Ein Argument für die Nutzung der Cloud eines Dienstanbieters ist der dadurch mögliche Verzicht auf einen Teil des Betriebs einer eigenen IT-Dienstinfrastruktur, beispielsweise zur Ablage von Daten. Doch wie steht es dann um die Informationssicherheit?
Als Beispiel sei der kürzlich erschienene Reuters-Artikel https://reut.rs/37gt7GJ herangezogen. Dieser macht deutlich, dass wesentliche Teile der in der iCloud gespeicherten Daten für Apple zugänglich sind. Dies ist auch – wenn auch nicht so deutlich wie im Reuters-Artikel hervorgehoben – im Sicherheitsüberblick von Apple unter https://support.apple.com/de-de/HT202303 dokumentiert. Eine Ende-zu-Ende-Verschlüsselung der in der iCloud gespeicherten Daten wird es aber auch in Zukunft nicht geben. Kombiniert man diese Feststellung mit Erkenntnissen wie z.B. unter https://www.welt.de/wirtschaft/article162217929/So-spionieren-Geheimdienste-deutsche-Firmen-aus.html beschrieben, wird deutlich, dass die Verwendung der iCloud für sensible Daten und wirtschaftlich relevante Firmengeheimnisse schwerlich geeignet ist und deren Nutzung im Unternehmenskontext durch geeignete Maßnahmen eingeschränkt werden sollte.
Neben einer selbst betriebenen Cloud kann eine Alternative dann nur ein Dienst sein, der Ende-zu-Ende-Verschlüsselung der bei ihm gespeicherten Daten bietet. Zu letzteren gehören „Tresorit“, „pCloud“, „sync.com“ oder das von der Bundesdruckerei betriebene „bDrive“ auf Basis von Zertifikaten der D-Trust. Letzterer sorgt auch für die vom Mitarbeiter unabhängige Verfügbarkeit der Daten durch das Unternehmen und verteilt redundante Fragmente der Daten auf mehrere Speicher, um auch bei Ausfällen weiter arbeitsfähig zu sein. Darüber hinaus werden die zu speichernden Daten signiert um die Authentizität zu gewährleisten.
Allen diesen Produkten ist gleich, dass sie eine Software für das Endgerät ausliefern, installierbar oder im Browser ausgeführt, die die Verschlüsselung der Daten auf dem Endgerät des Anwenders, der die Daten in der Cloud ablegen möchte, vornimmt. Die Daten werden dann nur in verschlüsselter Form übertragen und beim Dienstanbieter abgelegt, ohne dass dieser die Möglichkeit hat, die Daten einzusehen.
Ob diese Cloud-Dienste „sicher“, „sicherer“ oder „sicher genug“ für die eigenen Daten sind, obliegt der individuellen Einschätzung. Denn auch bei diesen Diensten könnten Programmier-, Konfigurations- oder Systemfehler vorliegen, oder der Dienstanbieter könnte unbemerkt manipulierte Software ausliefern und Seitenkanäle eröffnen – das Risiko der Verletzung der Vertraulichkeit ist auf andere Anbieter verschoben und möglicherweise gegenüber der betrachteten Gefährdung verkleinert, aber dennoch nicht eliminiert!
Durch die Nutzung eines solchen „sicheren“ Dienstes könnten sogar neue Gefährdungen auftreten: nach aktuellem Stand der Technik mag der Dienst als sicher bewertet sein, aber wann ist diese Einschätzung nicht mehr zutreffend und kann der Dienstanbieter in Zukunft doch auf die ehemals „sicher“ gespeicherten Daten zugreifen?
Wenn allerdings bei Nutzung eines „sicheren“ Cloud-Dienstes die im Endgerät gespeicherten unverschlüsselten Daten dennoch als Backup beispielsweise in die iCloud gesendet werden, wird die eingangs genannte Motivation unterlaufen. Jede Maßnahme zur Informationssicherheit ist deshalb sorgfältig abzuwägen und mit Blick auf das komplexe Gesamtgerüst einzuführen.
Frank Zimmermann
30. Januar 2020 @ 16:42
Die ständige Vermischung von „die Cloud“ und „iCloud“ entwertet den Artikel leider. iCloud ist ein Service von Apple mit bestimmten Merkmalen und von dort Rückschlüsse auf die generelle Sicherheit „der Cloud“ (was ist das?) zu ziehen, ist unprofessionell.
Es kann bei solchen Überlegungen immer nur um ein angemessenes Sicherheitsniveau angesichts bestimmter Risiken gehen. Das ist aber nichts für kurze Artikel.
Dr. Torge Schmidt
31. Januar 2020 @ 9:29
Die iCloud wird ausdrücklich als einführendes Beispiel genannt. Dann werden andere Dienste genannt, die ein bestimmtes Risiko adressieren. Der abschließende Absatz referenziert auf das einführende Beispiel der iCloud als ein zusätzliches Gefährdungspotential. Der letzte Absatz soll deutlich machen, dass die Situation individuell und holistisch betrachtet werden muss und hier endet der Artikel bewusst, da dies weder konkret genug noch in dieser Länge darstellbar ist. Daher freue ich mich, dass wir einer Meinung sind.
Ravenstein
30. Januar 2020 @ 10:58
Und wie hoch sind die Kosten?
Anonymous
30. Januar 2020 @ 16:55
Diese Frage ist leider nicht allgemein beantwortbar, da sie von den Anforderungen, dem Dienstleister, den gewählten Diensten, der Dienstnutzung und weiteren technischen und organisatorischen Faktoren abhängen.