Microsofts Personal Vault: Wie sicher ist der zusätzliche OneDrive-Speicher?
Der Personal Vault (deutsch: persönliche Tresor) in Microsoft OneDrive ist ein Bereich, der seit Ende 2019 standardmäßig in jedem OneDrive-Cloud-Speicher verfügbar ist. Dateien im Personal Vault werden nur durch zusätzliche Authentifizierung (2FA) zugänglich. Wir erklären, wie sicher dieser Speicherort ist, welche Datenschutzrisiken weiter bestehen, wie die Daten verschlüsselt sind und wovor der Personal Vault Ihre Daten nicht schützt.
OneDrive Personal Vault in Kürze
Anbieter: Microsoft
Verschlüsselung: k.A.
Lizenzen: Enthalten in...
- OneDrive-Basic (maximal 3 Dateien können im persönlichen Tresor abgelegt werden)
- OneDrive-Standalone (maximal 3 Dateien können im persönlichen Tresor abgelegt werden)
- Microsoft 365-Plänen (Vault-Speicherplatz entspricht dem verfügbaren OneDrive-Speicherplatz, keine Begrenzung bei der Anzahl der Dateien)
Kosten: Der Personal Vault ist im OneDrive/Microsoft 365-Plan enthalten und verursacht somit keine Zusatzkosten.
Unterstützte Plattformen: Windows, MacOS, Web, iOS, Android; optimiert für die Anwendung unter Windows 10
Funktionen: Zwei-Faktor-Authentifizierung, BitLocker-verschlüsselter lokaler Speicher für Synchronisation, automatischer Wiederverschluss (time-out).
Einschränkungen: Hardware-Tokens für 2FA werden nicht unterstützt. Die Verschlüsselung (für Data in Transit und Data at Rest) erfolgt durch Microsoft. Die Synchronisation zeigt auf eine mit BitLocker verschlüsselte Festplattenpartition (unter Windows). Die verwendeten Algorithmen sind nicht bekannt. Außerdem werden Daten und Schlüssel auf Microsoft-Servern gespeichert, also entweder in den USA, die ja bekanntlich als Drittland gelten, oder in einem Rechenzentrum irgendwo auf der Welt.
Wovor schützt Microsofts Personal Vault meine Dateien?
Mit dem Microsoft Personal Vault erhalten OneDrive-Nutzer einen weiteren Speicherort in OneDrive, den sie – dank zusätzlicher Datenschutzeinstellung – noch einmal zusätzlich schützen können, indem eine weitere Freigabe abgefragt wird.
Das klingt gut, doch es ist wichtig, sich bewusst zu machen, vor wem Daten im OneDrive Tresor geschützt sind und vor wem nicht – anders gefragt: Bei welchem Bedrohungsszenario sind die abgelegten Daten sicher?
Neugierige Familienmitglieder am gemeinsam genutzten PC ausschließen
Nutzen Sie ein Gerät oder vielleicht sogar den Cloud-Speicher OneDrive gemeinsam mit anderen, sind die Daten im OneDrive Personal Vault zusätzlich geschützt. Nur wer den zweiten Faktor besitzt, mit dem man den OneDrive Tresor freigeben kann, hat auch Zugriff auf die Daten.
Mehr Schutz vor Cyberkriminellen
Cyberkriminelle haben es ebenfalls schwerer, an diese Daten heranzukommen, denn gelingt der Zugriff auf OneDrive, muss zuerst noch der zweite Faktor, der den OneDrive Personal Vault schützt, ausgehebelt werden.
Bei vielen bekannten Fällen, beispielsweise dem iCloud-Hack, bei dem persönliche Bilder von Prominenten entwendet wurden, hätte solch ein Tresor eventuell den Zugriff durch Unbefugte verhindert.
Höherer Schutz im Falle eines Diebstahls
Wird ihr Gerät gestohlen, müssen die Diebe erst einmal Ihren Geräteschutz überwinden (bzw. Fingerabdruck, PIN oder Gesichtserkennung). Es ist jedoch möglich, dass Kriminelle Sie in der U-Bahn beim Eingeben des PINs beobachten (oder filmen) und Ihnen später das Gerät aus der Tasche ziehen. Der Zugang zu den Daten ist dann einfach. Ein Szenario, das durch die Maskenpflicht wahrscheinlicher geworden ist. In so einem Fall sind besonders sensible Cloud-Dateien im OneDrive Personal Vault besser aufgehoben.
Nachteil 1: Microsofts Personal Vault bietet keine Privatsphäre
Microsoft bewirbt den OneDrive Personal Vault damit, dass die Daten darin noch sicherer sind und neben der Zwei-Faktor-Authentifizierung zusätzlich verschlüsselt werden. Doch wie wir schon öfters dargelegt haben, gibt es verschiedene Arten von Verschlüsselung und bei den wenigsten ist der Zugriff von Dritten vollständig ausgeschlossen.
Ein Beispiel: Alle gängigen Cloud-Anbieter verschlüsseln Nutzerdaten bei der Übertragung und im Ruhezustand. Das Problem dabei:
- Die Verschlüsselung ist nicht durchgängig, denn es gibt Zeitpunkte, zu denen Die Daten unverschlüsselt sind.
- Bei dieser Art von Verschlüsselung schicken Sie die Daten unverschlüsselt an Microsoft und Microsoft verschlüsselt dann die Daten in Ihrem Auftrag. Anders gesagt: Wer verschlüsselt, hat die Verschlüsselungsschlüssel und kann somit, bei Bedarf, auch wieder entschlüsseln.
Die zusätzliche Verschlüsselung im OneDrive Personal Vault besteht aus der zusätzlichen Speicherung der Vault-Daten in einem BitLocker-verschlüsselten Bereich Ihrer lokalen Festplatte. In der OneDrive werden die Daten jedoch nicht zusätzlich verschlüsselt, sondern nur durch den zweiten Faktor zusätzlich geschützt.
Wer theoretisch trotzdem auf Ihre Daten im OneDrive Personal Vault zugreifen kann:
- Microsoft
- Microsofts Mitarbeiter und Mitarbeiterinnen
- Dritte, denen Microsoft Zugriff gewährt (nach dem amerikanischen CLOUD-Act sind Anbieter zum Beispiel dazu verpflichtet, Nutzerdaten auf Anfrage der amerikanischen Behörden herauszugeben)
- Cyberkriminelle, die sich Zugriff zu Ihrem OneDrive Tresor verschaffen
Ein weiteres Problem: Der OneDrive Personal Vault macht nur einen kleinen Anteil Ihrer in der Cloud gespeicherten Daten aus. Wir sind der Meinung, dass all Ihre Daten schützenswert sind. Besonders ihre privaten Fotos, die üblicherweise viel Speicherplatz einnehmen, sollten privat bleiben.
Nachteil 2: Codezentrische statt datenzentrische Sicherheit
Wenn es darum geht, sensible Daten zu schützen, gibt es zwei unterschiedliche Herangehensweisen, die bereits im Aufbau einer Software implementiert werden.
Ein häufig angewendetes (und fehleranfälliges) Verfahren ist die codezentrische Datensicherheit. Dabei sind die Daten prinzipiell für jeden lesbar. Durch Zugriffskontrollen im Programmcode (bspw. Zugriffsberechtigung) werden die Dateien geschützt. Unbefugte können gezielt nach Fehlern bei der Zugriffskontrolle suchen oder die Konfiguration der Freigabe ausnutzen, um Zugriff auf Daten zu erlangen.
Stellen Sie sich einen Türsteher vor einem Club vor, der mit Augenaufschlag, Bestechung oder einem gut platzierten Faustschlag zu überwinden ist.
Die andere Herangehensweise ist die datenzentrische Sicherheit. Die Daten selbst werden durch Verfahren wie Verschlüsselung direkt geschützt und Zugriffe sind ausschließlich mit Besitz des entsprechenden Schlüssels möglich. Unbefugte können keine Fehler im Programm ausnutzen, um unberechtigten Zugriff auf die somit geschützten Daten zu erlangen. Diese Tür ist nicht mit einem Türsteher geschützt, sondern mit einem Schloss – ohne passenden Schlüssel kein Einlass.
Fazit
Für bestimmte Datenschutzrisiken ist der OneDrive Personal Vault sicherlich eine Hilfe und eine Verbesserung des Schutzes Ihrer Daten. Doch wenn es Ihnen um den konsequenten Schutz Ihrer Privatsphäre geht und darum zu verhindern, dass es technisch möglich ist, dass Behörden und eines der größten Unternehmen der Welt auf Ihre Daten zugreifen können, sollten Sie nicht allein auf den persönlichen OneDrive Tresor setzen. Dann ist ein datenzentrischer Ansatz, wie Client-seitige Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard, für Sie das Richtige.
Mit Boxcryptor werden Daten automatisch direkt auf ihrem Gerät verschlüsselt – bevor sie in die Cloud geladen werden. Microsoft hat somit keinen Zugriff, kann Ihre Daten also auch nicht weitergeben. Wer an Ihre Cloud-Dateien gelangt, findet nur verschlüsselte Daten vor. Wir von Boxcryptor haben aufgrund unserer Zero-Knowledge-Implementierung ebenfalls keinen Zugriff. Und das Beste: Die Verschlüsselung findet im Hintergrund statt. Unsere Nutzerinnen und Nutzer können Dateien wie gewohnt speichern, bearbeiten und verschieben. Sicherheit kann auch einfach sein.