Cloud vs. NAS: Wo sind meine Daten sicherer?
Wir wagen heute mal ein gedankliches Experiment und vergleichen Daten mit Geld. Dabei soll die Bank der Cloud-Speicher sein. Der Sparstrumpf unterm Kopfkissen ist in unserem Beispiel der netzgebundene Speicher (NAS). Uns geht es darum, deutlich zu machen: Es ist entscheidend, wo (und wie) Daten gespeichert werden. Wir beantworten die Frage: Was ist besser, Cloud oder NAS? Und: Brauchen Sie überhaupt eine Cloud Zuhause?
Daten sind mittlerweile zu einem universellen Gut geworden – man kann sagen zu einer Art Währung. Ich tausche beispielsweise Daten über meine Einkaufsgewohnheiten gegen einen Rabatt im Supermarkt. Ich kann auch erst nach einer Registrierung kostenfrei einen Service nutzen, der mir personalisierte Werbung einblendet – was nur funktioniert, weil ich durch die über mich gesammelten Daten in Kategorien eingeordnet werden kann.
Geld kann ich durchaus in kleinen Mengen mit mir herumtragen. Sobald es mehr wird, gebe ich es den Expertinnen und Experten, die sich in unserem Auftrag darum kümmern. Die Bank verwaltet es, kümmert sich um meine Zahlungsströme und achtet darauf, dass meine Finanzen gemäß geltendem Recht geregelt sind.
Daten kann man genauso betrachten. Die sind nämlich ebenfalls bei denen besser aufgehoben, die sich professionell damit beschäftigen. Nicht mehr wir selbst, sondern der Cloud-Anbieter kümmert sich um die Aktualität der Soft- und Hardware sowie um die richtige und sichere Konfiguration.
Viel Know-How nötig
Natürlich fühlt es sich schön an, einen Haufen 1.000 € Scheine in die Ecke zu werfen, und sich darauf zu wälzen. Sicher ist das allerdings nicht. Jedem ist klar, dass dieser Haufen schnellstmöglich auf die Bank gebracht werden muss.
Mit den Daten, die Privatpersonen erstellen, verwalten und im Alltag nutzen, ist es genauso. Natürlich kann man seine Familienfotos auf dem privaten Rechner (NAS oder File Server) im Wohnzimmer speichern. Bei Diebstahl, Brand oder einem Festplattenfehler sind sie dann aber unwiederbringlich verloren.
Übrigens muss gar nicht erst eine äußere Ursache eintreten, die Daten zerstört. Auch schlichte Ahnungslosigkeit kann schwerwiegende Folgen haben. Wer sich einen eigenen Netzwerkspeicher (NAS), einrichtet, sollte genau wissen, was zu tun ist. Oder zumindest mal überprüfen, ob das Netzlaufwerk einen anonymen Zugang ermöglicht. Wir erinnern uns hier im Team noch immer mit Grausen an die 190.000 offenen Festplatten, die ein Student 2015 mit einem einfachen Crawler ausfindig gemacht hat.
Sicherheitsrisiko bei WesternDigital
Ein weiteres Beispiel sind die beliebten Netzwerkspeicher aus der WesternDigital My-Cloud-Serie. Bei diesen Modellen bestanden gleich mehrere Sicherheitslücken, die einen Angriff aus der Ferne ermöglicht haben. Die Empfehlung lautete, bei My Cloud sofort das Firmware-Update v2.30.172 einzuspielen oder den Netzwerkspeicher vom Internet zu trennen. Heise berichtete hier ausführlich über den Fall.
Achtung: Auch 2022 müssen sich alle, die auf WesternDigital Daten speichern, mit ihrem NAS beschäftigen, denn der Support für Geräte mit dem Betriebssystem My Cloud OS 3 läuft aus. Empfohlen wird ein Update auf My Cloud OS 5. Dazu muss geprüft werden, ob die Geräte das neue Betriebssystem unterstützen. Eine entsprechende Liste finden Sie hier. Das Branchenmagazin Heise warnt: „Wer ein nicht mehr unterstütztes Gerät besitzt, sollte es aus Sicherheitsgründen vom Internet trennen. Andernfalls könnten Angreifer Sicherheitslücken ausnutzen und im schlimmsten Fall die volle Kontrolle über Geräte erlangen.“ (Quelle)
Sicherheitsrisiko bei QNAP
Bestimmte NAS des Herstellers QNAP waren 2022 von einer Sicherheitslücke betroffen. Kriminelle könnten das System kompromittieren neben eigenen Befehlen auch Schadcodes ausführen. Laut Heise wurden die Lücken mit einem hohen Bedrohungsgrad bewertet. Hierfür wurden von QNAP bereits Sicherheitsupdates veröffentlicht, die die Lücken schließen und vor Angriffen schützen sollen.
Achtung: Im Dezember 2021 hat QNAP bekanntgegeben, dass es Angreifern gelungen ist, Geräte des Herstellers zu kapern um Bitcoin Mining zu betreiben. Ob das eigene Gerät betroffen ist, kann man mithilfe dieser Anleitung von QNAP überprüfen.
Gefühlter Kontrollverlust
Die Bank für Daten ist eine sicher verschlüsselte Cloud. Das ist quasi ein virtueller Speicherort, der physikalisch von hochspezialisierten Anbietern verwaltet wird. Hier kümmern sich Expertenteams rund um die Uhr um Datensicherung, Backups und Verfügbarkeit. Ein einzelnes selbsternanntes Computer-Genie mit einem NAS (oder einem File Server) kann das auch bei größtem Bemühen nicht leisten.
Ja, es fühlt sich gut an, auf einem Berg aus Geldscheinen zu sitzen. Aber wer die sichere Variante haben will, der sollte seine Daten von Profis verwalten lassen, anstatt sie lokal zu horten. Übrigens liegt man damit genau im Trend, wie diese Analyse von Statista zeigt:
Der Profi ist in diesem Fall der Anbieter des Rechenzentrums, in dem die Cloud-Daten gespeichert werden. Die bekanntesten Cloud-Speicher sind Dropbox, Google Drive und OneDrive. Die Anbieter geben ihren Nutzerinnen und Nutzern Informationen zu Daten-Backups, Verschlüsselung und Sicherheit. So kann man sich sicher sein, dass die Daten gegen alle möglichen Unglücksfälle und Angriffe abgesichert sind.
Daten nur verschlüsselt in die Cloud hochladen
Entscheidend ist, dass die Daten in der Cloud verschlüsselt abgelegt werden. Denn so werden sie für Außenstehende unbrauchbar. Die Zeichenketten haben keine Aussagekraft ohne den dazugehörigen Schlüssel. Ich habe das mal für Sie getestet:
Screenshot einer mit Boxcryptor verschlüsselten Datei, die ohne Schlüssel geöffnet wurde.
Nur mit dem passenden Schlüssel, also in unserem Fall mit Zugang zu dem passenden Boxcryptor-Konto und -Passwort, erhält man die unverschlüsselten Daten und kann die Datei einsehen.
Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard
Für die Sicherheit zählt übrigens nicht nur die Speicherung der ruhenden Daten (also das Bargeld im Safe oder zuhause in der Ecke). Auch der Weg vom heimischen Rechner zur Cloud sollte unbedingt geschützt werden und es muss sichergestellt werden, dass die Bank selbst keinen Zugriff auf die Daten hat.
Um mal bei dem Beispiel mit dem Geld und der Bank zu bleiben: Ende-zu-Ende-Verschlüsselung entspricht dem geschützten Geldtransport. Sie legen Ihr Bargeld in einen kleinen Safe und tragen diesen Safe dann zur Bank. Die Bank legt den kleinen Safe in ihren großen Safe und hat dadurch selbst keinen Zugriff auf die Scheine und Münzen.
Geht es um Daten, dann bezieht sich die Ende-zu-Ende-Verschlüsselung auf den Dateitransfer, also auf die Reise der Datenpakete durch das Glasfaserkabel. Sie werden nämlich zunächst zerlegt, dann verschlüsselt und dann einzeln verschickt. Erst am beabsichtigten Ziel werden die Daten wieder lesbar gemacht – vorausgesetzt die empfangsberechtigte Person hält den richtigen Schlüssel in Händen.
Warum die Aussage „Ich hab’ doch nichts zu verbergen“ Quatsch ist
Und nun fragen sich sicherlich einige Leserinnen und Leser, warum es denn so wichtig ist, die Familienfotos, die Arbeitszeugnisse und die Standortdaten zu verschlüsseln. Viele Menschen halten sich persönlich für „nicht so spannend“.
Das ist Quatsch, denn jede real existierende Person inklusive ihrer Daten ist wertvoll. Man muss kein Regimegegner, Pop-Sternchen oder Spitzenpolitikerin sein, um für Außenstehende interessant zu sein. Wertvoll sind private Daten zum Beispiel für Betrüger, die Identitätsdiebstahl betreiben, für Hackerinnen, die den Rechner infizieren um damit Schad-Netzwerke zu betreiben oder für Datenkraken, die mit Ihren Urlaubsfotos künstliche Intelligenz zur Bilderkennung trainieren.
Private Fotos sind nicht nur dann interessant, wenn darauf die Brüste von Jennifer Lawrence zu sehen sind, SPIEGEL Online berichtete. Kinderfotos vom Strand gehören ebenfalls nicht in die falschen Hände. Das gleiche gilt für den Roman, an dem Sie gerade schreiben, für Organisationen, die Korrespondenz mit Regimegegnern in Ländern mit fragwürdigen demokratischen Standards führen, für die Forschungsergebnisse Ihrer Hochschulgruppe, für die Gästeliste Ihrer Hochzeit oder für das Testament, an dem Sie immer mal wieder Änderungen vornehmen.
Die Beispiele für die missbräuchliche Nutzung personenbezogener Daten sind endlos. Jede einzelne Person sollte darauf achten, nicht selbst zum abschreckenden Beispiel für Datenmissbrauch zu werden. Verschlüsselung lohnt sich für jeden. Auch für langweilige Privatpersonen.
