Cloud-Sicherheit: Open Source, Verschlüsselung, Heimserver und Dienstanbieter

Foto: © Vladislav Kochelaevs / Fotolia.com

Foto: © Vladislav Kochelaevs / Fotolia.com

Clouddienste basieren auf dem grundsätzlich erst einmal merkwürdigen Ansatz, dass Personen und Firmen bereit sind ihre Daten einem externen Dienstanbieter anzuvertrauen. Wenn einer dieser Dienstanbieter, dann das - eigentlich selbstverständliche - formuliert und zugibt, dass hierdurch thereotisch auch andere Personen Zugriff auf diese Daten haben ist das Geschrei groß.

Die Frage ist nur welche Optionen man hat, um seine Daten bestmöglich zu schützen.

Vorüberlegungen

Die erste Frage, die man sich stellen muss, lautet eigentlich "Brauche ich überhaupt einen Clouddienst?". Clouddienste sind angesagt, bei der Einrichtung eines neuen Smartphones werden einem meist zusätzliches Speichervolumen bei diesem oder jenem Clouddienst angeboten. Moderne Betriebssysteme wie macOS oder Windows 10 benötigen einen Apple- respektive Microsoftaccount und haben Cloudfunktionen vorinstalliert. Das verleitet dazu solche Dienste unüberlegt einzusetzen.

Jede Absicherungsmaßnahme kann man sich aber sparen, wenn man zu dem Ergebnis kommt, gar keinen Clouddienst zu benötigen. Das kann insbesondere dann der Fall sein, wenn man nur ein physisches Endgerät benötigt und faktisch nur von diesem einen Endgerät auf die Daten zugreift. Clouddienste hätten dann nur eine Bedeutung als ausfallsicheres Backupmedium, was man aber durch eine gute Backupsstrategie kompensieren kann.

Cloudanbieter

Heimserver

Sollte man jedoch zu dem Ergebnis kommen, dass ein Clouddienst unbedingt vonnöten ist, muss man seine Daten jedoch nicht unbedingt einem externen Dienstanbieter anvertrauen. Dank großartiger Projekte wie Nextcloud/ownCloud kann eigentlich jeder einen heimischen Cloudserver aufsetzen.

Allerdings bedarf es dazu ein bisschen Wissen über die Administration eines Linux-Servers, sowie die Absicherung desselben. Nur weil der Server in den eigenen vier Wänden steht, sind die Daten nicht unbedingt besser vor unbefugten Zugriffen geschützt, als bei einem externen Anbieter.

Bei einem eigenen Server ist man zudem selbst für die Backupstrategie verantwortlich. Als ausfallsicheres Backupmedium - womit manche Clouddienstleister werben - ist so eine Konstruktion sicherlich ungeeignet.

Externe Anbieter - Open Source vs. geschlossene Systeme

Sofern also aus Gründen der Ausfallsicherheit oder mangels eigener Kenntnisse in der Serveradministration die Entscheidung fällt einen externen Clouddienstleister zu nutzen, steht man vor der Wahl einen der großen Platzhirsche zu wählen oder einen kleinen Dienst, der beispielsweise auf Open-Source Lösungen setzt (Liste von Providern mit Nextcloud).

Open Source wird dabei von vielen immer noch mit "sicher" und "vertrauenswürdig" gleichgesetzt. Das ist allerdings nicht unbedingt der Fall. Wie die Auseinandersetzungen um Seafile in diesem Jahr zeigten, agieren kleine Firmen manchmal wenig transparent und die Sicherheit der eigenen Daten ist nicht unbedingt gewährleistet. Zumal man den Zusicherungen des Anbieters genau wie bei proprietären Systemen vertrauen muss. In die Serverkonfiguration kann man schließlich nicht hineinschauen.

Verschlüsselung

Aus diesem Grund sollte man immer auf clientseitige Verschlüsselung setzen - egal wie sehr man seinem Anbieter vertraut. Mit Cryptomator steht inzwischen eine freie, anbieterübergreifende Lösung zur Verfügung, die sicherer als das gebrochene EncFS ist und kein Abomodell voraussetzt wie z.B. Boxcryptor. Qualitativ hochwertige Verschlüsselung (also nicht EncFS) mit einem sehr guten Passwort ist der beste Schutz.

Zusammengefasst

Grundsätzlich ist es immer die beste Entscheidung keinen Cloudanbieter zu verwenden. Daten die einmal die eigenen vier Wände verlassen haben, lassen sich prinzipiell nur eingeschränkt kontrollieren. Entsprechendes Fachwissen vorausgesetzt kann es einen Kompromiss darstellen einen eigenen Server zu betreiben und auch von außerhalb des Heimnetzwerkes verfügbar zu machen.

Sofern beides keine Option und ein externer Anbieter notwendig ist, kann ein großer Anbieter mit proprietärer Software die bessere Wahl als eine kleine "Klitsche" mit vielen Versprechungen sein. Einfach weil Sicherheit auch ein Kostenfaktor ist und kleine Startups oft nicht solide finanziert sind - egal wie professionell die Internetauftritte sich gestalten. Hier ist auch immer zu hinterfragen, wie sich die Dienste finanzieren. Sehr preiswerte oder kostenlose Angebote legen immer die Vermutung nahe, dass mit den Daten Geld verdient werden muss.

Egal welchen Anbieter man wählt, Verschlüsselung ist Pflicht. Das einzige wirklich valide Argument gegen einen Anbieter ist daher, wenn sich Daten bei diesem nicht verschlüsseln lassen.

Kommentare

elinoy

"Clouddienste basieren auf dem grundsätzlich erst einmal merkwürdigen Ansatz, dass Personen und Firmen bereit sind ihre Daten einem externen Dienstanbieter anzuvertrauen. "

Richtig, aber nicht die ganze Wahrheit. Clouddienste basieren auf dem Ansatz, dass die meisten Personen nicht die Befähigung und Muße haben, sich einen privaten Server zu halten sowie die meisten Firmen nicht die nötige finanzielle Freiheit, sich ein Ops-Team zu halten.

Kommentar schreiben

Sicherheitscode

Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top