Über den Wolken – Cloudspeicher

Alle Dokumente in der Cloud. Immer und überall verfügbar. Ein kleiner Traum, der schon kostenlos zu haben ist. Dropbox ist schon fast ein Synonym für „die Cloud“. Aber auch bei Google, Microsoft und Amazon bekommt man oft zu anderen Diensten Cloudspeicher mitgeliefert. So einfach die Verwendung ist, so problematisch ist der Einsatz im Schulumfeld. Drei Punkte sind in meinen Augen relevant:

  • Die „Lagerung“ der Daten auf dem eigenen Rechner
  • Die Übertragung der Daten zum Cloudserver
  • Die Speicherung der Daten auf dem Cloudserver

Die „Lagerung“ der Daten auf dem eigenen Rechner fällt natürlich in jedem Fall an, in dem man beginnt dienstliche Tätigkeiten elektronisch zu erledigen. Die Daten müssen getrennt sein von privaten Daten, verschlüsselt und passwortgeschützt. In der Regel ist das erfüllt, da moderne Dateisysteme in der Regel von Haus aus verschlüsselt sind. Das bedeutet, dass jemand, der meine Festplatte ausbaut, diese nicht mit seinem Rechner verbinden kann und die Daten einfach auslesbar sind. Der Passwortschutz verhindert den Zugang zu den entschlüsselten Daten direkt an meinem PC.

Datenübertragung mit TLS

Die Übertragung der Daten erfolgt heutzutage bei seriösen Anbietern auch immer verschlüsselt (TLS). Dazu meldet sich der Client (mein Rechner) beim Server, der sich mit einem Zertifikat identifiziert. Server und Client tauschen dann Schlüssel aus, mit denen die Kommunikation verschlüsselt wird. Diese Verschlüsselung schützt gegen das Mitlesen der Daten, zum Zeitpunkt der Übertragung. TLS hat den Vorteil, dass es durch seine Implementierung im Layermodell unterhalb von Protokollen wie HTTP angeordnet ist und damit für diese Protokolle genutzt werden kann (HTTPS). Es ist vergleichsweise rechenintensiv am Server, was dazu führt, dass Übertragungen mit TLS etwas langsamer sind, als unverschlüsselte Übertragungen. Dem gegenüber steht, dass TLS sehr sicher ist und Angriffsszenarien komplex sind. [1]

Serverseitige Verschlüsselung

Der Knackpunkt ist die Speicherung auf dem Server. Eine Alternativen ist die serverseitige Verschlüsselung. Allerdings ist es dazu notwendig, dass der Schlüssel sich auch auf dem Server befindet (ansonsten ist eine Verschlüsselung durch den Server schwer möglich). Wirklich sicher ist das nicht, insbesondere, weil damit der Betreiber des Servers diese Schlüssel auch besitzt. Gerade im Falle, dass Behörden die Herausgabe von Daten verlangen, scheint dies problematisch. Um diese Problematik zu umgehen, müssen die Daten schon verschlüsselt zum Server übertragen werden. Dazu ist es notwendig entweder eine zusätzliche Software zu installieren oder einen Cloudanbieter zu wählen, der dies integriert anbietet.

Die Wahl des Anbieters

Die großen Anbieter scheiden nicht automatisch aus. Dropbox, OneDrive und Google Drive kommen als Anbieter in Frage, wenn man einen Zusatzdienst wie Cryptomator oder Boxcryptor einsetzt. Allerdings benötigt man die Verschlüsselungssoftware auf jedem Gerät, welches auf die Daten zugreifen soll. Man erkauft sich also die Nutzung mit etwas Komfortverlust.

Eine weitere Möglichkeit besteht in der Nutzung einer Open-Source-Software, die man auf einem eigenen Server betreibt, den man selbst physisch zugänglich hat. Hier schließt man mit einer Verschlüsselung auf dem Server zumindest aus, dass jemand drittes auf den Speicher physisch zugreifen kann. Allerdings birgt der Betrieb eines eigenen Servers auch Sicherheitsrisiken. Man sollte schon sehr genau wissen, was man tut, weil man sonst evtl. Türen öffnet, derer man sich nicht bewusst ist. Deshalb ist es auch möglich, auf Hoster zurückzugreifen, die ownCloud, Nextcloud oder Seafile fertig installiert anbieten.

Die dritte Möglichkeit ist, einen Cloudanbieter auszuwählen, der Ende-zu-Ende Verschlüsselung von Haus aus anbietet. Im Grunde funktioniert hier alles wie bei den bekannten Anbietern, mit dem Unterschied, dass der Client die Dateien verschlüsselt und erst dann auf den Server überträgt. Der Anbieter hat keine Möglichkeit, die Daten mitzulesen. Nur mit dem Schlüssel des Clients können die Daten wieder entschlüsselt werden. Bis vor einiger Zeit war für ein solches Vorgehen noch umfangreiches technisches Wissen notwendig und der ganze Prozess wurde komplizierter. Der Fall Snowden hat aber auch dafür gesorgt, dass die Nachfrage nach solchen Diensten stieg und diese benutzerfreundlicher wurden.

Exemplarisch sind z.B. die Anbieter Tresorit aus der Schweiz und Luckycloud aus Berlin zu nennen. Während Tresorit auf eine eigene closed-Source-Lösung setzt, nutzt Luckycloud die Open-Source-Software Seafile (ein chinesisches Unternehmen). Beide Anbieter bieten Ende-zu-Ende Verschlüsselung, die in der Clientsoftware integriert ist. Während man bei Luckycloud explizit verschlüsselte Ordner anlegen muss, gibt es bei Tresorit keine Möglichkeit, unverschlüsselte Daten abzulegen. Luckycloud bietet den Vorteil, dass auf Open Source Software gesetzt wird, die prinzipiell einsehbar ist. Bei Tresorit setzt man auf eine proprietäre Lösung. Die Software und die Apps wirken runder, als bei Luckycloud, die keine eigenen Clients anbieten, sondern auf die Clients von Seafile zurückgreifen. Trotzdem halte ich beide Anbieter aktuell für den besten Kompromiss zwischen einfacher Handhabung und größter Sicherheit.

PDF – Cloudlösungen im Überblick

[1] https://de.wikipedia.org/wiki/Transport_Layer_Security

2 Kommentare

Kommentare sind geschlossen.