PYNGU MAGAZIN

Est. 11111100101

PYNGU MAGAZIN

Est. 11111100101

Cloud Computing – Sind in der Cloud unsere Daten geklaut?

16. September 2021 | Privacy

Cloud Computing ist stark vereinfacht gesagt: Das geräteunabhängige Teilen von Computerressourcen über das Internet. Hierzu zählen insbesondere das Vorhalten von Cloud Speicher, das Filesharing und Tools zum kollaborativen Arbeiten.

Cloud – Oder auch: „Der Computer von anderen“

Eines sollte man sich vor Augen führen. Wer eine Cloud nicht selbst administriert und hostet, nutzt die Infrastruktur von anderen. Daten die nicht Ende-zu-Ende verschlüsselt sind, können von den Anbietern jederzeit gesichtet, gescannt und somit letztlich auch missbraucht werden. Dies sollte man immer im Hinterkopf behalten, wenn man bereit ist Daten auf fremden Servern zu speichern.

Cloud Computing

Wie sieht die derzeitige Situation aus?

Die bekanntesten und größten Cloud-Anbieter haben erstmal eines gemeinsam. Es sind amerikanische Unternehmen und für sie gelten in erster Linie auch amerikanische Gesetze.

Apple kam zuletzt in die Kritik, da das Unternehmen angekündigt hat, die Bilder, die in Apples Cloud-Service (iCloud) hochgeladen werden, nach Missbrauchsfotos von Kindern zu scannen. In Amerika werden Cloud-Anbieter dazu angehalten, Bilder die sich auf deren Cloud-Lösungen befinden, gegen eine Datenbank des NCEMC (National Center for Missing & Exploited Children) abzugleichen. Die anderen großen amerikanischen Anbieter, die auch in Deutschland sehr beliebt sind, tun dies bereits seit Jahren. Google, Amazon, Microsoft, Dropbox etc..

Das gleiche gilt übrigens zum Teil auch für E-Mail-Anbieter, Content Delivery Networks (CDN’s) oder andere Cloud-Lösungen wie bspw. die mittlerweile cloudbasierte Adobe Suite. Das NCEMC bezeichnet die Verwendung von „Ende-zu-Ende-Verschlüsselungen“ als ein Problem und kommentiert das auch so auf seiner Webseite.

Dem automatisierten scannen der Bilder und Texte auf vielen Cloud-Anwendungen sind sich viele Nutzer, wie es erscheint, nicht bewusst. Anders lässt sich der Sturm der Entrüstung auf die Ankündigung von Apple nicht erklären. Bei Apple kommt aber natürlich noch hinzu, dass sie sich in ihrem Selbstverständnis als das einzige „Big Tech“-Unternehmen darstellen, welches das Thema Privacy respektiert.

Generell verlagern viele Anbieter immer mehr Services in die Cloud. Insbesondere Microsoft mit seiner Office-/Kollaborations-Anwendung Microsoft 365, zeigt wohin die Reise für viele digitale Dienstleistungen vermutlich gehen wird. Für Unternehmen stellen solche Angebote eine große Herausforderung bezüglich der Wahrung von Vertrautheit und Sicherheit der dort verarbeiteten Daten dar. Weil dort ein Datenzugriff des US-Unternehmens und somit auch der US-Regierung nicht ausgeschlossen werden kann, hatte die Datenschutzkonferenz im letzten Jahr befunden, dass Microsoft hier den DSGVO-Ansprüchen an Auftragsverarbeiter nicht genüge.

Also, wir halten fest: Die Daten die auf den bekannten Cloud-Lösungen gespeichert sind, liegen dort standardmäßig unverschlüsselt und können in der Theorie jederzeit von den Anbietern eingesehen und somit auch missbraucht werden.

Es gibt auch Lösungen, die eine Ende-zu-Ende-Verschlüsselung versprechen

Ja, die gibt es. Sie wollen genau die Personen ansprechen, die diese Problematik sehen und nach einer Lösung für ein sicheres Speichern ihrer Daten suchen.

Das Problem hierbei ist aber, dass selbst wenn ein Anbieter eine vollständige Verschlüsselung ab Werk verspricht, diese nur schwer zu belegen ist. Wenn der Quelltext nicht Open Source ist, kann er nicht von den Nutzern überprüft werden. Oftmals lassen Anbieter auch ein Sicherheits-Audit von Drittfirmen anfertigen. Dies ist sicher richtig und wichtig. Das Vertrauen, dass das Audit vollständig und unabhängig durchgeführt wurde, müssen die Kunden aber dennoch haben.

Anbieter, die Ende-zu-Ende-Verschlüsselung versprechen können oftmals nicht mit der Usability und den Features der Marktführer mithalten. Zudem sind die Lösungen, die man als seriös bezeichnen kann, in der Regel teurer und auch das Thema Auftragsverarbeitung ist häufig ein Problem.

Cloud Infrastruktur – Ein europäisches Problem

Neben den Anbietern auf Seiten der Software, gibt es für europäische Cloud-Lösungen ein noch weitreichenderes Problem. Es fehlt im Vergleich zur Konkurrenz einfach an Rechenzentren.

Cloud Marktanteile weltweit

Weltweiter Marktanteil von Cloud-Infrastruktur-Dienstleistern (Q4 2019)

Insbesondere Microsoft und Amazon haben hier in den letzten Jahren eine Infrastruktur aufgebaut, die mittelfristig nur schwer einholbar zu sein scheint. Auch viele kleinere Anbieter von Cloud-Lösungen nutzen eine der beiden Infrastrukturen.

Um die europäische Zukunft unabhängiger gestalten zu können wurde im Jahr 2020 die internationale Non-Profit-Organisation GAIA-X gegründet. Ziel ist der Aufbau einer unabhängigen europäischen Dateninfrastruktur.

Gaia-X Chart

Mitglieder Mix des GAIA-X Projektes

Zu ihren Mitgliedern zählen nahmhafte aber auch mittelständische Unternehmen aus ganz Europa und teilweise auch darüber hinaus. Ob das Projekt erfolgreich sein wird und ob man es schafft sich dem Einfluss der Big Tech-Unternehmen entziehen zu können wird die Zukunft zeigen. Bestrebungen eine europäische Unabhängigkeit zu erreichen ist Gewiss ein wichtiger Schritt. Das Bundesministerium für Wirtschaft und Energie stellt eine Publikation als PDF bereit, die das Projekt GAIA-X vorstellt.

Wie geht man nun am besten vor, wenn man die Vorteile von Cloud-Umgebungen nutzen will?

Wie gesagt, es geht in erster Linie um Vertrauen. Wer seine Cloud-Lösung nicht selbst hostet und administriert, sollte sich vorab mit dem potentiellen Anbieter beschäftigen. Es ist generell eine gute Idee nicht auf Anbieter außerhalb der Europäischen Union oder Länder die über kein vergleichbares Datenschutzniveau verfügen zu setzen. Das hat schon allein mit der EU-Datenschutz Grundverordnung zu tun. Aber auch die nationalen Gesetze des Anbieters können problematisch sein.

Das Beste Beispiel sind die USA mit ihren Marktführern. Die amerikanische Regierung räumt sich mit dem sogenannten CLOUD Act weitreichende Rechte zur Strafverfolgung ein.

Der CLOUD Act habe klarstellen sollen, dass ein dem US-Recht unterfallendes Unternehmen einem Herausgabeverlangen bezüglich elektronischer Beweismittel in Strafverfahren nachkommen müsse, gleich wo sich die Daten befänden.

Wissenschaftliche Dienste des Deutschen Bundestags: US Datenrecht – Zugriff US-amerikanischer Behörden auf Daten

Dies ist auch dem Bundestag bekannt. Für amerikanische Anbieter bedeutet dieses Gesetz somit: Sie können/müssen sich aussuchen welches Recht sie verletzen wollen. Da es Unternehmen durch die DSGVO nicht ohne hohe Hürden (Artikel 44 ff. DSGVO) erlaubt ist Daten von EU-Bürgern auf Servern innerhalb der EU an ausländische Behörden oder sonstige Institute zu übermitteln, kollidiert das Gesetz mit dem CLOUD Act, der wie oben zitiert genau das fordert.

Eine quelloffene Möglichkeit seine eigene Cloud-/Kollaborationsplattform zu hosten und zu administrieren bietet beispielsweise Nextcloud.

Ansonsten gibt es natürlich auch noch die Möglichkeit, die Daten vor dem Upload zu verschlüsseln. Dies beeinträchtigt aber oftmals die Usability und Benutzerfreundlichkeit. Zudem erfordert eine zuverlässige Verschlüsselung informationstechnische (Grund-)Kenntnisse. Tools die für die Verschlüsselung von Dateien in Cloud-Umgebungen verwendet werden können sind beispielsweise:

Cryptomator oder Boxcryptor

Fazit

Sind also in der Cloud unsere Daten bereits geklaut? Nein. Wenn die Daten allerdings nicht verschlüsselt sind, haben Nutzer jedoch keine Kontrolle darüber, ob auf Daten innerhalb externen Infrastrukturen zugegriffen wird.

Somit sollte sich jeder, der cloud-basierte Dienste nutzt, immer die Frage stellen: „Vertraue ich diesem Anbieter und vertraue ich bei ausländischen Angeboten letztlich auch der Jurisdiktion, die der Dienstleister untersteht?“

Pyngu Digital

Aktuelle Artikel

Wie Musik-Streaming-Plattformen die Musikproduktion beeinflussen

Wie Musik-Streaming-Plattformen die Musikproduktion beeinflussen

Jede Generation hat ihren Sound und die technischen Einflüsse auf die Musikproduktion spielen hierbei stets eine entscheidende Rolle Das Musik-Streaming verändert in einem schleichenden Prozess die Musikproduktion auf eine Art und Weise, die viele vermutlich nicht...

Das Duopol der Smartphone Betriebssysteme und die Alternativen

Das Duopol der Smartphone Betriebssysteme und die Alternativen

Duopol - Eine Marktform, bei der einer Vielzahl an Nachfragern nur zwei Anbieter gegenüberstehen. Seit Jahren gibt es nur zwei Betriebssysteme für Smartphones, die auch nur ansatzweise einen relevanten Marktanteil verzeichnen können. Frühere Konkurrenten sind...

Kategorien

Privacy

Artikel über Themen aus den Bereichen Datenschutz, Datensicherheit, Netzpolitik und Datensouveränität.

Design

Artikel über Themen aus den Bereichen Design, Funtionalität und optische Ästhetik in technischem Kontext.

Tech

Artikel über Themen aus den Bereichen Hardware, Softwareintegration und neue Technologien.

Über das Pyngu Magazin

RSS-Feed

pyngu.com/feed

Zu Pyngu Digital

Diese Webseite benutzt keine Cookies.

Mit der weiteren Nutzung der Webseite stimmen sie zu, dass Sie damit einverstanden sind nicht getrackt zu werden. Sie stimmen außerdem zu, dass Ihre Daten nicht an Dritte weitergegeben werden. Wir verarbeiten keine personenbezogene Daten auf der Webseite zur Wahrung unseres berechtigten Interesses, den Datenschutz unserer Besucher zu respektieren.

Folgende Kategorien von Cookies werden von uns eingesetzt:

- Keine

- Nada

- Niente

Weitere Informationen finden Sie in unserer Pyngu-Cookie-Policy.