Manfred Kloiber: Das also ist der Ansatz des Hasso-Plattner-Instituts in Potsdam – die Daten einfach auf mehrere Clouds zu verteilen, sodass sie nicht mehr einfach nur von einem Server abgeschnorchelt werden können. Jan Rähm, gibt es noch andere Konzepte, um die Cloud sicherer zu machen?
Jan Rähm: Ja, durchaus. Es gibt sogar ein Konzept, das der Potsdamer Lösung sehr ähnelt. Und zwar hat ein Student der TU Darmstadt eine Software mit zufällig gleichem Namen, also CloudRaid, entwickelt, geht dabei allerdings etwas anders vor. Schnjakins Software lief ja auf dem eigenen Rechner, das heißt alles passierte lokal und wurde dann erst in die Cloud übertragen. Die Darmstädter Entwicklung ist selbst im Web basiert. Aber sie verteilt ebenfalls die Daten auf mehrere Speicher und verschlüsselt vor der Übertragung.
Kloiber: Verschlüsselung – wenn wir darüber reden, sollte es eigentlich heute nicht Standard sein, dass die Daten immer verschlüsselt werden? Wie handhaben das die Anbieter von den Cloud-Speichern?
Rähm: Sie handhaben es verschieden, und – ja – es sollte eigentlich Standard sein. Aber viele Anbieter setzen Verschlüsselungsmechanismen ein, doch erst in der Cloud. Das heißt, das Schlüssel liegt selbst beim Anbieter. Und das gibt keine wirkliche Sicherheit, wie wir gesehen haben. Doch auch hier gibt es Ansätze, zum Beispiel das Produkt OmniCloud vom Fraunhofer-Institut für Sichere Informationstechnologie. Die haben ein System für Unternehmen entwickelt, das die Daten verschlüsselt, bevor sie in die Cloud übertragen werden. Der Schlüssel selbst bleibt beim Unternehmen. Den gleichen Ansatz verfolgt auch die Software Boxcryptor. Die gibt es für Privatanwender und kleinere Unternehmen. Schon seit 2011 wird die entwickelt und die verschlüsselt die Daten sehr transparent auf dem Rechner des Anwenders. Der merkt davon also kaum etwas. Der kann ganz normal mit der Cloud-Lösung agieren.
Kloiber: Und solche Lösungen – konnten die eigentlich von den Enthüllungen profitieren?
Rähm: Im Fall von Boxcryptor durchaus. Das Unternehmen sagt, alleine im August sei die Nutzerzahl um mehr als 40 Prozent angestiegen. Und ihre Unternehmensangebote seien um 60 Prozent mehr verkauft worden. Danach hätten sich die Zahlen zwar wieder normalisiert, aber man kann schon sagen, sie haben davon profitiert. Und auch der Rest der deutschen Cloud-Wirtschaft scheint Vorteile aus dieser Affäre zu ziehen. Denn mehrere Meldungen sprechen davon, dass viele Unternehmen ihre Daten aus den USA zurück nach Deutschland verlagern. Großen Aufwind haben auch sogenannte Private-Cloud-Lösungen, Cloud-Technik, die auf eigenen Servern und auf eigenen Rechnern läuft.
Kloiber: Aber bleiben wir nochmal bei der Public Cloud, also bei den Angeboten, die Fremde für einen Kunden hosten. Können denn Unternehmen und private Anwender davon ausgehen, dass ihre Daten bei einem deutschen oder europäischen Anbieter wirklich sicher sind?
Rähm: Da kann man sagen, grundsätzlich nein. Denn auch wenn europäische Niederlassungen und Ableger eines US-Unternehmens hier sind oder auch ein europäischer Dienst – es gibt keine Sicherheit, dass der Dienst, mit dem man zusammenarbeiten will, nicht in irgendeiner Art und Weise mit einem Geheimdienst kooperiert. Sei es freiwillig oder unfreiwillig. Eine weitere Gefahr – das haben wir auch gesehen – sind die Rechenzentren. Denn auch hier gibt es keine Gewähr, dass Geheimdienste oder deren Subunternehmer, ihre privaten Subunternehmer, keinen Zutritt zu den Rechenzentren haben. Und im Laufe der Enthüllungen sind ja auch weitreichende Zugriffsmöglichkeiten für europäische und deutsche Geheimdienste bekannt geworden. Daher lautet zumindest mein Fazit: Die Daten, die in die Cloud gehen sollen, sollten auf jeden Fall gut verschlüsselt übertragen und auch natürlich nur verschlüsselt gespeichert werden. Und man sollte außerdem nur die Daten in die Cloud legen, bei denen man davon ausgehen kann, dass eine potenzielle Ausspähung kein allzu großen Schaden anrichtet. Das gilt übrigens auch für die Private Cloud. Denn auch bei der kann niemand sicher sein, dass da nicht potenziell Geheimdienste oder Kriminelle ihre Finger im Spiel haben.
Zum Themenportal "Risiko Internet"
Jan Rähm: Ja, durchaus. Es gibt sogar ein Konzept, das der Potsdamer Lösung sehr ähnelt. Und zwar hat ein Student der TU Darmstadt eine Software mit zufällig gleichem Namen, also CloudRaid, entwickelt, geht dabei allerdings etwas anders vor. Schnjakins Software lief ja auf dem eigenen Rechner, das heißt alles passierte lokal und wurde dann erst in die Cloud übertragen. Die Darmstädter Entwicklung ist selbst im Web basiert. Aber sie verteilt ebenfalls die Daten auf mehrere Speicher und verschlüsselt vor der Übertragung.
Kloiber: Verschlüsselung – wenn wir darüber reden, sollte es eigentlich heute nicht Standard sein, dass die Daten immer verschlüsselt werden? Wie handhaben das die Anbieter von den Cloud-Speichern?
Rähm: Sie handhaben es verschieden, und – ja – es sollte eigentlich Standard sein. Aber viele Anbieter setzen Verschlüsselungsmechanismen ein, doch erst in der Cloud. Das heißt, das Schlüssel liegt selbst beim Anbieter. Und das gibt keine wirkliche Sicherheit, wie wir gesehen haben. Doch auch hier gibt es Ansätze, zum Beispiel das Produkt OmniCloud vom Fraunhofer-Institut für Sichere Informationstechnologie. Die haben ein System für Unternehmen entwickelt, das die Daten verschlüsselt, bevor sie in die Cloud übertragen werden. Der Schlüssel selbst bleibt beim Unternehmen. Den gleichen Ansatz verfolgt auch die Software Boxcryptor. Die gibt es für Privatanwender und kleinere Unternehmen. Schon seit 2011 wird die entwickelt und die verschlüsselt die Daten sehr transparent auf dem Rechner des Anwenders. Der merkt davon also kaum etwas. Der kann ganz normal mit der Cloud-Lösung agieren.
Kloiber: Und solche Lösungen – konnten die eigentlich von den Enthüllungen profitieren?
Rähm: Im Fall von Boxcryptor durchaus. Das Unternehmen sagt, alleine im August sei die Nutzerzahl um mehr als 40 Prozent angestiegen. Und ihre Unternehmensangebote seien um 60 Prozent mehr verkauft worden. Danach hätten sich die Zahlen zwar wieder normalisiert, aber man kann schon sagen, sie haben davon profitiert. Und auch der Rest der deutschen Cloud-Wirtschaft scheint Vorteile aus dieser Affäre zu ziehen. Denn mehrere Meldungen sprechen davon, dass viele Unternehmen ihre Daten aus den USA zurück nach Deutschland verlagern. Großen Aufwind haben auch sogenannte Private-Cloud-Lösungen, Cloud-Technik, die auf eigenen Servern und auf eigenen Rechnern läuft.
Kloiber: Aber bleiben wir nochmal bei der Public Cloud, also bei den Angeboten, die Fremde für einen Kunden hosten. Können denn Unternehmen und private Anwender davon ausgehen, dass ihre Daten bei einem deutschen oder europäischen Anbieter wirklich sicher sind?
Rähm: Da kann man sagen, grundsätzlich nein. Denn auch wenn europäische Niederlassungen und Ableger eines US-Unternehmens hier sind oder auch ein europäischer Dienst – es gibt keine Sicherheit, dass der Dienst, mit dem man zusammenarbeiten will, nicht in irgendeiner Art und Weise mit einem Geheimdienst kooperiert. Sei es freiwillig oder unfreiwillig. Eine weitere Gefahr – das haben wir auch gesehen – sind die Rechenzentren. Denn auch hier gibt es keine Gewähr, dass Geheimdienste oder deren Subunternehmer, ihre privaten Subunternehmer, keinen Zutritt zu den Rechenzentren haben. Und im Laufe der Enthüllungen sind ja auch weitreichende Zugriffsmöglichkeiten für europäische und deutsche Geheimdienste bekannt geworden. Daher lautet zumindest mein Fazit: Die Daten, die in die Cloud gehen sollen, sollten auf jeden Fall gut verschlüsselt übertragen und auch natürlich nur verschlüsselt gespeichert werden. Und man sollte außerdem nur die Daten in die Cloud legen, bei denen man davon ausgehen kann, dass eine potenzielle Ausspähung kein allzu großen Schaden anrichtet. Das gilt übrigens auch für die Private Cloud. Denn auch bei der kann niemand sicher sein, dass da nicht potenziell Geheimdienste oder Kriminelle ihre Finger im Spiel haben.
Zum Themenportal "Risiko Internet"
