Ein Argument für die Nutzung der Cloud eines Dienstanbieters ist der dadurch mögliche Verzicht auf einen Teil des Betriebs einer eigenen IT-Dienstinfrastruktur, beispielsweise zur Ablage von Daten. Doch wie steht es dann um die Informationssicherheit?

Als Beispiel sei der kürzlich erschienene Reuters-Artikel https://reut.rs/37gt7GJ herangezogen. Dieser macht deutlich, dass wesentliche Teile der in der iCloud gespeicherten Daten für Apple zugänglich sind. Dies ist auch – wenn auch nicht so deutlich wie im Reuters-Artikel hervorgehoben – im Sicherheitsüberblick von Apple unter https://support.apple.com/de-de/HT202303 dokumentiert. Eine Ende-zu-Ende-Verschlüsselung der in der iCloud gespeicherten Daten wird es aber auch in Zukunft nicht geben. Kombiniert man diese Feststellung mit Erkenntnissen wie z.B. unter https://www.welt.de/wirtschaft/article162217929/So-spionieren-Geheimdienste-deutsche-Firmen-aus.html beschrieben, wird deutlich, dass die Verwendung der iCloud für sensible Daten und wirtschaftlich relevante Firmengeheimnisse schwerlich geeignet ist und deren Nutzung im Unternehmenskontext durch geeignete Maßnahmen eingeschränkt werden sollte.

Neben einer selbst betriebenen Cloud kann eine Alternative dann nur ein Dienst sein, der Ende-zu-Ende-Verschlüsselung der bei ihm gespeicherten Daten bietet. Zu letzteren gehören „Tresorit“, „pCloud“, „sync.com“ oder das von der Bundesdruckerei betriebene „bDrive“ auf Basis von Zertifikaten der D-Trust. Letzterer sorgt auch für die vom Mitarbeiter unabhängige Verfügbarkeit der Daten durch das Unternehmen und verteilt redundante Fragmente der Daten auf mehrere Speicher, um auch bei Ausfällen weiter arbeitsfähig zu sein. Darüber hinaus werden die zu speichernden Daten signiert um die Authentizität zu gewährleisten.

Allen diesen Produkten ist gleich, dass sie eine Software für das Endgerät ausliefern, installierbar oder im Browser ausgeführt, die die Verschlüsselung der Daten auf dem Endgerät des Anwenders, der die Daten in der Cloud ablegen möchte, vornimmt. Die Daten werden dann nur in verschlüsselter Form übertragen und beim Dienstanbieter abgelegt, ohne dass dieser die Möglichkeit hat, die Daten einzusehen.

Ob diese Cloud-Dienste „sicher“, „sicherer“ oder „sicher genug“ für die eigenen Daten sind, obliegt der individuellen Einschätzung. Denn auch bei diesen Diensten könnten Programmier-, Konfigurations- oder Systemfehler vorliegen, oder der Dienstanbieter könnte unbemerkt manipulierte Software ausliefern und Seitenkanäle eröffnen – das Risiko der Verletzung der Vertraulichkeit ist auf andere Anbieter verschoben und möglicherweise gegenüber der betrachteten Gefährdung verkleinert, aber dennoch nicht eliminiert!

Durch die Nutzung eines solchen „sicheren“ Dienstes könnten sogar neue Gefährdungen auftreten: nach aktuellem Stand der Technik mag der Dienst als sicher bewertet sein, aber wann ist diese Einschätzung nicht mehr zutreffend und kann der Dienstanbieter in Zukunft doch auf die ehemals „sicher“ gespeicherten Daten zugreifen?

Wenn allerdings bei Nutzung eines „sicheren“ Cloud-Dienstes die im Endgerät gespeicherten unverschlüsselten Daten dennoch als Backup beispielsweise in die iCloud gesendet werden, wird die eingangs genannte Motivation unterlaufen. Jede Maßnahme zur Informationssicherheit ist deshalb sorgfältig abzuwägen und mit Blick auf das komplexe Gesamtgerüst einzuführen.