Den hier beschriebenen CLOUD Act finde ich ganz schön heftig! Ich habe keine Lust darauf, dass meine Daten potentiell von „Big Brother“ ausgespäht werden dürfen.

Ich würde mich freuen, wenn ihr hier antwortet und Cloud-Anbieter nennt, die nicht dem CLOUD-Act unterliegen und denen man mehr oder weniger bedenkenlos seine Daten anvertrauen kann.

Hallo Zusammen,

wer glaubt seine Daten - verschlüsselt oder nicht - sind in der Cloud sicher, der irrt gewaltig.

Ich rate Jedem davon ab.

Wer es dennoch tun möchte, sollte sich regelmässig die Seiten des 'Bundesamtes für Sicherheit in der Informationstechnik' anschauen.

Hier ein Artikel über

Cloud: Risiken und Sicherheitstipps
Grundsätzliches zur Cloud-Nutzung

Der Zugang zu Cloud-Diensten erfolgt über ein internetfähiges Gerät. Dies kann beispielsweise ein PC, ein Smartphone oder ein internetfähiger Fernseher sein. Ist ein Gerät zum Beispiel durch einen Trojaner infiziert, sind somit auch die Cloud-Dienste, auf die von diesem Gerät zugegriffen wird, angreifbar. Die Endgeräte sind schützenswert und sollten sicher eingerichtet sein.

Auf die Daten in der Cloud greift man über die Webseite des Cloud-Anbieters zu oder nutzt eine entsprechende App z. B. auf einem PC oder Smartphone. Der Zugang zu Cloud-Diensten muss besonders geschützt werden: Ein fehlender oder schwacher Passwortschutz öffnet Datendieben Tür und Tor. Denn ist die Zugangshürde genommen, steht der Zugriff auf alle Daten offen, sofern sie nicht zusätzlich verschlüsselt sind. Beachten Sie daher unsere Tipps für ein sicheres Passwort.

Mittlerweile bieten viele Cloud-Anbieter außerdem eine Zwei-Faktor-Authentisierung an, wie sie beispielsweise auch beim Online-Banking eingesetzt wird: Hier wird zusätzlich zu Benutzername und Passwort ein Merkmal benötigt, um sich zweifelsfrei zu authentisieren. Das kann ein einmalig gültiger Zugangscode (eine TAN) sein ein USB-Stick mit einem geheimen Schlüssel,der Personalausweis oder ein Fingerabdruck. xDie Informationen zur Authentisierung (Benutzername/Passwort) sollten nicht im Gerät, beispielsweise als gespeichertes Passwort im Browser, hinterlegt sein und automatisch beim Aufruf des Cloud-Dienstes genutzt werden. Die Verwendung einer Zwei-Faktor-Authentisierung erhöht die Sicherheit beachtlich und sollte deshalb nach Möglichkeit genutzt werden.

Ebenso stellt der Zugriff über unsichere Netze – etwa WLAN Hotspots am Flughafen – ein Risiko dar. In diesen Netzen könnten Angreifer Zugangsdaten abfangen und missbrauchen. Dies ist besonders kritisch, wenn keine Zwei-Faktor-Authentisierung verwendet wird. Im Idealfall werden Daten deshalb nur in verschlüsselter Form in die Cloud übertragen. Wenn Sie an Ihrem PC beispielsweise ein Textdokument erstellt haben und dieses in Ihren Online-Speicher hochladen, kann die Übertragung verschlüsselt oder unverschlüsselt erfolgen. Wird die Datei nicht verschlüsselt übertragen, ist diese theoretisch für Unbefugte einsehbar, die sich in Ihre Datenübertragung einklinken. Eine Verschlüsselung der Datenübertragung kann erfolgen, indem die Daten über eine sichere verbindung mit https übertragen werden. Falls der Anbieter die Möglichkeit einer solchen Transportverschlüsselung nicht anbietet, sollte die weitere Verwendung des Dienstes in Frage gestellt werden.

Ein besonderes Risiko stellt in vielen Fällen der Zugang via Smartphone dar. Werden die Zugangsdaten in der App des Dienstes gespeichert, genügt ein bloßes Aufrufen der App, um auf die Cloud zuzugreifen. Was auf der einen Seite praktisch ist, bedeutet andererseits, dass möglicherweise auch Schadprogramme auf dem Smartphone leichten Zugriff auf die Daten in der Cloud haben. Wenn das Smartphone durch Verlust oder Diebstahl in falsche Hände gerät, sind die Cloud-Daten nur so sicher, wie der Zugriff auf das Smartphone geschützt ist. Wer also beispielsweise sein Smartphone nur mit einer vierstelligen PIN schützt, legt die Hürde recht niedrig. Außerdem ist in der Regel nicht garantiert, dass die verwendeten Apps die Daten verschlüsselt übertragen. Anders als bei der Benutzung moderner Internet-Browser werden Benutzer hier i.d.R. nicht auf die Risiken einer unverschlüsselten Verbindung hingewiesen. Die Benutzung eines Smartphones in unsicheren Hotspots kann also mit Sicherheitsrisiken verbunden sein.

Datenlöschung und Beendigung der Nutzung
Bevor Sie Ihre Daten bei einem Cloud-Anbieter speichern sollten Sie zudem prüfen, wie einfach oder umständlich es ist, wenn Sie Daten wieder aus der Cloud entfernen möchten. Denn das Löschen von Daten in der Cloud ist nicht so einfach, wie zu Hause auf dem eigenen Rechner. Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Daher empfiehlt sich ein Blick in die AGBs des Dienstleisters.

Will man einen Cloud-Dienst nicht mehr nutzen, kündigt man den Vertrag oder hört einfach auf, einen kostenlosen Dienst zu nutzen. Deutlich schwieriger kann es sein, die eigenen Daten beim Cloud-Anbieter zu löschen. Sie speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren, um eine hohe Verfügbarkeit der Daten zu gewährleisten. Manche Cloud-Anbieter behalten die Daten auch nach einer Kündigung oder "Löschung" noch für einige Zeit für den Fall, dass die Kündigung oder Löschung zurückgenommen wird (was oft genug vorkommt).

Datenverschlüsselung
In der Cloud können Sie alle Daten speichern, die Sie möchten. Mitunter kann es sich dabei um sehr persönliche Daten handeln, etwa um Familienfotos, digitale Kontoauszüge oder Steuerunterlagen. Besonderes Augenmerk sollten Sie daher auf die Sicherung Ihrer Daten auf den Servern des Cloud-Anbieters legen. Ein Hackerangriff auf ein Rechenzentrum eines Cloud-Anbieters ist für Kriminelle lohnend, da dort Informationen vieler Anwender liegen. Und Angreifer haben Zeit, ihren Einbruch zu planen und eine Hintertür ins Rechenzentrum zu finden.

Die korrekte Umsetzung und tatsächliche Sicherheit dieser Maßnahmen können Sie in der Regel nicht überprüfen. Am sichersten ist es deshalb, wenn Sie die Verschlüsselung der Daten übernehmen und den Schlüssel bei sich speichern. Wer seine Daten so schützt, muss allerdings Nachteile in puncto Bequemlichkeit in Kauf nehmen: Die verschlüsselten Daten sollten nicht in der Cloud entschlüsselt werden. Daher müssen sie heruntergeladen und lokal entschlüsselt werden, um weiter an ihnen arbeiten zu können. Zwar ist es möglich die verschlüsselten Daten auch zwischen mehreren Geräten zu synchronisieren, dann muss aber auf jedem Gerät der Schlüssel und eventuell auch die Verschlüsselungssoftware vorliegen. Ein gemeinsames, gleichzeitiges Arbeiten mehrerer Personen an einem Dokument ist dadurch nicht ohne weiteres möglich.

Welche Verfahren Sie zur Verschlüsselung nutzen können und wie Sie diese anwenden, können Sie hier lesen.

Konfiguration von Cloud-Diensten
Einer der Vorteile beim Nutzen von Cloud-Diensten ist, dass Daten in der Regel einfach mit anderen Personen geteilt werden können und gemeinsam an diesen gearbeitet werden kann. Hierzu gibt es unterschiedliche Verfahren. Nehmen wir im Folgenden an, dass wir einen Online-Speicher benutzen, der das Freigeben der eigenen Daten für Dritte ermöglicht. Hierfür gibt es i.d.R. unterschiedliche Verfahren. Falls die Person, mit der ich die Daten teilen möchte,
- ebenfalls bei dem Cloud-Dienst registriert ist, kann eine Freigabe oft speziell über den jeweiligen Benutzernamen erfolgen.
- den Cloud-Dienst selbst nicht nutzt, kann oft eine Freigabe über einen Link eingerichtet werden.

Bei der Freigabe per Link ist zu beachten: Jede Person, die den Link kennt, hat Zugriff auf die freigegebenen Daten. Hierbei gibt es viele Möglichkeiten, wie eine unbefugte Person von diesem Link Kenntnis erlangen könnte, z.B. falls der Link in einer unverschlüsselten E-Mail versendet wird. Da beim Zugriff auf die freigegebenen Daten via Link in der Regel keine Identifizierung erfolgt, lässt sich auch im Nachhinein nur schwer nachvollziehen, wer letztendlich auf die Daten zugegriffen hat.

Folgende Dinge sollten bei Freigaben beachtet werden:

- Für schützenswerte Daten sollte eine Freigabe mittels Link nach Möglichkeit nicht benutzt werden. Die Sicherheit kann erhöht werden, falls der Anbieter es ermöglicht, die Daten zusätzlich durch ein Passwort zu schützen. In diesem Fall empfiehlt es sich, den Link und das Passwort über unterschiedliche Medien (z.B. E-Mail und Telefonanruf) an sein gegenüber zu kommunizieren.

- Freigaben sollten - nach Möglichkeit - im Vorhinein zeitlich begrenzt werden. Falls der Cloud-Anbieter dies nicht ermöglicht, sollte regelmäßig geprüft werden, welche Personen Zugriff auf welche der eigenen Daten haben und ob dieser Zugriff weiterhin notwendig ist.

- Freigaben sollten immer spezifisch und restriktiv angewendet werden, d. h. falls eine Datei geteilt wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner in dem die Datei liegt.

Wenn ein neuer Cloud-Dienst genutzt wird, empfiehlt es sich zu Beginn die Standard-Einstellungen zu prüfen. Eine gute Strategie ist, zu Beginn möglichst defensive Einstellungen zu wählen, d. h. zum Beispiel die Übermittlung von Daten an Dritte abzuschalten und nicht benötigte Funktionalitäten zu deaktivieren. Sollte eine Funktionalität später benötigt werden, kann diese dann wieder aktiviert werden.

Schutz vor Fremdzugriffen, Sicherheitskennung und Auswahl des Cloud-Anbieters
Wenn wir einen Cloud-Dienst nutzen, lagern wir private und schützenswerte Daten an den Cloud-Anbieter aus. Wir geben dabei Kontrolle und Verantwortung an den Cloud-Anbieter ab und müssen uns darauf verlassen, dass dieser die Daten schützt. Im Folgenden beschreiben wir, welche Ansatzpunkte Nutzerinnen und Nutzer haben, um die Auswahl des Anbieters auf Basis rationaler Fakten zu treffen und seine Daten vor Fremdzugriffen zu schützen.

Sicherheitskennung (Zertifikate und Testate)
Wie können Anwender sicher gehen, dass Cloud-Computing-Dienste mit den überlassenen Daten unter IT-Sicherheitsaspekten korrekt umgehen? Es gilt: Vertrauen ist gut, Kontrolle ist besser. Die Kontrolle kann der Privatanwender nicht persönlich durch einen Besuch im Rechenzentrum übernehmen. Über verschiedene, durch unabhängige Institutionen vergebene Sicherheitskennzeichen (Zertifikate oder Testate) kann der Anwender jedoch prüfen, ob ein Cloud-Anbieter festgelegte Sicherheitsstandards erfüllt oder mit den jeweiligen gesetzlichen Regelungen des Staates übereinstimmt.

Eine Pflicht zu einer solchen Zertifizierung besteht für die Cloud-Anbieter nicht, sie ist stets freiwillig. Dennoch weisen viele eine Reihe von Zertifikaten und anderen Sicherheitskennzeichen vor. Der Cloud-Anbieter sollte nachweisen können, dass die Zertifikate durch regelmäßige Prüfungen erneuert werden. Hinterfragt werden sollte auch, ob nur einzelne Bestandteile des Cloud-Dienstes zertifiziert sind oder - wie im Idealfall - das gesamte Angebot.

Das BSI hat mit seinem Prüfkatalog C5 einen eigenen Standard für Cloud-Sicherheit entwickelt, der die Prüfung von Cloud-Anbietern durch Wirtschaftsprüfer vorsieht. Hierbei vergibt der Wirtschaftsprüfer nach einer erfolgreichen Prüfung ein Testat an den Cloud-Provider und erstellt einen detaillierten Prüfbericht. Dieser Prüfbericht kann von Kunden dann i.d.R. angefordert und ausgewertet werden. Dieses System richtet sich jedoch primär an professionelle Anwender, da die Auswertung eines solchen Berichtes erhebliche Fachkenntnisse voraussetzt.

Für Privatanwender sind folgende Zertifikate und Standards derzeit beachtenswert und eine Orientierungshilfe:

- Auf der Webseite des Kompetenznetzwerks "Trusted Cloud" findet man viele Cloud-Anbieter mit ihren Diensten, die sich dort haben listen lassen. Neben informativen Angaben zu den Angeboten, die von Trusted Cloud überprüft wurden, finden sich auch verlässliche Angaben zu den Sicherheitsnachweisen der Cloud-Dienste.

- Die EuroCloud-SaaS-Zertifizierung: Herausgeber ist EuroCloud, ein Zusammenschluss europäischer Cloud-Anbieter. In Deutschland vergibt der EuroCloud Deutschland_eco e.V., als Verband der deutschen Cloud Computing-Industrie, das Prüfsiegel. Der Maßstab der Zertifizierung in Deutschland sind die deutschen Gesetze zum Datenschutz und zur IT-Sicherheit sowie internationale Normen.

- Das TÜV-Prüfzeichen: Die TÜV-Gesellschaften, etwa der TÜV Rheinland und der TÜV Saarland vergeben spezielle Cloud-Prüfzeichen, die Anbietern bestimmte Sicherheitsstandards bestätigen. Geprüft werden Cloud-spezifische Sicherheitsaspekte sowie die Konformität mit relevanten Normen und Gesetzen.

- Oft findet man ein Zertifikat nach der internationalen Norm ISO/IEC 27001. Dabei wird nachgewiesen, dass der Cloud-Anbieter strukturierte Prozesse hat, um die Informationssicherheit zu gewährleisten. Leider ist damit aber keine Aussage über die eingesetzten Sicherheitsmaßnahmen verbunden.

Standort des Cloud-Anbieters
Informationen über den Standort des Cloud-Anbieters und der Server geben dem Anwender Auskunft darüber, welchem Datenschutzrecht seine Daten nach der Speicherung unterworfen sind. Bei vielen Cloud-Angeboten ist nicht auf den ersten Blick ersichtlich, in welchem Land der Anbieter seinen Sitz hat oder wo sich seine Rechenzentren befinden.

So kann ein in Deutschland ansässiges Unternehmen durchaus Server im Ausland betreiben. Die Daten können dannder Rechtsprechungim Ausland unterliegen. Denn jeder Staat hat die Zugriffsrechte auf Dateien durch Unternehmen und Behörden unterschiedlich geregelt, basierend auf den dort geltenden Datenschutzgesetzen und anderen Vorschriften. Während in dem einen Land Behörden die Daten auswerten oder Rechner beschlagnahmen dürfen, ist dies in anderen Ländern gesetzlich untersagt. Für Anwender ist es in der Regel nicht nachvollziehbar, an welchem Ort ihre Daten gespeichert sind, wenn der Cloud-Dienste-Anbieter dies nicht explizit zusichert. Und Vorsicht: Jeder Anbieter kann – innerhalb des gesetzlichen Rahmens, der für ihn Gültigkeit hat – seine eigenen Nutzungsbedingungen und Datenschutzbestimmungen aufstellen. Diese können so formuliert sein, dass Sie dem Anbieter womöglich Zugriffs- und Nutzungsrechte für die gespeicherten Dateien einräumen, obwohl Sie das nicht möchten.

Für die auf "Trusted Cloud" gelisteten Cloud-Anbieter bzw. Cloud-Dienste wird der Datenstandort und das anwendbare Recht angegeben, was durch das Kompetenznetzwerk "Trusted Cloud" überprüft wurde.

Besonders kritisch wird die Nutzung von Cloud Computing, wenn Sie personenbezogene Daten Dritter bei einem Anbieter speichern. Hier kann schnell ein Verstoß gegen das Bundesdatenschutzgesetz vorliegen. Dazu reicht es bereits, Termine mit Adressen und Daten von Kunden in einem Cloud-Kalender abzulegen. Wenn Sie geschäftlich die Daten Dritter in der Cloud eines ausländischen Anbieters speichern möchten, lassen Sie sich vorher juristisch beraten. Der "Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder" hat eine "Orientierungshilfe - Cloud Computing" herausgegeben.

Seit dem 25. Mai 2018 ist eine europaweite Datenschutz-Grundverordnung, die den Umgang mit personenbezogenen Daten regelt, in Kraft getreten. Weitere Informationen und viele weitere nützliche Hinweise zum Thema Datenschutz finden Sie auf der Webseite des Bundesdatenschutzbeauftragten.

Quelle: BSI für Bürger - Cloud: Risiken und Sicherheitstipps