Die sicherste Cloud befindet sich unter eigener Kontrolle (siehe: Cloud). Doch nicht jeder kann oder möchte in ein zusätzliches Gerät investieren und sich das notwendige Wissen zum sicheren Betrieb einer Nextcloud oder eines Synology Drive aneignen. Dann bleibt nur die Wahl eines professionellen Cloud-Dienstleisters.
Nahezu alle großen Cloud Anbieter einen zwei Eigenschaften:
- Sie verschlüsseln die Daten nicht
- Sie haben ihren Firmensitz nicht in Europa
Fehlende Verschlüsselung
Viele Anwender begegnen diesem Problem mit der fatalistischen Grundhaltung: „Ich packe ja keine geheimen Sachen in die Cloud„. Das ist gleich in mehrfacher Hinsicht trügerisch. Hat man erst einmal einen Cloudspeicher und sich an die ständige Verfügbarkeit von Daten gewöhnt, weitet man erfahrungsgemäß sukzessive die Nutzung aus. Die Wachsamkeit weicht der Gewohnheit und beobachtet man sich nach einigen Monaten oder Jahren selbst, ist man überrascht was man alles der Cloud anvertraut. Zudem gibt es gar keine unproblematischen Daten, weil jede Datensammlung Informationen über ihren Besitzer enthält.
Durch die fehlende Dateiverschlüsselung liegen die Daten quasi offen für befugten und weniger befugten Zugriff. Die meisten denken hier seit den Snowden-Leaks immer an die Zugriffsmöglichkeiten für Geheimdienste und Sicherheitsbehörden anderer Staaten. Es bedeutet aber auch automatisierte Auswertungen der (Meta-)Daten durch die Firmen und je nach internem Sicherheitskonzept haben auch viele Mitarbeiter Zugriff.
Insbesondere die Auswertung von Metadaten unterschätzen immer noch viele. Wann habe ich welche Dateien in welchem Umfang bearbeitet? Wann hat meine mobile App in größeren Mengen Fotos hochgeladen? Vielleicht sogar mit integrierten GPS-Koordinaten? Mit wem teile ich Daten? Man braucht gar nicht in die Daten zu schauen, um große Mengen an Informationen über den Anwender zu gewinnen. Ein weiterer Baustein auf dem Big Data Marktplatz.
Die Dateiverschlüsselung kann man mit freien Lösungen wie Cryptomator (siehe: Cryptomator – Daten sicher in der Cloud speichern) oder proprietären Angeboten wie Boxcryptor (siehe: Boxcryptor – Proprietäre Cloudspeicher-Verschlüsselung) noch selbst nachrüsten, das gilt aber nur in beschränktem Ausmaß für die Metadaten.
Rechtssicherheit
AGBs sind Geduldig und Verstöße gegen den Datenschutz außerhalb der EU immer noch ein Kavaliersdelikt. Anbieter aus Nicht-EU-Staaten dürfen ihre Dienstleistungen in Europa vollkommen legal anbieten, sofern sie den Datenschutz gewährleisten. Grundlage sind hier aber meist Bestätigungen über gleichwertiges Datenschutzniveau oder Abkommen wie der EU-US Privacy Shield. Faktisch bedeutet das für den Betroffenen gar nichts. Verstöße gegen EU-Recht kann man meist überhaupt nicht einklagen oder der Klageweg ist mit sehr vielen Hürden versehen. Da hilft es leider auch nichts, wenn die Firmen europäische Niederlassungen betreiben. Denn diese sind nicht nur aus steuerlichen Gründen oft in Irland angesiedelt, sondern auch weil die dortige Datenschutzbehörde sich in der Vergangenheit als sehr handzahm erwiesen hat.
Anstelle also vollmundigen Versprechungen zu glauben sollte diesen Aspekt von vornherein mitdenken. Idealerweise sitzt der Anbieter in Deutschland oder einem anderen EU-Land mit einer ernstzunehmenden Datenschutzbehörde (also nach bisherigen Erfahrungen nicht Irland). Das ist im Zweifelfalls wichtiger als vollmundige Versprechungen über Server-Sicherheit oder Transportverschlüsselungen.
Empfehlungen
Ich habe an dieser Stelle lange überlegt, ob ich Empfehlungen für den ein oder anderen Anbieter aussprechen möchte. Allerdings konnte mich bisher kein Anbieter so sehr überzeugen, dass ich hier auch nur eine eingeschränkte Empfehlung abgegeben könnte.
Bilder:
Einleitungs- und Beitragsbild von IO-Images via pixabay