Sichere Cloud-Nutzung ist das A und O

Der Zugang zu Cloud-Diensten erfolgt über ein internetfähiges Gerät. Dies kann beispielsweise ein PC, ein Smartphone oder ein internetfähiger Fernseher sein. Ist ein solches Gerät zum Beispiel durch einen Trojaner infiziert, sind somit auch die Cloud-Dienste, auf die von diesem Gerät zugegriffen wird, angreifbar. Die Endgeräte sind daher schützenswert und sollten sicher eingerichtet sein.

Auf die Daten in der Cloud greift man entweder über die Webseite des Cloud-Anbieters zu oder nutzt eine entsprechende App, z.B. auf einem PC oder Smartphone. Der Zugang zu Cloud-Diensten muss besonders geschützt werden: Ein fehlender oder schwacher Passwortschutz öffnet Datendieben Tür und Tor. Ist die Zugangshürde genommen, steht der Zugriff auf alle Daten offen, sofern sie nicht zusätzlich verschlüsselt sind. Beachten Sie daher unsere Tipps für ein sicheres Passwort.

Mittlerweile bieten viele Cloud-Anbieter außerdem eine Zwei-Faktor-Authentisierung an, wie sie beispielsweise beim Online-Banking eingesetzt wird: Hier wird zusätzlich zu Benutzername und Passwort ein Merkmal benötigt, um sich zweifelsfrei zu authentisieren. Das kann ein einmalig gültiger Zugangscode (eine TAN) sein, ein USB-Stick mit einem geheimen Schlüssel, der Personalausweis oder ein Fingerabdruck.

Die Informationen zur Authentisierung (Benutzername/Passwort) sollten nicht im Gerät, beispielsweise als gespeichertes Passwort im Browser, hinterlegt sein und automatisch beim Aufruf des Cloud-Dienstes genutzt werden. Die Verwendung einer Zwei-Faktor-Authentisierung erhöht die Sicherheit beachtlich und sollte deshalb nach Möglichkeit genutzt werden.

Welche Risiken bei Cloud-Nutzung gibt es?

Ebenso stellt der Zugriff über unsichere Netze – etwa WLAN-Hotspots am Flughafen – ein Risiko dar. In diesen Netzen könnten Angreifer Zugangsdaten abfangen und missbrauchen. Dies ist besonders kritisch, wenn keine Zwei-Faktor-Authentisierung verwendet wird. Im Idealfall werden Daten deshalb nur in verschlüsselter Form in die Cloud übertragen. Wenn Sie an Ihrem PC beispielsweise ein Textdokument erstellt haben und dieses in Ihren Online-Speicher hochladen, kann die Übertragung verschlüsselt oder unverschlüsselt erfolgen. Wird die Datei unverschlüsselt übertragen, ist sie theoretisch für Unbefugte einsehbar, die sich in Ihre Datenübertragung einklinken. Eine Verschlüsselung der Datenübertragung kann erfolgen, indem die Daten über eine sichere Verbindung mit "https" übertragen werden. Falls der Anbieter die Möglichkeit einer solchen Transportverschlüsselung nicht anbietet, sollte die weitere Verwendung des Dienstes in Frage gestellt werden.

Ein besonderes Risiko stellt in vielen Fällen der Zugang via Smartphone dar. Werden die Zugangsdaten in der App des Dienstes gespeichert, genügt ein bloßes Aufrufen der App, um auf die Cloud zuzugreifen. Was auf der einen Seite praktisch ist, bedeutet andererseits, dass möglicherweise auch Schadprogramme auf dem Smartphone leichten Zugriff auf die Daten in der Cloud haben. Wenn das Smartphone durch Verlust oder Diebstahl in falsche Hände gerät, sind die Cloud-Daten nur so sicher, wie der Zugriff auf das Smartphone geschützt ist. Wer also beispielsweise sein Smartphone nur mit einer vierstelligen PIN schützt, legt die Hürde recht niedrig. Außerdem ist in der Regel nicht garantiert, dass die verwendeten Apps die Daten verschlüsselt übertragen. Anders als bei der Benutzung moderner Internet-Browser werden Benutzerinnen und Benutzer hier i.d.R. nicht auf die Risiken einer unverschlüsselten Verbindung hingewiesen. Die Benutzung eines Smartphones in unsicheren Hotspots kann also mit Sicherheitsrisiken verbunden sein.

Umgang mit Daten in der Cloud

Bevor Sie Ihre Daten bei einem Cloud-Anbieter speichern, sollten Sie zudem prüfen, wie einfach oder umständlich es ist, wenn Sie Daten wieder aus der Cloud entfernen möchten. Denn das Löschen von Daten in der Cloud ist nicht so einfach, wie zu Hause auf dem eigenen Rechner. Cloud-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren, um eine hohe Verfügbarkeit der Daten zu gewährleisten. Manche Cloud-Anbieter behalten die Daten auch nach einer Kündigung oder "Löschung" noch für einige Zeit für den Fall, dass die Kündigung oder Löschung zurückgenommen wird (was oft genug vorkommt). Daher empfiehlt sich ein Blick in die AGB des Cloud-Dienstleisters.

In der Cloud können Sie alle Daten speichern, die Sie möchten. Mitunter kann es sich dabei um sehr persönliche Daten handeln, etwa um Familienfotos, digitale Kontoauszüge oder Steuerunterlagen. Besonderes Augenmerk sollten Sie daher auf die Sicherung Ihrer Daten auf den Servern des Cloud-Anbieters legen. Ein Hackerangriff auf ein Rechenzentrum eines Cloud-Anbieters ist für Kriminelle lohnend, da dort Informationen vieler Anwenderinnen und Anwender liegen. Zudem haben Angreifer in der Regel Zeit, ihren Einbruch zu planen und eine Hintertür ins Rechenzentrum zu finden.

Die korrekte Umsetzung und tatsächliche Sicherheit der von den Cloud-Anbietern getroffenen Sicherheitsmaßnahmen können Sie in der Regel nicht überprüfen. Am sichersten ist es deshalb, wenn Sie die Verschlüsselung der Daten selbst übernehmen und den Schlüssel bei sich speichern. Wer seine Daten so schützt, muss allerdings Nachteile in puncto Bequemlichkeit in Kauf nehmen: Die verschlüsselten Daten sollten nicht in der Cloud entschlüsselt werden. Daher müssen sie heruntergeladen und lokal entschlüsselt werden, um weiter an ihnen arbeiten zu können. Zwar ist es möglich, die verschlüsselten Daten auch zwischen mehreren Geräten zu synchronisieren, dann muss aber auf jedem Gerät der Schlüssel und eventuell auch die Verschlüsselungssoftware vorliegen. Ein gemeinsames, gleichzeitiges Arbeiten mehrerer Personen an einem Dokument ist dadurch nicht ohne Weiteres möglich.

Welche Verfahren Sie zur Datenverschlüsselung nutzen können und wie Sie diese anwenden, erfahren Sie hier.

Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.

Konfiguration von Cloud-Diensten

Einer der Vorteile beim Nutzen von Cloud-Diensten ist, dass Daten in der Regel einfach mit anderen Personen geteilt werden können und gemeinsam an diesen gearbeitet werden kann. Hierzu gibt es unterschiedliche Verfahren. Nehmen wir im Folgenden an, dass wir einen Online-Speicher benutzen, der das Freigeben der eigenen Daten (z.B. Fotos) für Dritte ermöglicht.

Hierfür gibt es i.d.R. unterschiedliche Verfahren. Falls die Person, mit der ich die Daten teilen möchte,

• ebenfalls bei dem Cloud-Dienst registriert ist, kann eine Freigabe oft speziell über den jeweiligen Benutzernamen erfolgen.
• den Cloud-Dienst selbst nicht nutzt, kann oft eine Freigabe über einen Link eingerichtet werden.

Bei der Freigabe per Link ist zu beachten: Jede Person, die den Link kennt, hat Zugriff auf die freigegebenen Daten. Hierbei gibt es viele Möglichkeiten, wie eine unbefugte Person von diesem Link Kenntnis erlangen könnte, z.B. falls der Link in einer unverschlüsselten E-Mail versendet wird. Da beim Zugriff auf die freigegebenen Daten via Link in der Regel keine Identifizierung erfolgt, lässt sich auch im Nachhinein nur schwer nachvollziehen, wer letztendlich auf die Daten zugegriffen hat.

Folgende Dinge sollten bei Freigaben beachtet werden:

• Für schützenswerte Daten sollte eine Freigabe mittels Link nach Möglichkeit nicht benutzt werden. Die Sicherheit kann erhöht werden, falls der Anbieter es ermöglicht, die Daten zusätzlich durch ein Passwort zu schützen. In diesem Fall empfiehlt es sich, den Link und das Passwort über unterschiedliche Medien (z.B. E-Mail und Telefonanruf) an das Gegenüber zu kommunizieren.
• Freigaben sollten - nach Möglichkeit - im Vorhinein zeitlich begrenzt werden. Falls der Cloud-Anbieter dies nicht ermöglicht, sollte regelmäßig geprüft werden, welche Personen Zugriff auf welche der eigenen Daten haben und ob dieser Zugriff weiterhin notwendig ist.
• Freigaben sollten immer spezifisch und restriktiv angewendet werden, d.h. falls eine Datei geteilt wird, sollte wirklich nur diese Datei freigegeben werden und nicht der Ordner, in dem die Datei liegt.

Wenn ein neuer Cloud-Dienst genutzt wird, empfiehlt es sich, zu Beginn die Standard-Einstellungen zu prüfen. Eine gute Strategie ist, zu Beginn möglichst restriktive Einstellungen zu wählen, d.h. zum Beispiel die Übermittlung von Daten an Dritte abzuschalten und nicht benötigte Funktionalitäten zu deaktivieren. Sollte eine Funktionalität später benötigt werden, kann diese dann wieder aktiviert werden.

Schutz vor Fremdzugriffen und Auswahl des Cloud-Anbieters

Wenn wir einen Cloud-Dienst nutzen, lagern wir private und schützenswerte Daten an den Cloud-Anbieter aus. Wir geben dabei Kontrolle und Verantwortung an den Cloud-Anbieter ab und müssen uns darauf verlassen, dass dieser die Daten schützt. Im Folgenden beschreiben wir, welche Ansatzpunkte Nutzerinnen und Nutzer haben, um die Auswahl des Anbieters auf Basis rationaler Fakten zu treffen und ihre Daten vor Fremdzugriffen zu schützen.

Sicherheitskennung (Zertifikate und Testate)

Wie können Anwenderinnen und Anwender sicher gehen, dass Cloud-Dienste mit den überlassenen Daten unter IT-Sicherheitsaspekten korrekt umgehen? Es gilt: Vertrauen ist gut, Kontrolle ist besser. Die Kontrolle können Privatanwenderinnen und -anwender jedoch nicht persönlich durch einen Besuch im Rechenzentrum übernehmen. Über verschiedene, durch unabhängige Institutionen vergebene Sicherheitskennzeichen (Zertifikate oder Testate) können Anwenderinnen und Anwender jedoch prüfen, ob ein Cloud-Anbieter festgelegte Sicherheitsstandards erfüllt oder mit den jeweiligen gesetzlichen Regelungen des Staates übereinstimmt.

Eine Pflicht zu einer solchen Zertifizierung besteht für die Cloud-Anbieter nicht, sie ist stets freiwillig. Dennoch weisen viele Anbieter eine Reihe von Zertifikaten und anderen Sicherheitskennzeichen vor. Der Cloud-Anbieter sollte nachweisen können, dass die Zertifikate durch regelmäßige Prüfungen erneuert werden. Hinterfragt werden sollte auch, ob nur einzelne Bestandteile des Cloud-Dienstes zertifiziert sind oder – wie im Idealfall – das gesamte Angebot.

Das BSI hat mit seinem Prüfkatalog C5 einen eigenen Standard für Cloud-Sicherheit entwickelt, der die Prüfung von Cloud-Anbietern durch Wirtschaftsprüfer vorsieht. Hierbei vergibt der Wirtschaftsprüfer nach einer erfolgreichen Prüfung ein Testat an den Cloud-Provider und erstellt einen detaillierten Prüfbericht. Dieser Prüfbericht kann von Kunden i.d.R. angefordert und ausgewertet werden. Dieses Verfahren richtet sich jedoch primär an professionelle Anwenderinnen und Anwender, da die Auswertung eines solchen Berichtes erhebliche Fachkenntnisse voraussetzt.

Für Privatanwenderinnen und -anwender sind folgende Zertifikate und Standards derzeit beachtenswert und eine Orientierungshilfe:

• Auf der Webseite des Kompetenznetzwerks "Trusted Cloud" findet man viele Cloud-Anbieter mit ihren Diensten, die sich dort haben listen lassen. Neben informativen Angaben zu den Angeboten, die von Trusted Cloud überprüft wurden, finden sich auch verlässliche Angaben zu den Sicherheitsnachweisen der Cloud-Dienste.
• Die EuroCloud-SaaS-Zertifizierung: Herausgeber ist EuroCloud, ein Zusammenschluss europäischer Cloud-Anbieter. In Deutschland vergibt der EuroCloud Deutschland_eco e.V., als Verband der deutschen Cloud Computing-Industrie, das Prüfsiegel. Der Maßstab der Zertifizierung in Deutschland sind die deutschen Gesetze zum Datenschutz und zur IT-Sicherheit sowie internationale Normen.
• Das TÜV-Prüfzeichen: Die TÜV-Gesellschaften, etwa der TÜV Rheinland und der TÜV Saarland, vergeben spezielle Cloud-Prüfzeichen, die bestimmte Sicherheitsstandards von Anbietern bestätigen. Geprüft werden Cloud-spezifische Sicherheitsaspekte sowie die Konformität mit relevanten Normen und Gesetzen.
• Oft findet man ein Zertifikat nach der internationalen Norm ISO/IEC 27001. Dabei wird nachgewiesen, dass der Cloud-Anbieter strukturierte Prozesse hat, um die Informationssicherheit zu gewährleisten. Damit ist jedoch keine Aussage über die eingesetzten Sicherheitsmaßnahmen verbunden.

Standort des Cloud-Anbieters

Informationen über den Standort des Cloud-Anbieters und seiner Server geben Anwenderinnen und Anwendern Auskunft darüber, welchem Datenschutzrecht ihre Daten nach der Speicherung unterliegen. Bei vielen Cloud-Angeboten ist nicht auf den ersten Blick ersichtlich, in welchem Land der Anbieter seinen Sitz hat oder wo sich seine Rechenzentren befinden.

So kann ein in Deutschland ansässiges Unternehmen durchaus Server im Ausland betreiben. Die Daten können dann der Rechtsprechung im Ausland unterliegen. Jeder Staat hat die Zugriffsrechte auf Dateien durch Unternehmen und Behörden unterschiedlich geregelt, basierend auf den dort geltenden Datenschutzgesetzen und anderen Vorschriften. Während in manchen Ländern Behörden die Daten auswerten oder Rechner beschlagnahmen dürfen, ist dies in anderen Ländern gesetzlich untersagt. Für Anwenderinnen und Anwender ist in der Regel nicht nachvollziehbar, an welchem Ort ihre Daten gespeichert sind, wenn der Cloud-Anbieter dies nicht explizit angibt.

Vorsicht: Jeder Anbieter kann – innerhalb des gesetzlichen Rahmens, der für ihn Gültigkeit hat – seine eigenen Nutzungsbedingungen und Datenschutzbestimmungen aufstellen. Diese können so formuliert sein, dass sie dem Anbieter womöglich Zugriffs- und Nutzungsrechte für die gespeicherten Dateien einräumen, obwohl Sie das nicht möchten.

Für die auf Trusted Cloud gelisteten Cloud-Anbieter bzw. -Dienste wird der Datenstandort und das anwendbare Recht angegeben und durch das Kompetenznetzwerk "Trusted Cloud" überprüft.

Besonders kritisch wird die Nutzung von Cloud Computing, wenn Sie personenbezogene Daten Dritter bei einem Anbieter speichern. Hier kann schnell ein Verstoß gegen das Bundesdatenschutzgesetz vorliegen. Dazu reicht es bereits, Termine mit Adressen und Daten von Kundinnen und Kunden in einem Cloud-Kalender abzulegen. Wenn Sie geschäftlich die Daten Dritter in der Cloud eines ausländischen Anbieters speichern möchten, lassen Sie sich vorher juristisch beraten.