Bundesamt für Sicherheit in der Informationstechnik

Cloud: Risiken und Sicherheitstipps

Inhalt des Dossiers

  1. Zugang zu Cloud-Diensten
  2. Datensicherung, Datenlöschung und Datenverschlüsselung
  3. Datenverlust und Backup
  4. Standort des Cloud-Dienste-Anbieters

Blätterfunktion

Datensicherung, Datenlöschung und Datenverschlüsselung

Beim Cloud Computing vertrauen Sie mitunter sensible private Daten Dritten zur Aufbewahrung oder Weiterverarbeitung an. Dies bedeutet, dass Sie sich darüber Gedanken machen müssen, welche Auswirkungen es für Sie haben könnte, wenn Ihre Daten in fremde Hände gelangen.

In diesem Fall hat die Datensicherheit bei diesen Diensten oberste Priorität. Dies gilt für die Verschlüsselung der Daten auf dem Übertragungsweg zwischen Ihrem Rechner und dem Cloud-Dienst-Anbieter genauso wie für den Schutz der Daten im Onlinespeicher selbst. Die meisten Anbieter stellen eine gesicherte Übertragung per https zur Verfügung und geben an, die Daten auf den Servern zu verschlüsseln. Darüber hinaus darf der Schutz Ihrer Daten und Zugangsmöglichkeiten zu den Cloud-Diensten auf Ihren eigenen Systemen nicht in den Hintergrund geraten. Und was ist zu tun, wenn Sie Ihre Daten wieder löschen möchten? Wichtige Tipps und Hinweise finden Sie in den folgenden Kapiteln.

Zugang sichern

Der Zugang zum Client beziehungsweise zum Cloud-Dienst sollte nur über die Eingabe des Benutzernamens und eines Passworts möglich sein. Diese Informationen sollten nicht im Gerät, beispielsweise als gespeichertes Passwort im Browser, hinterlegt sein und automatisch beim Aufruf des Cloud-Dienstes genutzt werden.

Noch sicherer sind Dienste, die eine Zwei-Faktor-Authentisierung verlangen. Dabei muss der Anwender sich nicht nur mit seinem Passwort, sondern auch mit einem temporären Code authentifizieren, der beispielsweise an sein Mobiltelefon gesendet wird. Der Code ist nur für kurze Zeit gültig und muss für jede Anmeldung neu angefordert werden. Einem Angreifer wird der Zugriff auf den Cloud-Server so erheblich erschwert, weil er neben der Kenntnis des Passwortes auch Zugang zum Mobiltelefon haben muss.

Vor allem wenn Sie die Zwei-Fakor-Authentisierung nutzen, ist es wichtig, nicht nur den Zugang zum Cloud-Dienst abzusichern, sondern auch die verfügbaren Zugangssperren für Ihr mobiles Gerät und Ihren PC konsequent zu nutzen. Hierzu zählen zuallererst starke Passwörter.

Um den Zugang zu Ihrem Gerät und damit zu Ihrem Cloud-Dienst abzusichern, sollten Sie die Hinweise beachten, die wir Ihnen in dem Abschnitt Zugang zusammengestellt haben.

Datenübertragung

Im Idealfall werden die Daten nur in verschlüsselter Form in die Cloud übertragen, dort abgespeichert und aus der Cloud abgerufen. Ein wichtiger Sicherheitsaspekt beim Arbeiten in der Cloud ist der Schutz bei der Datenübertragung. Wenn Sie an Ihrem PC beispielsweise ein Textdokument erstellt haben und dieses in Ihren Online-Speicher hochladen, können Sie die Übetragung verschlüsselt oder unverschlüsselt durchführen.
Wird die Datei nicht verschlüsselt übertragen, ist sie theoretisch für Unbefugte einsehbar, die sich – etwa über einen Man-In-The-Middle-Angriff – in Ihre Datenübertragung einklinken.
Eine Verschlüsselung der Datenübertragung kann durch den Anbieter erfolgen, etwa indem die Daten über eine sichere Verbindung wie https übertragen werden.

Datenverschlüsselung

In der Cloud können Sie alle Daten speichern, die Sie möchten. Mitunter kann es sich dabei um sehr persönliche Daten handeln, etwa um Familienfotos, digitale Kontoauszüge oder Steuerunterlagen. Besonders Augenmerk sollten Sie daher auf die Sicherung Ihrer Daten auf den Servern des Cloud-Dienste-Anbieters legen. Ein Hackerangriff auf ein Rechenzentrum eines Cloud-Dienste-Anbieters ist lohnend, da dort Informationen vieler Anwender liegen. Und Angreifer haben Zeit, ihren Einbruch zu planen und eine Hintertür ins Rechenzentrum zu finden.

Die korrekte Umsetzung und tatsächliche Sicherheit dieser Maßnahmen können Sie in der Regel nicht überprüfen. Am sichersten ist es deshalb, wenn Sie die Ver- und Entschlüssellung der Daten übernehmen und den Schlüssel bei sich speichern. Wer seine Daten so schützt, muss allerdings Nachteile in puncto Bequemlichkeit in Kauf nehmen: Die verschlüsselten Daten sollen in der Cloud nicht entschlüsselt werden. Daher müssen sie heruntergeladen und lokal entschlüsselt werden, um weiter an ihnen arbeiten zu können. Zwar ist es möglich die verschlüsselten Daten auch zwischen mehreren Geräten zu synchronisieren, dann muss aber auf jedem Gerät der Schlüssel und eventuell auch die Verschlüsselungssoftware vorliegen. Ein gemeinsames, gleichzeitiges Arbeiten mehrerer Personen an einem Dokument ist dadurch nicht möglich.

Welche Verfahren Sie zur Verschlüsselung nutzen können und wie Sie diese anwenden, können Sie hier lesen.

Zertifikate

Wie können Anwender sicher gehen, dass Cloud-Computing-Dienste mit den überlassenen Daten unter IT-Sicherheitsaspekten korrekt umgehen? Es gilt: Vertrauen ist gut, Kontrolle ist besser. Die Kontrolle kann der Anwender nicht persönlich durch einen Besuch im Rechenzentrum übernehmen. Über verschiedene, durch unabhängige Institutionen vergebene Zertifikate kann der Anwender jedoch prüfen, ob ein Cloud-Dienste-Anbieter festgelegte Sicherheitsstandards erfüllt oder mit den jeweiligen gesetzlichen Regelungen des Staates übereinstimmt.

Die Entwicklung von Zertifikaten, welche die besonderen Sicherheitsanforderungen für Cloud-Dienste berücksichtigen, dauert derzeit an. Eine Pflicht zur Zertifizierung besteht für die Anbieter übrigens nicht, sie ist stets freiwillig. Die Unternehmen sollten nachweisen können, dass die Zertifikate durch regelmäßige Prüfungen erneuert werden. Hinterfragt werden sollte auch, ob nur einzelne Bestandteile des Cloud-Dienstes zertifiziert sind oder - wie im Idealfall - das gesamte Angebot.

Vor allem folgende Zertifikate und Standards sind derzeit beachtenswert und eine Orientierungshilfe:

  • Die EuroCloud-SaaS-Zertifizierung: Herausgeber ist EuroCloud, ein Zusammenschluss europäischer Cloud-Anbieter. In Deutschland vergibt der EuroCloud Deutschland_eco e.V., als Verband der deutschen Cloud Computing-Industrie, das Prüfsiegel. Der Maßstab der Zertifizierung in Deutschland sind die deutschen Gesetze zum Datenschutz und zur IT-Sicherheit sowie internationale Normen. Details zu den gestellten Anforderungen finden Sie auf der Website des Verbandes.
  • Das TÜV-Prüfzeichen: Die TÜV-Gesellschaften, etwa der TÜV Rheinland und der TÜV Saarland vergeben spezielle Cloud-Prüfzeichen, die Anbietern bestimmte Sicherheitsstandards bestätigen. Geprüft werden Cloud-spezifische Sicherheitsaspekte sowie die Konformität mit relevanten Normen und Gesetzen.

Daten löschen

Bevor Sie Ihre Daten bei einem Cloud-Dienste-Anbieter speichern, sollten Sie zudem prüfen, wie einfach oder umständlich es ist, wenn Sie Daten wieder aus der Cloud entfernen möchten. Denn das Löschen von Daten in der Cloud ist nicht so einfach, wie zu Hause auf dem eigenen Rechner. Cloud-Dienste-Anbieter speichern oft mehrere Kopien der Dateien in verschiedenen Rechenzentren. Daher empfiehlt sich ein Blick in die AGBs des Dienstleisters.