Cookie Consent
Diese Seite verwendet Cookies, um die Nutzererfahrung zu verbessern. Indem Sie auf Zustimmen klicken, erlauben Sie den Einsatz von Cookies. Mit Klick auf Ablehnen, werden die Cookies deaktiviert. Mehr Details finden Sie in unserer Datenschutzerklärung.
Grafik eines Tresors und einer Cloud, als Symbolbild für den Personal Vault und Datensicherheit in der Cloud
Tuesday, February 25, 2020

Microsofts Personal Vault: Wie sicher ist der zusätzliche OneDrive-Speicher?

Microsofts OneDrive Personal Vault ist eine neue Funktion, die seit Ende 2019 standardmäßig in jedem OneDrive-Cloud-Speicher verfügbar ist. Dateien in diesem Bereich von OneDrive werden nur nach zusätzlicher Authentifizierung (2FA) freigegeben. Wir erklären, wie sicher dieser neue Speicherort ist, wie die Daten verschlüsselt sind und wovor der Personal Vault Ihre Daten nicht schützt.

OneDrive Personal Vault in Kürze

Die Firma dahinter: Microsoft

Verschlüsselung: k.A.

Lizenzen: Enthalten in OneDrive-Plänen (limitierter Vault-Speicherplatz) / Office365-Plänen (unbegrenzter Vault-Speicherplatz)

Kosten: im OneDrive/Office365-Plan enthalten

Unterstützte Plattformen: Windows, Mac, Web, Windows Mobile, iOS, Android; optimiert für Anwendung unter Windows 10

Funktionen: Zwei-Faktor-Authentifizierung, BitLocker-verschlüsselter lokaler Speicher für Synchronisation, automatischer Wiederverschluss (time-out).

Einschränkungen:

Hardware-Tokens für 2FA werden nicht unterstützt. Die Verschlüsselung (sowohl in Transit als auch at Rest) erfolgt durch Microsoft, die Synchronisation auf eine mit BitLocker verschlüsselte Festplattenpartition (unter Windows). Die verwendeten Algorithmen sind nicht bekannt. Außerdem werden Daten und Schlüssel auf Microsoft-Servern gespeichert, also entweder in den USA oder in einem Rechenzentrum irgendwo auf der Welt.

Wozu ist Microsofts Personal Vault gut?

Mit dem Personal Vault erhalten OneDrive-Nutzer einen neuen Speicherort in OneDrive, den sie noch einmal zusätzlich schützen können. Doch es ist wichtig, sich bewusst zu machen, vor wem Daten im Vault geschützt sind und vor wem nicht – anders gesagt, bei welchem Bedrohungsszenario die abgelegten Daten sicher sind.

Neugierige Familienmitglieder am gemeinsam genutzten PC ausschließen

Nutzen Sie ein Gerät oder vielleicht sogar den Cloud-Speicher OneDrive gemeinsam mit anderen, sind die Daten im Vault noch einmal extra geschützt. Nur wer den zweiten Faktor besitzt, mit dem man den Personal Vault öffnen kann, hat auch Zugriff auf die Daten.

Mehr Schutz vor Hackern

Hacker haben es ebenfalls schwerer, an diese Daten heranzukommen, denn gelingt der Zugriff auf OneDrive, muss zuerst noch der zweite Faktor, der den Vault schützt, ausgehebelt werden. Bei vielen bekannten Fällen, beispielsweise dem iCloud-Hack, bei dem persönliche Bilder von Prominenten entwendet wurden, hätte solch ein Vault eventuell den Zugriff durch Unbefugte verhindert.

Höherer Schutz im Falle eines Diebstahls

Wird ihr Gerät gestohlen, muss der Dieb oder die Diebin erst einmal Ihren Geräteschutz überwinden (bzw. Fingerabdruck, Pin oder Gesichtserkennung). Es ist jedoch möglich, dass Kriminelle Sie in der U-Bahn beim Eingeben des PINS beobachten (oder filmen) und Ihnen später das Gerät aus der Tasche ziehen. In so einem Fall wären besonders sensible Daten in der Cloud im Personal Vault besser aufgehoben, als einfach nur so in der Cloud abgelegt.

Nachteil 1: Privatsphäre bietet Microsofts Personal Vault nicht wirklich

Microsoft bewirbt den Personal Vault damit, dass die Daten darin noch sicherer sind und neben der Zwei-Faktor-Authentifizierung zusätzlich verschlüsselt werden. Doch wie wir schon öfters dargelegt haben, gibt es verschiedene Arten von Verschlüsselung und bei den wenigsten ist der Zugriff von Dritten auf Ihre Daten vollständig ausgeschlossen.

Ein Beispiel: Alle gängigen Cloud-Anbieter verschlüsseln Nutzerdaten in Transit und im Ruhezustand. Das Problem bei dieser Art von Verschlüsselung:

  • Sie ist nicht durchgängig (es gibt Zeitpunkte, zu denen Die Daten unverschlüsselt sind)
  • Bei dieser Art von Verschlüsselung gilt: Sie schicken die Daten unverschlüsselt an Microsoft und Microsoft verschlüsselt die Daten dann für Sie. Anders gesagt: Wer verschlüsselt, hat die Verschlüsselungsschlüssel und kann somit, bei Bedarf, auch wieder entschlüsseln.

Die zusätzliche Verschlüsselung im Personal Vault besteht aus der zusätzlichen Speicherung der Vault-Daten in einem Bitlocker-verschlüsselten Bereich Ihrer lokalen Festplatte. In der Cloud werden die Daten jedoch nicht zusätzlich verschlüsselt, sondern nur durch den zweiten Faktor zusätzlich geschützt. Wer theoretisch trotzdem auf Ihre Daten im Personal Vault zugreifen kann:

  • Microsoft
  • Microsofts Mitarbeiter und Mitarbeiterinnen
  • Dritte, denen Microsoft Zugriff gewährt (nach dem amerikanischen CLOUD-Act sind Anbieter zum Beispiel dazu verpflichtet, Nutzerdaten auf Anfrage der amerikanischen Behörden herauszugeben).
  • Hacker, die sich Zugriff zu Ihrem Vault verschaffen

Ein weiteres Problem: Der Personal Vault macht nur einen kleinen Anteil Ihrer in der Cloud gespeicherten Daten aus. Wir sind der Meinung, dass all Ihre Daten schützenswert sind. Besonders ihre privaten Fotos, die üblicherweise viel Speicher einnehmen, sollten privat bleiben.

Nachteil 2: Codezentrische anstatt datenzentrischer Sicherheit

Wenn es darum geht, sensible Daten zu schützen, gibt es zwei unterschiedliche Herangehensweisen, die bereits im Aufbau einer Software implementiert werden. Ein häufig angewendetes (und fehleranfälliges) Verfahren ist die codezentrische Datensicherheit. Dabei sind die Daten prinzipiell für jeden lesbar. Durch Zugriffskontrollen im Programmcode (bspw. Zugriffsberechtigung) werden die Daten geschützt. Unbefugte können gezielt nach Fehlern bei der Zugriffskontrolle suchen oder die Konfiguration ausnutzen, um Zugriff auf Daten zu erlangen.

Stellen Sie sich einen Türsteher vor einem Club vor, der mit Augenaufschlag, Bestechung oder einem gut platzierten Faustschlag zu überwinden ist.

Die andere Herangehensweise ist die datenzentrische Sicherheit. Die Daten selbst werden durch Verfahren wie Verschlüsselung direkt geschützt und Zugriffe sind ausschließlich mit Besitz des entsprechenden Schlüssels möglich. Unbefugte können keine Fehler im Programm ausnutzen um unberechtigten Zugriff auf die somit geschützten Daten zu erlangen. Diese Tür ist nicht mit einem Türsteher geschützt, sondern mit einem Schloss – ohne passenden Schlüssel kein Einlass.

Fazit

Für bestimmte Bedrohungsszenarien ist der Personal Vault sicherlich eine Hilfe und eine Verbesserung des Schutzes Ihrer Daten. Doch wenn es Ihnen um den konsequenten Schutz Ihrer Privatsphäre geht und darum zu verhindern, dass es technisch möglich ist, dass Behörden und eines der größten Unternehmen der Welt auf Ihre Daten zugreifen können, sollten Sie nicht allein auf das Personal Vault setzen. Dann ist ein datenzentrischer Ansatz, wie Client-seitige Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard, für Sie das Richtige.

Mit Boxcryptor werden Daten automatisch direkt auf ihrem Gerät verschlüsselt, bevor sie in die Cloud geladen werden. Microsoft hat keinen Zugriff, kann Ihre Daten also auch nicht weitergeben. Wenn Ihre Cloud gehackt wird, finden die Angreifer nur verschlüsselte Daten vor. Wir von Boxcryptor können aufgrund unserer Zero-Knowledge-Implementierung auch nicht auf Ihre Daten zugreifen. Und das Beste: Die Verschlüsselung findet im Hintergrund statt. Unsere Nutzer und Nutzerinnen können Dateien wie gewohnt speichern, bearbeiten und verschieben. Sicherheit kann auch einfach sein.

Holen Sie sich Boxcryptor zum Schutz all Ihrer Daten in OneDrive

Boxcryptor verschlüsselt Ihre Cloud-Daten, bevor sie in OneDrive synchronisiert werden. Auf diese Weise kann niemand außer Ihnen auf Ihre Daten zugreifen. Unsere kostenlose Version ermöglicht Ihnen die Verschlüsselung einer unbegrenzten Datenmenge bei einem Cloud-Anbieter auf zwei Geräten.

Beitrag teilen