbieter speichern sollten Sie zudem prüfen, wie einfach oder umständlich es ist, wenn Sie Daten wieder aus der Cloud entfernen möchten. Denn das Löschen von Daten in der Cloud ist nicht so einfach, wie zu Hause auf dem eigenen Rechner. Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Daher empfiehlt sich ein Blick in die AGBs des Dienstleisters.

    Will man einen Cloud-Dienst nicht mehr nutzen, kündigt man den Vertrag oder hört einfach auf, einen kostenlosen Dienst zu nutzen. Deutlich schwieriger kann es sein, die eigenen Daten beim Cloud-Anbieter zu löschen. Sie speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren, um eine hohe Verfügbarkeit der Daten zu gewährleisten. Manche Cloud-Anbieter behalten die Daten auch nach einer Kündigung oder "Löschung" noch für einige Zeit für den Fall, dass die Kündigung oder Löschung zurückgenommen wird (was oft genug vorkommt).

    Datenverschlüsselung
    In der Cloud können Sie alle Daten speichern, die Sie möchten. Mitunter kann es sich dabei um sehr persönliche Daten handeln, etwa um Familienfotos, digitale Kontoauszüge oder Steuerunterlagen. Besonderes Augenmerk sollten Sie daher auf die Sicherung Ihrer Daten auf den Servern des Cloud-Anbieters legen. Ein Hackerangriff auf ein Rechenzentrum eines Cloud-Anbieters ist für Kriminelle lohnend, da dort Informationen vieler Anwender liegen. Und Angreifer haben Zeit, ihren Einbruch zu planen und eine Hintertür ins Rechenzentrum zu finden.

    Die korrekte Umsetzung und tatsächliche Sicherheit dieser Maßnahmen können Sie in der Regel nicht überprüfen. Am sichersten ist es deshalb, wenn Sie die Verschlüsselung der Daten übernehmen und den Schlüssel bei sich speichern. Wer seine Daten so schützt, muss allerdings Nachteile in puncto Bequemlichkeit in Kauf nehmen: Die verschlüsselten Daten sollten nicht in der Cloud entschlüsselt werden. Daher müssen sie heruntergeladen und lokal entschlüsselt werden, um weiter an ihnen arbeiten zu können. Zwar ist es möglich die verschlüsselten Daten auch zwischen mehreren Geräten zu synchronisieren, dann muss aber auf jedem Gerät der Schlüssel und eventuell auch die Verschlüsselungssoftware vorliegen. Ein gemeinsames, gleichzeitiges Arbeiten mehrerer Personen an einem Dokument ist dadurch nicht ohne weiteres möglich.

    Welche Verfahren Sie zur Verschlüsselung nutzen können und wie Sie diese anwenden, können Sie hier lesen.

    Konfiguration von Cloud-Diensten
    Einer der Vorteile beim Nutzen von Cloud-Diensten ist, dass Daten in der Regel einfach mit anderen Personen geteilt werden können und gemeinsam an diesen gearbeitet werden kann. Hierzu gibt es unterschiedliche Verfahren. Nehmen wir im Folgenden an, dass wir einen Online-Speicher benutzen, der das Freigeben der eigenen Daten für Dritte ermöglicht. Hierfür gibt es i.d.R. unterschiedliche Verfahren. Falls die Person, mit der ich die Daten teilen möchte,
    - ebenfalls bei dem Cloud-Dienst registriert ist, kann eine Freigabe oft speziell über den jeweiligen Benutzernamen erfolgen.
    - den Cloud-Dienst selbst nicht nutzt, kann oft eine Freigabe über einen Link eingerichtet werden.

    Bei der Freigabe per Link ist zu beachten: Jede Person, die den Link kennt, hat Zugriff auf die freigegebenen Daten. Hierbei gibt es viele Möglichkeiten, wie eine unbefugte Person von diesem Link Kenntnis erlangen könnte, z.B. falls der Link in einer unverschlüsselten E-Mail versendet wird. Da beim Zugriff auf die freigegebenen Daten via Link in der Regel keine Identifizierung erfolgt, lässt sich auch im Nachhinein nur schwer nachvollziehen, wer letztendlich auf die Daten zugegriffen hat.

    Folgende Dinge sollten bei Freigaben beachtet werden:

    - Für schützenswerte Daten sollte eine Freigabe mittels Link nach Möglichkeit nicht benutzt werden. Die Sicherheit kann erhöht werden, falls der Anbieter es ermöglicht, die Daten zusätzlich durch ein Passwort zu schützen. In diesem Fall empfiehlt es sich, den Link und das Passwort über unterschiedliche Medien (z.B. E-Mail und Telefonanruf) an sein gegenüber zu kommunizieren.

    - Freigaben sollten - nach Möglichkeit - im Vorhinein zeitlich begrenzt werden. Falls der Cloud-Anbieter dies nicht ermöglicht, sollte regelmäßig geprüft werden, welche Personen Zugriff auf welche der eigenen Daten haben und ob dieser Zugriff weiterhin notwendig ist.

    - Freigaben sollten immer spezifisch und restriktiv angewendet werden, d. h. falls eine Datei geteilt wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner in dem die Datei liegt.

    Wenn ein neuer Cloud-Dienst genutzt wird, empfiehlt es sich zu Beginn die Standard-Einstellungen zu prüfen. Eine gute Strategie ist, zu Beginn möglichst defensive Einstellungen zu wählen, d. h. zum Beispiel die Übermittlung von Daten an Dritte abzuschalten und nicht benötigte Funktionalitäten zu deaktivieren. Sollte eine Funktionalität später benötigt werden, kann diese dann wieder aktiviert werden.

    Schutz vor Fremdzugriffen, Sicherheitskennung und Auswahl des Cloud-Anbieters
    Wenn wir einen Cloud-Dienst nutzen, lagern wir private und schützenswerte Daten an den Cloud-Anbieter aus. Wir geben dabei Kontrolle und Verantwortung an den Cloud-Anbieter ab und müssen uns darauf verlassen, dass dieser die Daten schützt. Im Folgenden beschreiben wir, welche Ansatzpunkte Nutzerinnen und Nutzer haben, um die Auswahl des Anbieters auf Basis rationaler Fakten zu treffen und seine Daten vor Fremdzugriffen zu schützen.

    Sicherheitskennung (Zertifikate und Testate)
    Wie können Anwender sicher gehen, dass Cloud-Computing-Dienste mit den überlassenen Daten unter IT-Sicherheitsaspekten korrekt umgehen? Es gilt: Vertrauen ist gut, Kontrolle ist besser. Die Kontrolle kann der Privatanwender nicht persönlich durch einen Besuch im Rechenzentrum übernehmen. Über verschiedene, durch unabhängige Institutionen vergebene Sicherheitskennzeichen (Zertifikate oder Testate) kann der Anwender jedoch prüfen, ob ein Cloud-Anbieter festgelegte Sicherheitsstandards erfüllt oder mit den jeweiligen gesetzlichen Regelungen des Staates übereinstimmt.

    Eine Pflicht zu einer solchen Zertifizierung besteht für die Cloud-Anbieter nicht, sie ist stets freiwillig. Dennoch weisen viele eine Reihe von Zertifikaten und anderen Sicherheitskennzeichen vor. Der Cloud-Anbieter sollte nachweisen können, dass die Zertifikate durch regelmäßige Prüfungen erneuert werden. Hinterfragt werden sollte auch, ob nur einzelne Bestandteile des Cloud-Dienstes zertifiziert sind oder - wie im Idealfall - das gesamte Angebot.

    Das BSI hat mit seinem Prüfkatalog C5 einen eigenen Standard für Cloud-Sicherheit entwickelt, der die Prüfung von Cloud-Anbietern durch Wirtschaftsprüfer vorsieht. Hierbei vergibt der Wirtschaftsprüfer nach einer erfolgreichen Prüfung ein Testat an den Cloud-Provider und erstellt einen detaillierten Prüfbericht. Dieser Prüfbericht kann von Kunden dann i.d.R. angefordert und ausgewertet werden. Dieses System richtet sich jedoch primär an professionelle Anwender, da die Auswertung eines solchen Berichtes erhebliche Fachkenntnisse voraussetzt.

    Für Privatanwender sind folgende Zertifikate und Standards derzeit beachtenswert und eine Orientierungshilfe:

    - Auf der Webseite des Kompetenznetzwerks "Trusted Cloud" findet man viele Cloud-Anbieter mit ihren Diensten, die sich dort haben listen lassen. Neben informativen Angaben zu den Angeboten, die von Trusted Cloud überprüft wurden, finden sich auch verlässliche Angaben zu den Sicherheitsnachweisen der Cloud-Dienste.

    - Die EuroCloud-SaaS-Zertifizierung: Herausgeber ist EuroCloud, ein Zusammenschluss europäischer Cloud-Anbieter. In Deutschland vergibt der EuroCloud Deutschland_eco e.V., als Verband der deutschen Cloud Computing-Industrie, das Prüfsiegel. Der Maßstab der Zertifizierung in Deutschland sind die deutschen Gesetze zum Datenschutz und zur IT-Sicherheit sowie internationale Normen.

    - Das TÜV-Prüfzeichen: Die TÜV-Gesellschaften, etwa der TÜV Rheinland und der TÜV Saarland vergeben spezielle Cloud-Prüfzeichen, die Anbietern bestimmte Sicherheitsstandards bestätigen. Geprüft werden Cloud-spezifische Sicherheitsaspekte sowie die Konformität mit relevanten Normen und Gesetzen.

    - Oft findet man ein Zertifikat nach der internationalen Norm ISO/IEC 27001. Dabei wird nachgewiesen, dass der Cloud-Anbieter strukturierte Prozesse hat, um die Informationssicherheit zu gewährleisten. Leider ist damit aber keine Aussage über die eingesetzten Sicherheitsmaßnahmen verbunden.

    Standort des Cloud-Anbieters
    Informationen über den Standort des Cloud-Anbieters und der Server geben dem Anwender Auskunft darüber, welchem Datenschutzrecht seine Daten nach der Speicherung unterworfen sind. Bei vielen Cloud-Angeboten ist nicht auf den ersten Blick ersichtlich, in welchem Land der Anbieter seinen Sitz hat oder wo sich seine Rechenzentren befinden.

    So kann ein in Deutschland ansässiges Unternehmen durchaus Server im Ausland betreiben. Die Daten können dannder Rechtsprechungim Ausland unterliegen. Denn jeder Staat hat die Zugriffsrechte auf Dateien durch Unternehmen und Behörden unterschiedlich geregelt, basierend auf den dort geltenden Datenschutzgesetzen und anderen Vorschriften. Während in dem einen Land Behörden die Daten auswerten oder Rechner beschlagnahmen dürfen, ist dies in anderen Ländern gesetzlich untersagt. Für Anwender ist es in der Regel nicht nachvollziehbar, an welchem Ort ihre Daten gespeichert sind, wenn der Cloud-Dienste-Anbieter dies nicht explizit zusichert. Und Vorsicht: Jeder Anbieter kann – innerhalb des gesetzlichen Rahmens, der für ihn Gültigkeit hat – seine eigenen Nutzungsbedingungen und Datenschutzbestimmungen aufstellen. Diese können so formuliert sein, dass Sie dem Anbieter womöglich Zugriffs- und Nutzungsrechte für die gespeicherten Dateien einräumen, obwohl Sie das nicht möchten.

    Für die auf "Trusted Cloud" gelisteten Cloud-Anbieter bzw. Cloud-Dienste wird der Datenstandort und das anwendbare Recht angegeben, was durch das Kompetenznetzwerk "Trusted Cloud" überprüft wurde.

    Besonders kritisch wird die Nutzung von Cloud Computing, wenn Sie personenbezogene Daten Dritter bei einem Anbieter speichern. Hier kann schnell ein Verstoß gegen das Bundesdatenschutzgesetz vorliegen. Dazu reicht es bereits, Termine mit Adressen und Daten von Kunden in einem Cloud-Kalender abzulegen. Wenn Sie geschäftlich die Daten Dritter in der Cloud eines ausländischen Anbieters speichern möchten, lassen Sie sich vorher juristisch beraten. Der "Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder" hat eine "Orientierungshilfe - Cloud Computing" herausgegeben.

    Seit dem 25. Mai 2018 ist eine europaweite Datenschutz-Grundverordnung, die den Umgang mit personenbezogenen Daten regelt, in Kraft getreten. Weitere Informationen und viele weitere nützliche Hinweise zum Thema Datenschutz finden Sie auf der Webseite des Bundesdatenschutzbeauftragten.

    Quelle: BSI für Bürger - Cloud: Risiken und Sicherheitstipps
  • Wie es in dem Bericht beschrieben ist, muss die Verschlüsselung auf dem eigenen Gerät stattfinden, wie es u.a.bei Boxcryptor der Fall ist.

    Eine Alternative zu den Cloud-Diensten stellt eine eigene Cloud auf der eigenen NAS da. Die Geschwindigkeit hängt dabei von der Upload-Geschwindigkeit des Providers ab.

    Cloudspeicher Deutschland:
    1&1 Ionos HiDrive
    GMX Cloud
    Strato HiDrive
    Telekom Magenta Cloud
    Vodafone Komfort Cloud

    Cloudspeicher Schweiz:
    SecureSafe

    Cloudspeicher EU:
    Tresorit

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von HotPi () aus folgendem Grund: Nachtrag Cloudspeicher