Alles nur geCloud?

Tauchanalogie: Es gibt Menschen, die gehen an den Strand und geben die Flossen und Taucherbrille oder das Portmonee und den Pass einem bekannten Kriminellen. Und wundern sich dann, wenn alles weg ist. Andere Menschen nehmen nur das Minimum an den Strand mit. Wiederum andere gehen an den Strand, legen ihre Sachen dorthin wo sie liegen, legen ein Handtuch darüber und behalten sie auch vom Wasser aus im Blick. Wiederum andere meiden den Strand ganz. Zu guter Letzt gibt es Menschen die nehmen die Sachen mit, stecken Sie aber in ein Schliessfach, wenn sie sie nicht benötigen. Zu welcher Gruppe gehören Sie?

Es gibt also vier Cloud-Profile:

  1. Sie benutzen die Cloud wie sie kommt und machen sich keinerlei Gedanken darüber, dass etwas passieren könnte, was passieren könnte oder noch besser, denken erst gar nicht darüber nach.
  2. Andere wiederum stellen gar nichts in die Cloud, machen keine Backups und denken sich: Sowieso egal, ich habe keine wichtigen Daten auf dem Rechner und die Wahrscheinlichkeit, das etwas passiert ist so gering…

Diesen beiden Gruppen möchte ich sagen: Wenn bisher nichts passiert ist, spielen Sie Lotto. Es wird sich für Sie lohnen. Ich für meinen Teil kann sagen, ich hatte schon Festplatten, die nicht mehr funktioniert haben und die Daten waren futsch. Also doch besser in die Cloud.

Stelle ich Daten in die Cloud? NEIN. naja.

Einer der grössten Cloud-Anbieter der Welt und der grösste in Europa, OVH, stand letzte Woche in Flammen. Das kann passieren. Aber die sichern die Daten aller Kunden, ist ja ein Cloud-Anbieter, so dachten (zu)viele. Nein, so ist das nicht. Es ist bei vielen eine zubuchbare Option oder zumindest etwas, was man aktiv antriggern muss. Wie sich herausstellte, haben das viele Kunden nicht getan. Zu faul, zu inkompetent, zu geizig, zu naiv? Ich weiss es nicht.

Der britische Datensammler Netcraft berichtete, dass am Mittwochvormittag zeitweise 3,6 Millionen Webseiten von 464.000 Domain-Namen vom Netz gingen.

Offenbar sind nicht alle Daten so „gespiegelt“ worden, wie es im Fachjargon heißt, dass in anderen Datenzentren Kopien existieren.

FAZ zum OVH Brand

Für nicht-Techies: Firmen haben ihre Daten in die Cloud geladen, keine Backups dort und auch nicht lokal gehalten und sind ihrer Daten verlustig gegangen. Damit hätten wir den Fall für die Gruppe 1 oben. Wenn ich schon alles in der Cloud halte und keine eigenen Backups erstelle, dann doch bitte auf dem Cloud Server. Aber hier geht es ja ums untertauchen und Datensammler.

Zu ersten Fall kann ich nur sagen, wer das tut, mit oder ohne Backup, der braucht auch keinen Firefox mit uBlock Origin oder einen verschlüsselten DNS. (Alle) seine Daten ohne Vorkehrungen in der Cloud, vielleicht noch OneDrive oder Google Drive, zu halten ist datenschutztechnisch Harakiri (besser Sepuku). Für mich undenkbar, „aber ein TeraByte ist bei Microsoft Office doch dabei, das kann man doch nicht einfach verfallen lassen.“

DOCH!

  1. Manche Menschen verwenden eine sichere Cloud oder verschlüsseln die Daten, bevor sie in die Cloud gehen.
  2. Leute wie ich meiden die Cloud (mit einer kleinen Ausnahme).

Wie ich mehrmals erwähnt habe: Sind die Daten erstmal in anderen Händen, dann können sie mit mehr oder weniger Aufwand auch genutzt und missbraucht werden. Wer weiss, wohin sich die Rechenleistung, möglicherweise von Quantencomputern, in den nächsten Jahren entwickelt. Passwörter, die vor 10 Jahren super sicher waren, werden heute in Minuten geknackt. Daher ist es für den Tieftaucher keine Option, die Daten in der Cloud zu speichern. Ein weiterer Grund, den ich gerne wiederhole: Jede Seite, jeder Anbieter wird irgendwann gehackt und die Daten sind dann im Internet verfügbar. Für immer. Für jeden.

Ich bin mir aber bewusst, dass viele Menschen kein Interesse an einer Backupstrategie, Festplattenverwaltung und so weiter haben und dass sie immer von überall auf die Daten zugreifen wollen oder sogar müssen. Daher legen sie ihre Daten in die Cloud. Viele Cloudanbieter sind günstig oder gar kostenlos (bis zu ein paar GB oder TB) und es gibt Anbieter die sichere Clouds anbieten. Oftmals bezieht sich diese Aussage aber nur auf den Transportweg. Die Daten werden beim Hoch- und Runterladen verschlüsselt. Das sagt noch nicht, dass sie auch beim Anbieter verschlüsselt abgelegt werden und wenn, wer den privaten Schlüssel besitzt und welchem Standard dieser entspricht.

Beispiel Apple: Es ging durch alle Medien, wie wunderbar Apple doch ist, dass es dem FBI beim Knacken von iPhones nicht hilft. Toll. Leider berichteten die Medien nur sehr dezent darüber, dass Apple die iCloud Daten des Benutzers sehr wohl herausgegeben hatte.

Apple ist in der Lage, auf bestimmte verschlüsselte Daten zuzugreifen, etwa iCloud-Backups, betont jedoch seit Jahren, die Passwörter der Benutzer nicht zu kennen.

Mactechnews zu Apple und FBI

iCloud-Backups… Viel mehr wird das FBI auch nicht benötigt haben.

Für die eifrigen Leser dieses Blogs: Ja, ich verwende vor allem Apple Produkte. Nein, ich verwende iCloud nicht, ich blockiere alle Apple Zugriffe auf iCloud, auf jedem Gerät. Und sie funktionieren trotzdem noch.

Sollten Sie aber nicht umhin kommen, doch Ihre Daten in die Cloud zu legen, dann stellen Sie sicher, dass

  1. der Anbieter entsprechende Sicherheit anbietet. Das bedeutet Zero-Knowledge Policy und eine Ende-zu-Ende Verschlüsselung, bei der der Schlüssel nie Ihre Geräte verlässt. U.a. könnten Sie sich TresorIT anschauen. Sie sitzen in der Schweiz, das Land mit den wahrscheinlich besten Datenschutzstandard und Sie behaupten, was auch bestätigt wurde, Zero-Knowlege-Encryption zu verwenden. Leider ist es nicht Open Source. Aber ein unabhängiges Audit von Ernst&Young bestätigte die Sicherheitsarchitektur. Leider verwendet diese Firma auf Ihrer Webseite einige Google-Tracker, google-analytics und googletagmanager. Eine Firma, die Wert auf Ihre Reputation bezüglich Sicherheit legt, könnte darauf verzichten. Ein anderer Anbieter, den Sie ausprobieren können, ist SecureSafe. Auch Sie lagern die Dateien in der Schweiz und behaupten eine Zero-Knowledge-Architektur zu haben. Bisher habe ich nichts Schlechtes gehört. Open Source scheinen auch sie nicht zu sein. Zu einem unabhängigen Audit habe ich auch nichts gefunden. Daher: Handle with care. Ausserdem bieten sie dazu einen Passwortmanager an, der aber einfach ist. Sie können den Anbieter kostenlos testen, aber wie sehr seine Aussage zu Zero-Knowledge stimmt, werden Sie damit nicht herausfinden. Auch hier finde sich wieder der googletagmanager auf der Webseite. Als Drittes soll SpiderOak die Daten mit einer Zero-Knowledge Policy verwalten. Edward Snowden empfiehlt es, also muss er sicher sein. Die Webseite verwendet googlefonts und usefathom, ein Anbieter von Webseitenanalysen. Und: Alle Daten landen in den USA. Daher nichts für mich.
    Mittlerweile sollten Sie wissen, dass ich Protonmail und ProtonVPN vertraue. Auch diese Firma bietet mit ProtonDrive, momentan als Beta-Version im Web, eine sichere Cloud an. Ein Vorteil: Ich habe alles aus einer Hand, mit allen Risiken und Nebenwirkungen, denn eigentlich ist die Verteilung der Daten sicherer, als alles bei einem Anbieter zu nutzen. Klumpenrisiko. Aktuell planen sie Tests für Apps für Mobilgeräte. Ich bin dort Beta-Tester und werde berichten.
    Bis hierher sollten Sie gemerkt haben: Eine sichere Cloud ohne Tracking auf den Webseiten ist nicht so leicht zu bekommen. Ich hoffe noch auf ProtonDrive.
  2. Sie eine Software verwenden, die auf Ihrem Rechner verschlüsselt und erst dann die Daten hochlädt. Das versprechen die oben genannten Anbieter. Das ist Teil der Zero-Knowledge Policy, trotzdem erwähne ich es separat nochmals. Unabhängig von den Cloud Anbietern habe ich gute Erfahrungen mit der Software Boxcryptor gemacht. Sehr stabil, guter Support und einfach zu nutzen auf allen Plattformen. Sie ist leider nicht Open Source, aber es gibt ein unabhängiges Audit. Was mich etwas zögern lässt und dazu geführt hat, sie nicht mehr zu nutzen (neben der Tatsache, dass ich keine Cloud mehr benutze): Der Private Key liegt auf deren Server. Wenn auch mit einem lokalen (sprich auf dem eigenen Gerät eingegebenen) Passwort geschützt. Meiner Meinung nach sollte ein Private Key immer bei mir sein und da bleiben. Auch wenn sie sich dabei einiges gedacht haben: „The user’s private key is already encrypted with the user’s password on the client (user device). The encrypted private key is then encrypted again with the database encryption key.“
    Der private Schlüssel wird dem Passwort auf dem lokalen Gerät verschlüsselt und dann mit dem Datenbankverschlüsselungs Schlüssel nochmals verschlüsselt. Quintessenz: Es liegt an der Güte Ihres Passwortes, wie gut der private Schlüssel geschützt ist. Das reicht mir nicht (mehr). Also wieder eine Frage, wie tief Sie tauchen wollen.
    Die Software ist für alle Plattformen verfügbar, sehr einfach zu nutzen und auch mit allen gängigen Cloud-Anbietern einsetzbar. Wenn Sie sowieso schon einen Cloud-Speicher bei Strato, OneDrive, GoogleDrive, Box … besitzen, könnten Sie die Daten dort mit Boxcryptor absichern ohne gleich den Anbieter wechseln zu müssen.

Sie sollten sich ausserdem Gedanken machen, ob Sie die Daten nicht vorher in einen VeraCrypt Container kopieren und dann erst hochladen (zu VeraCrypt werde ich einen separaten Artikel schreiben). Damit sind Sie der letzte Datenherr, falls sich die Aussagen der Anbieter als falsch erwiesen haben oder andere Gründe eingetreten sind, die Ihre Daten gefährden könnten, wie ein Databreach. Ausserdem müssen Sie in diesem Fall nur eine Datei hoch und/oder herunterladen. Ich finde es immer gut, wenn ich die letzte Hoheit über meine Daten habe. 

Eine Cloud besteht aus mehr als nur einer Festplatte im Internet. Apple, Microsoft und andere bieten natürlich auch an, alle Kalender, Kontakte, Erinnerungen, Aktienkurse, Fitnessdaten und sonstiges in der Cloud zu speichern, so dass Sie von überall mit jedem Gerät darauf zugreifen können. Der Tieftaucher schaltet das ab. Ich habe das Thema früher schon adressiert. Und so sehr ich verstehe, wie komfortabel das ist, es gibt für vieles andere, sichere Lösungen, als die Cloud.

Eine private Anekdote am Rande: Ich war auf einer längeren Reise. Klar war, ich werde Fotos und Videos machen. Also nahm ich mein Notebook und eine externe Festplatte als Backup mit. In meinem technischen Umfeld zeigte sich nur Kopf-schütteln. Es war schon fast Blasphemie, das ein ITler keine Cloud verwendet. Fotos sind für mich etwas sehr Privates und sie gehen niemanden etwas an. Ausserdem war zu erwarten, dass es viele Daten sein würden und das würde Geld kosten.
Eine weise Entscheidung, wie sich herausstellte. Ich war an Orten, Weltstädte, Großstädte, in denen das WLAN in den Hotels die Geschwindigkeit wie in der Eifel in Deutschland hatte. An anderen Orten durfte ich nur 1GB pro Tag verbrauchen. Netflix oder Cloud Backup?

Und ja, ich verwendete die Cloud. Für wesentliche Dokumente, falls ich mal überfallen würde oder die Dokumente anderweitig abhanden kämen. Verschlüsselt. Auf einem sicheren Server. Für den Notfall. Ich benötigte sie nicht. Und das Cloud Konto habe ich auch nicht mehr. Aber dafür würde ich es wieder verwenden. Doch Reisen ist im Moment ja nicht so.