Cloud-Computer sind potenziell angreifbar

“Cloud Computing” (engl. für “Rechnen in der Wolke”) beschreibt eine Situation im Internet: Daten werden nicht lokal auf dem Computer des Anwenders gespeichert, sondern auf dem Computer eines Internet-Dienstleisters. Bei Webseiten mit Daten für die Öffentlichkeit ist das selbstverständlich. Bei E-Mail-Providern ist das unvermeidbar, der Provider bewahrt z.B. E-Mails für die Empfänger auf, bis die sie abrufen oder löschen. Auch “soziale Netzwerke” und andere “Communities” speichern private Daten, um sie öffentlich oder privat zu kommunizieren.

Als schon länger beobachteter Trend wird die Cloud als Speicherplatz für alle Arten privater oder geschäftlicher Daten angeboten, als Ersatz oder Ergänzung für lokale Datenträger wie Festplatten, CDs, DVD, USB-Speicher etc. Cloud-Anbieter versprechen z.B. Zugriff auf die Daten von allen Geräten (stationäre oder mobile Computer, auch Smartphones und Tablets) und von allen Orten aus (zu Hause, Büro, auf Reisen).

Es lohnt sich, sich mit diesem Trend auseinanderzusetzen, durchaus auch kritisch. Lesen Sie einzelne Beispiele von vielen Cloud-Angriffen, die Abstände werden immer kürzer, die Auswirkungen immer größer.

PRISM heißt das Programm, das der amerikanische Geheimdienst NSA einsetzt, angeblich um Terroristen aufzuspüren. US-Sicherheitsbehörden haben damit direkten Zugang zu sämtlichen Daten, die AOL, Apple, Facebook, Google, Microsoft, Skype, Yahoo, YouTube und viele andere bekannte und weniger bekannte Anbieter über ihre Nutzer speichern. Das wurde im Juni 2013 von einem Insider “geleakt”. Davor gewarnt wird schon länger.

Bisher waren persönliche / vertrauliche / intime / geheimste Aufzeichnungen / Fotos / Videos, private und geschäftliche Adressen, Korrespondenz, E-Mails, Berechnungen, Präsentationen, Notizen, Berichte, Analysen, Pläne, Firmeninterna etc. lokal gespeichert, auf dem stationären PC oder im Netz, auf dem mobilen Notebook oder Smartphone. Auch die Software dafür war lokal verfügbar. Zukünftig speichern Sie Ihre Daten vielleicht auf einem Server im Internet (“in der Wolke”) und Sie können von überall darauf zugreifen – aus dem Büro, zuhause, unterwegs. Sie brauchen sich nur an einer Stelle um die Verwaltung zu kümmern, missverständliche Aktualitätsunterschiede gibt es nicht mehr. Die Software liegt ebenfalls auf dem Server im Internet, Sie brauchen keine Software mehr zu kaufen und haben immer die aktuellste Version. Sie brauchen keine eigene Rechenleistung, das macht der Server für Sie. Und ist ja so bequem und einfach.

Verlockend: Eine praktische und bequeme Angelegenheit. Oft ist sie auch kostengünstig oder anfangs sogar kostenlos, Sie brauchen weder den Speicherplatz noch die Software zu bezahlen. Sie brauchen nur noch den Zugang zum Internet. Und der wird auch immer schneller (LTE) und günstiger (Flatrate).

Aber welche Sicherheit haben Sie z.B.,

  • dass wirklich nur Sie Zugriff zu den Daten haben?
  • dass nicht die famose Vorratsdatenspeicherung schleichend darauf erweitert wird?
  • dass nicht (ausländische) Geheimdienste Zugriff auf Ihre Geschäftsgeheimnisse haben?
  • dass der Server im Internet nicht gerade “wegen Wartung offline” ist, wenn Sie ihn brauchen?
  • dass günstige “Lockvogel”-Einstiegskonditionen (AGB) auf Dauer überschaubar bleiben?
  • dass Sie nicht “angefüttert” werden und später “abhängig” sind?
  • dass Ihr Startup-Partner so unabhängig bleibt, wie es derzeit scheint (und nicht für eine andere Geschäftspolitik übernommen wird)?
  • dass Ihr Provider regelmäßige Datensicherung betreibt und Ihre Daten gegen höhere Gewalt und Unfälle schützt?
  • dass Sie Daten endgültig löschen können (nicht wieder herstellbar), wenn Sie das wollen (nicht wie bei Facebook)?
  • dass Sie die Daten löschen können, wenn Sie das beschließen (auch generierte Ubersichten und Cache)?
  • dass bei Wechsel der Software-Version das Know how der Mitarbeiter (z.B. wie beim Wechsel von Office 2003 auf 2007) erhalten bleibt?
  • dass Ihr Cloud-Partner oder sein “Zulieferer” Ihre Daten so vertraulich behandeln wie Sie selbst?
  • dass Ihr Anbieter sein Angebot dauerhaft wirtschaftlich aufrecht erhalten kann?
  • dass die derzeitigen Geschäftsbedingungen bestehen bleiben (und nicht wie bei Google “gebündelt” werden)?
  • dass Sie bei möglicher Änderung der Bedingungen noch handlungsfähig (organisatorisch unabhängig) bleiben?
  • dass kein Cracker Ihre Daten kopiert oder zerstört?
  • dass Ihre Daten in Europa gehostet werden (US-Behörden können sich heimlich Zugriff auf die Daten europäischer Nutzer bei Cloud-Anbietern wie Google, Facebook oder Dropbox verschaffen)?

Und: Nach dem amerikanischen Antiterrorgesetz (“Patriot Act”) dürfen US-Behörden sogar auf Daten europäischer Server zugreifen, die von einem US-Unternehmen betrieben werden. Außerdem können generell “rechtliche Anforderungen” die Weitergabe von Daten notwendig machen. Wofür?

Die Schwächen der Cloud liegen beim Ort der Speicherung und bei der Ubertragung dorthin. An beiden Stellen könnten Unberechtigte zugreifen. Die bekannten Verschlüsselungsmethoden sind wohl nicht sicher genug. International zuverlässige Regelungen fehlen.

Es ist zu beobachten, dass das Wachstum der Cloud-Anwendungen gebremst wurde. Unternehmen haben die Vorteile der Cloud erkannt, aber auch deren Sicherheitsrisiken. Sie suchen nach besseren Technologien für das eigentlich vorteilhafte Nutzungskonzept.

Mal ganz realistisch: Internet ohne die Cloud geht nicht. Z.B. Ihre E-Mail-Accounts waren schon immer in der Cloud, auf Servern im Internet. Auch wenn das meistens nicht so genannt wird. Aber warum sollten Sie mehr Daten in die Cloud legen, als unvermeidbar ist? Meine Kritik richtet sich nicht gegen “die Cloud” allgemein, sondern gegen deren überflüssige Nutzung. Nur so viel wie nötig, mehr auf keinen Fall!

Die EU-Agentur für Internetsicherheit Enisa empfiehlt 2011, die Public-Cloud-Nutzung auf “auf nicht heikle und unbedenkliche Anwendungen zu beschränken“.

Wenn überhaupt:

  • Lagern Sie nur verschlüsselte Daten aus.
  • Wählen Sie Cloud-Dienstleister mit Sitz in der EU.
  • Synchronisieren Sie lokale und Cloud-Daten.

Wenn überhaupt:

  • Lesen Sie die Allgemeinen Geschäftsbedingungen gründlich.
  • Sichern Sie Ihre Daten lokal, legen Sie nur Kopien in die Cloud.
  • Wählen Sie Europa als Sitz des Betreibers und Server-Standort.
  • Fordern Sie ein gebräuchliches Protokoll wie SSL/TLS.
  • Teilen Sie nicht, unterbinden Sie fremden Zugriff auf Ihre Daten.
  • Verschlüsseln Sie Ihre Daten selbst, mit eigenem Passwort.
  • Sichern Sie Ihr lokales System, ohne das Passwort zu speichern.
  • Kündigen und löschen Sie alles, wasnur Testzwecken diente.