DSGVO-konform ist nicht genug – Datenschutz und Datensicherheit der 3 größten Clouds
Die DSGVO ist seit 2018 in aller Munde. Selbst Menschen, die sonst überhaupt nichts mit Datenschutz oder IT-Sicherheit am Hut haben, mussten sich seitdem mit dem Thema auseinandersetzen. Von allen Unternehmen, deren Dienste ich im Büro und privat nutze, landeten nach und nach E-Mails im Postfach, die mir versicherten, dass sie ihre Systeme aktualisieren und die Datenschutzbestimmungen gemäß der neuen Verordnung aktualisieren.
Doch ich stelle mir die Frage, was ist nun tatsächlich passiert? Haben tatsächlich auch die großen Player plötzlich alles so abgesichert, dass man bedenkenlos deren Dienste nutzen kann? Die aktualisierten Datenschutzerklärungen könnten den Eindruck hinterlassen. Ich habe das Gefühl, dass sich viele Verbraucher nun sicher fühlen.
Auch Google, Microsoft, Dropbox und Co. sind so abgesichert, dass sie ihre Dienste weiterhin in Europa anbieten können. Doch die Frage bleibt: Sind die Daten komplett sicher oder haben die Anbieter nur die rechtliche Verantwortung umverteilt?
Besonders relevant ist das natürlich für sensible Firmendaten. Wir haben uns die Datenschutzerklärungen und Sicherheitsvorkehrungen der drei großen Cloud-Anbieter Google, Microsoft und Dropbox angesehen. Erfahren Sie, wovor Dropbox Business, Google Drive im Google Workplace (ehemals GSuite) und OneDrive for Business Ihre Unternehmensdaten schützen und wovor nicht.
Bezahlen Sie in Euro, Dollar oder Daten?
Um sich darüber im Klaren zu werden, ob man den großen Cloud-Anbietern sensible Daten anvertrauen will, lohnt es sich, deren unterschiedliche Geschäftsmodelle und den Zweck hinter verschiedenen Angeboten zu kennen.
Wenn Sie Ihre Bilder als privater Anwender beispielsweise bei Google Drive speichern, werden Ihre Daten eventuell als Datenfutter verwendet, um die Bilderkennungssoftware von Google zu verbessern und Machine Learning voranzubringen:
Wir nutzen die im Rahmen unserer bestehenden Dienste erhobenen Daten zur Entwicklung neuer Dienste. Beispielsweise halfen uns Erkenntnisse darüber, wie Personen Fotos in Picasa, der ersten Foto-App von Google, organisiert haben, bei der Entwicklung von Google Fotos. (Google/Privacy)
Außerdem werden die erhobenen Daten oft zu Werbezwecken verwendet. Mit den gesammelten Informationen kann ein besonders feingranulares Werbeprofil erstellt werden, um jedem die passenden Produkte zur passenden Zeit am passenden Ort anbieten zu können.
Besonders bei den kostenlosen Cloud-Speichern muss man sich darüber im Klaren sein, dass man als Anwender den Speicher mit seinen Daten bezahlt und dass diese auch verwendet werden. Dieses Recht räumen sich die Clod-Anbieter ohne große Umschweife in ihren Datenschutzbestimmungen ein. Beispielsweise bei Google Drive:
Wir erheben Daten, um allen unseren Nutzern bessere Dienste zur Verfügung zu stellen – von der Feststellung grundlegender Informationen wie zum Beispiel Ihrer Sprache bis hin zu komplexeren Fragen wie zum Beispiel Werbung, die Sie besonders nützlich finden, den Personen, mit denen Sie online am häufigsten zu tun haben, oder den YouTube-Videos, die Sie interessant finden.
Bei OneDrive für die private Nutzung heißt es im Privacy Statement:
Microsoft verwendet die Daten, die wir erfassen, um Ihnen umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. (…) Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für unsere Belegschaft sowie zur Entwicklung.
Speichern Sie hingegen Ihre Daten bei Dropbox Business oder bei einer beliebigen anderen Unternehmens-Cloud, dann werden die hochgeladenen Daten (je nach Setup der Unternehmens-Cloud) anders behandelt.
Datenschutzmaßnahmen der Cloud-Anbieter im Vergleich
Die großen Cloud-Anbieter haben bieten ausgereifte Lösungen und treffen ähnliche Sicherheitsvorkehrungen. Sie haben Maßnahmen implementiert, um Business Continuity zu gewährleisten: Die Server sind so gut abgesichert, dass es sehr unwahrscheinlich ist, dass Daten aufgrund von defekter Hardware oder durch Umwelteinflüsse verloren gehen. Auch wenn es um Verschlüsselung und Zugriffsbegrenzung geht, haben die Cloud-Anbieter ein sehr ähnliches Setup, das sie auch bei Neuerungen schnell dem der Konkurrenz anpassen. Wenn Google beispielsweise laut eigener Aussage als erstes „Perfect Forward Secrecy“ einführt, ziehen Dropbox und OneDrive ziemlich schnell nach.
Infrastruktur und Rechenzentren der Cloud-Anbieter
Der folgende Abschnitt gibt einen Überblick, über die Sicherheitsvorkehrungen der drei großen Anbieter. Ich habe die Quellen zum Weiterlesen verlinkt. Alle Maßnahmen zu nennen, welche die Anbieter ergreifen, um die Sicherheit der Server und der darauf gespeicherten Daten der Anwender zu gewähren, würde den Rahmen sprengen.
OneDrive
Microsoft beschreibt auf den Seiten zur OneDrive-Sicherheitsarchitektur wie verhindert wird, dass Fremde in die Datenzentren eindringen:
Nur eine begrenzte Anzahl wichtiger Mitarbeiter hat Zugang zu den Rechenzentren. Ihre Identitäten werden anhand mehrerer Authentifizierungsfaktoren verifiziert, darunter Smartcards und biometrische Daten. Es gibt Sicherheitsbeauftragte vor Ort, Bewegungsmelder und Videoüberwachung. Warnungen bei Angriffserkennung überwachen anomale Aktivitäten.
Zudem werden die Daten an mindestens zwei verschiedenen Rechenzentren, die mehrere hundert Kilometer voneinander entfernt liegen, gespeichert. Im Fall eines Erdbebens oder anderen Naturkatastrophen ist es unwahrscheinlich, dass beide (bzw. alle) Speicherorte betroffen sind.
Google Drive
Google betont, dass alle Server und jegliche Hardware von Google selbst kommen, um bestmögliche Sicherheitsstandards und Kontrolle umzusetzen. In einem englischsprachigen Whitepaper gibt es außerdem nähere Informationen über die verschiedenen Sicherheitsschichten der Google-Infrastruktur. Unter anderem wird aufgeführt, wie Google die Geräte der Mitarbeiter schützt, damit diese nicht für Angriffe von außen benutzt werden können, oder wie gezielten Phishing-Angriffen auf Google-Mitarbeiter entgegengewirkt wird.
We make a heavy investment in protecting our employees’ devices and credentials from compromise and also in monitoring activity to discover potential compromises or illicit insider activity. This is a critical part of our investment in ensuring that our infrastructure is operated safely.
Ähnlich wie bei OneDrive wird betont, dass der Zugriff der Mitarbeiter auf die Server und Daten so stark wie möglich minimiert wird. Google geht noch einen Schritt weiter und nennt als Ziel vollständige Automatisierung von Prozessen, was langfristig den Zugriff durch Menschen unnötig machen würde.
Dropbox
Dropbox bietet ebenfalls ein Whitepaper über die Datensicherheit bei Dropbox Business an, in dem beispielsweise beschrieben wird, wie einmal im Jahr die Business Continuity auf die Probe gestellt und auf Schwachstellen geprüft wird, um im Ernstfall vorbereitet zu sein.
Die Daten von Dropbox und Dropbox-Nutzern werden in Rechenzentren von Drittanbietern in den USA gespeichert. Diese Drittanbieter sind für die Serversicherheit zuständig. Die Sicherheitsvorkehrungen werden einmal im Jahr von Dropbox getestet.
Gut zu wissen: Ab einer Lizenz von 250 Nutzern können die Daten auch in europäischen Rechenzentren gespeichert werden, und zwar bei Amazon Web Services in Frankfurt. Dateien und Metadaten werden auf unterschiedlichen Servern gespeichert.
Verschlüsselung in der Dropbox, bei Google Drive und OneDrive
Alle drei Anbieter haben ein ähnliches Setup bei der Verschlüsselung von Cloud-Daten. Alle verschlüsseln ruhende Daten (die auf den Servern abgelegt sind) mit AES mit 256-Bit bei OneDrive und Dropbox bzw. AES mit 128-Bit bei Google Workplace. Dies entspricht dem Stand der Technik, da es die derzeit sicherste Art ist, Daten zu verschlüsseln. OneDrive verwendet zusätzlich Festplattenverschlüsselung mithilfe von BitLocker-Laufwerksverschlüsselung.
Während der Datenübertragung wird bei Dropbox, Google Drive und OneDrive SSL/TLS-Verschlüsselung verwendet, was ebenfalls derzeit die beste Lösung nach Stand der Technik ist.
Ein weiterer Schutzmechanismus, den Google laut eigener Aussage zuerst eingeführt hat, ist Perfect Forward Secrecy (PFS). Diese Technologie sorgt dafür, dass private SSL-Schlüssel nicht für Sitzungen verwendet werden können, die in der Vergangenheit liegen. Konkret: Falls ein Angreifer an einen SSL-Schlüssel geraten sollte, dann kann dieser nicht genutzt werden, um früheren Datenverkehr zu entschlüsseln.
Wichtig: Es ist entscheidend, dass Daten nicht nur bei der Übertragung vom Endgerät in die Cloud geschützt sind. Mithilfe von Ende-zu-Ende-Verschlüsselung sind Daten während des Transportes und am Speicherort durchgehend geschützt. So kann gewährleistet werden, dass Personen ohne Zugriffsberechtigung keine Chance haben, an die Daten zu kommen. Da nur wenige Cloud-Anbieter Ende-zu-Ende-Verschlüsselung anbieten, sollten sich Nutzerinnen und Nutzer nach einer geeigneten zusätzlichen Verschlüsselungslösung umsehen. So bleiben Ihre Daten vom Absenden des lokalen Gerätes bis in die Cloud konstant verschlüsselt und geschützt.
Schlüsselverwaltung
OneDrive for Business
OneDrive bietet eine Funktion an, mit der man die eigenen Schlüssel in Microsofts Azure Key Vault sichern kann.
Mit Customer Key stellen Sie die Stammverschlüsselungsschlüssel für Ihre Microsoft 365 ruhenden Daten auf Anwendungsebene bereit und steuern sie. Daher haben Sie die Kontrolle über die Schlüssel Ihrer Organisation.
Google Drive
Google nutzt ebenfalls den eigenen Key Management Service(KMS) für die Schlüsselverwaltung:
Use customer-managed encryption keys (CMEK) to control the encryption of data across Google Cloud products while benefiting from additional security features such as Google Cloud IAM and audit logs.
Dropbox Business
Dropbox verwaltet die Verschlüsselungsschlüssel dezentral:
Die Key Management-Infrastruktur wurde mit betrieblichen, technischen und verfahrenstechnischen Sicherheitsmaßnahmen mit sehr begrenztem Direktzugriff auf Schlüssel entwickelt. Die Schlüssel werden dezentral an verteilten Standorten generiert, ausgetauscht und gespeichert.
Wovor Daten in der Cloud nicht geschützt sind
Die oben beschriebenen Lösungen zur Schlüsselverwaltung sind technisch ausgereift und schützen Ihre Schlüssel vor Angriffen von außen. Doch ein zentrales Problem bleibt bei allen bestehen: Die Cloud-Anbieter haben Zugriff auf die Schlüssel und somit auch Zugriff auf die verschlüsselten Daten.
So ist beispielsweise Azure ebenfalls ein Microsoft-Produkt. Theoretisch kann Microsoft also auf die dort verwalteten Schlüssel zugreifen. Das ist beispielsweise dann relevant, wenn Informationen an Behörden herausgegeben werden müssen. Google nutzt sein eigenes Key Management System und kann deswegen auf die Schlüssel zugreifen. Und auch Dropbox kann die dezentral gespeicherten Schlüssel abrufen.
Dass die Cloud-Anbieter aufgrund ihres technischen Setups auf die in der Cloud gespeicherten Daten zugreifen können, ist kein Geheimnis. Wenn Behörden also die Herausgabe von Daten fordern, müssen Microsoft, Google, Dropbox und Co. dem Folge leisten. Selbst wenn die Daten verschlüsselt sind, kann der Anbieter darauf zugreifen, da er die Daten selbst verschlüsselt hat und sie aus diesem Grund auch wieder entschlüsseln kann.
Der Anbieter hat die Schlüssel, er hat damit auch die Macht. Durch angestrebte Gesetze wie den CLOUD Act müssen die Anbieter auch gegen ihren Willen Nutzerdaten herausgeben. Anders ausgedrückt: Unbefugte Dritte können auf Ihre Daten zugreifen. Auch wenn es nur Microsoft-, Dropbox- oder Google-Mitarbeiter, bzw. Behörden sind.
Ideal ist die Trennung von Verschlüsselung und Speicher. Ein Profi für Servermanagement und Synchronisation kümmert sich um den Speicher und die Verfügbarkeit der Daten (Datensicherheit). Ein unabhängiger Profi für Verschlüsselung kümmert sich um Zero-Knowledge-Verschlüsselung (Datenschutz). So erhalten Sie das Beste aus beiden Welten und die volle Kontrolle.
Mit Zero-Knowledge-Verschlüsselung bleiben die Verschlüsselungsschlüssel entweder auf Ihrem Gerät oder sie werden, wenn eine Übertragung nötig ist, verschlüsselt, bevor sie an den Verschlüsselungsanbieter geschickt werden. So kann der Anbieter diese nicht benutzen, um an Ihre Daten heranzukommen. Selbst bei Behördenanfragen wäre der Anbieter nicht in der Lage, Ihre Daten oder Schlüssel herauszugeben.
DSGVO-Konformität leicht gemacht
Alle drei großen Clouds bieten Verschlüsselung nach Stand der Technik und können deshalb Ihren Service auch nach Inkrafttreten der DSGVO in Europa anbieten. Doch ob das tatsächlich eine ausreichende technische und organisatorische Maßnahme (TOM) im Sinne der DSGVO ist, darüber lässt sich natürlich streiten. Wir sagen nein, denn die Verhinderung des Zugriffs von unbefugten Dritten ist nicht einwandfrei gewährleistet. Erst mit Zero-Knowledge-Standard ist Ihre Cloud zuverlässig vor allen unbefugten Zugriffen geschützt.
Besonders in Unternehmen, die mit biometrischen oder Gesundheitsdaten – und daher besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO – arbeiten, empfiehlt sich nach Ansicht des Datenschutzexperten Rechtsanwalt Wolfgang Schmid von der Kanzlei SCHMID FRANK, besondere Vorsichtsmaßnahmen zu treffen, da hier der Verantwortliche zur Einhaltung spezifischer Maßnahmen zur Wahrung der Interessen der betroffenen Person verpflichtet ist. Boxcryptor trifft hier erforderliche Maßnahmen nach § 22 BDSG neu.
Rechtsanwalt Schmid nennt auch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), welches ein konkretes Ergreifen angemessener Geheimhaltungsmaßnahmen durch einen Inhaber eines Geschäftsgeheimnisses fordert. Diese können neben vertraglichen Maßnahmen wie Vertraulichkeitsvereinbarungen auch technische Sicherheitsmaßnahmen sein.
Die Verschlüsselung und das technische Setup der Cloud-Anbieter hat sich seit Inkrafttreten der DSGVO nicht grundlegend geändert und auch nach Inkrafttreten der DSGVO bieten diese Anbieter keine Ende-zu-Ende-Verschlüsselung mit Zero Knowledge. Alle garantieren DSGVO-Konformität, doch das bedeutet nicht, dass alle Bedrohungsszenarien für Ihre Daten in der Cloud abgedeckt sind.
Werden Sie selbst aktiv und fügen Sie Ihrer Cloud mit Boxcryptor eine weitere Sicherheitsschicht hinzu. Boxcryptor ist für die Nutzung mit Dropbox, Google Drive und OneDrive optimiert und ist sowohl für kleine als auch für große Teams bestens geeignet. Auf unserer Webseite können Sie im technischen Überblick und auf unseren Seiten zur Verschlüsselung und Schlüsselverwaltung nachlesen, wie wir Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard umsetzen. So garantieren wir, dass die Kontrolle über Ihre Unternehmens-Cloud vollständig in Ihren Händen liegt.
