Sicher mit und in der Cloud arbeiten: Was Sie über gute Datenverschlüsselung wissen müssen

exali: Frau Pfundmeier, viele denken, wenn sie ihre Daten in eine Cloud hochladen, dann sind sie dort automatisch sicher. Warum ist das nicht so?

Andrea Pfundmeier: Das Speichern von Daten in der Cloud bietet neben einigen Vorteilen auch den grossen Nachteil, dass Sie Ihre Daten aus der Hand geben. Als Privatanwender wie auch als Unternehmen geben Sie so bei schützenswerten Daten die Kontrolle ab und verlassen sich erst mal darauf, dass der Cloud-Anbieter die Daten ausreichend vor dem Zugriff Unbefugter schützt.

Als Massnahme zum Schutz sensibler Daten wird häuft Verschlüsselung genannt – warum sollten Cloud-Daten verschlüsselt werden? Worauf muss man bei der Verschlüsselung von Daten achten?

Verschlüsselung bietet einen zusätzlichen Schutz-Faktor für Ihre Daten. Werden Daten verschlüsselt, sind sie für Dritte nicht mehr in Klartext einsehbar.

Doch nicht alle Anbieter von Cloud-Speichern verschlüsseln Ihre Daten, die Sie in der Cloud ablegen, automatisch. Ausserdem sollte Ihnen bewusst sein, dass Cloud-Anbieter, die Ihre vertraulichen Daten verschlüsseln, diese auch wieder entschlüsseln können, denn nicht nur Sie sind im Besitz eines Schlüssels zu den Daten, sondern auch der Anbieter des Speicherplatzes.

Mit Ende-zu-Ende-Verschlüsselung werden Ihre Dateien bereits vor dem Upload in die Cloud chiffriert und sind somit sowohl auf dem Weg in die Cloud als auch am Speicherplatz angekommen geschützt. So haben potenzielle Angreifer keine Chance, auf die sensiblen Inhalte der Dateien in Klartext zuzugreifen.

Was ist Ihrer Meinung nach das grösste Risiko, wenn man Clouds nutzt?

Bei einer Cloud müssen Sie sich wenig Sorgen um den Verlust von Daten durch einen Einbruch oder Brand machen, denn die Rechenzentren werden in dieser Hinsicht gut geschützt. Jedoch sollte den Anwenderinnen und Anwendern bewusst sein, dass Ihre ungesicherten Dateien Cyber-Risiken wie Hacking-Attacken ausgesetzt sind. Es gibt zwar nach wie vor Menschen, die behaupten, dass sie nichts zu verbergen haben, aber es wäre für Privatpersonen sicherlich dennoch unangenehm und mit unvorhersehbaren Folgen, wenn Fremde private Dokumente sehen. Unternehmen hingegen müssen seit Inkrafttreten der DSGVO im Mai 2018 strenge Bestimmungen für den Umgang mit personenbezogenen Daten einhalten. Hier drohen bei einem Verstoss hohe Strafen.

Jetzt wo viele im Homeoffice arbeiten, ist die Unternehmenscloud noch wichtiger für die Zusammenarbeit geworden. Wie arbeite ich sicher in Teams über die Cloud zusammen? Worauf muss ich besonders achten?

Die Cloud bietet sich super für eine effiziente Zusammenarbeit an, jedoch sollte der Datentransfer immer durch Verschlüsselungslösungen geschützt werden, damit sensible Unternehmensdaten nicht in die falschen Hände geraten. Wir empfehlen Administratoren und Administratorinnen eines Unternehmens, Richtlinien festzulegen, an die sich Arbeitnehmer und Arbeitnehmerinnen halten müssen. Diese sind zum Beispiel die Pflicht, Unternehmensdaten nur verschlüsselt aufzubewahren oder der Einsatz von Dateinamenverschlüsselung.

Zudem sollten regelmässige Back-ups durchgeführt werden, damit keine Daten verloren gehen. Wenn Probleme auftreten, ist es empfehlenswert, konkrete Ansprechpartner und Verantwortliche zu definieren, die stets erreichbar sind und sich um die Anliegen kümmern.

Sichtwort DSGVO: Sind Clouds DSGVO-konform? Worauf muss ich achten, damit ich nicht gegen Datenschutzregeln verstosse?

Die grössten Cloud-Anbieter bieten Verschlüsselung nach Stand der Technik an, welche offiziell eine technische und organisatorische Massnahme (TOM) der DSGVO ist. Zu beachten ist jedoch, dass diese Anbieter den für die Verschlüsselung verwendeten Schlüssel meist behalten. So können Ihre Dateien jederzeit entschlüsselt werden, wenn zum Beispiel berechtigtes Interesse bei Behörden besteht.

Im Herbst 2020 hat der Europäische Gerichtshof das „Privacy Shield“-Abkommen gekippt und somit die Rechtsgrundlage für die Übertragung und Verarbeitung von Daten von EU-Bürgern in die Vereinigten Staaten für ungültig erklärt. Grundlage für den Rechtsstreit ist der ungenügende Datenschutz in den USA, da die DSGVO ein bestimmtes Schutzniveau verlangt, welches dort aktuell nicht erfüllt wird. Das Urteil wird gerade für Cloud-Anbieter wie Microsoft, Dropbox oder Google von Übersee weitreichende Folgen habe, die sich in den nächsten Wochen oder Monaten in vollem Ausmass zeigen.

Zudem müssen bei einem Datenleck – handelt es sich um verschlüsselte Daten – die Kunden nicht informiert werden, da zu keiner Zeit ein Risiko des Datenverlustes bestand. Natürlich empfehlen wir dennoch, betroffene Personen zu informieren, aber das gegenseitige Vertrauen bleibt meist unangetastet.

Es gibt gefühlt 1 Million Cloud-Lösungen und –Anbieter. Wie sucht man die richtige aus?

Welcher Cloud-Anbieter der Richtige ist, hängt von den Erwartungen und Kriterien des jeweiligen Unternehmens ab. Die grösseren, meist internationalen Anbieter sind sich in Sachen Nutzerfreundlichkeit und Speicherkapazität recht ähnlich. Deutsche Cloud-Speicheranbieter schenken hingegen dem Thema Datenschutz mehr Beachtung als US-Amerikanische.

Gerade im Preis und angebotenen Zusatzleistungen unterscheiden sich die meisten Cloud-Anbieter. Wenn ein Unternehmen zum Beispiel Microsoft 365 nutzt, bietet es sich an, die inkludierte OneDrive Business Cloud zu verwenden.

Jedoch muss sich ein Unternehmen nicht nur auf eine Cloud beschränken, sondern kann problemlos für bestimmte Anwendungsfälle verschiedene Speicheranbieter nutzen.

Einen Vergleich der beliebtesten Cloud-Speicher für Unternehmen finden Sie übrigens auf unserem Security-Blog „Die beste Cloud für Unternehmen – Ein Vergleich“.

Wie funktioniert die Verschlüsselung bei Boxcryptor?

Boxcryptor verschlüsselt Dateien mit einer Kombination aus AES-256- und RSA-Verschlüsselung. Das Passwort für das Boxcryptor-Konto verlässt nie das Gerät des Nutzers und wird mithilfe eines Passwortschlüssels sowie einem Passwort-Hash erstellt und verwendet.

Als Zero-Knowledge-Anbieter haben wir niemals Zugriff auf Ihre Daten oder das Passwort. Dies bedeutet auch, dass es im Falle eines vergessenen Passworts nicht möglich ist, dies zurückzusetzen und die Daten somit verschlüsselt bleiben. Jedoch haben Unternehmen die Option, einen Master Key zu aktivieren. Dieser ermöglicht es den Administratoren und Administratorinnen des Unternehmens, Konten zurückzusetzen und auf verschlüsselte Dateien der Mitarbeiter und Mitarbeiterinnen zuzugreifen.

Im Unternehmen gibt es die Möglichkeit, Gruppen zu erstellen und diesen, wie auch einzelnen Personen, Zugriff zu bestimmten Dateien und Ordnern zu geben.

Um Dateien per Ende-zu-Ende-Verschlüsselung auch an Personen zu senden, die nicht Boxcryptor nutzen, haben wir Whisply entwickelt. Mit Whisply können verschlüsselte Dateien über einen Link versendet und optional noch mit einer PIN und Passwort geschützt werden. So bleiben sensible Unternehmensdaten auch während der Datenübertragung vor unberechtigtem Zugriff rundum geschützt.

Boxcryptor unterstützt mehr als 30 Cloud-Anbieter, darunter Dropbox, Google und Microsoft 365, und gibt so Privatanwendern wir auch Unternehmen die Wahl, die Cloud zu nutzen, die am besten zu den Anforderungen passt.