Vergleich der Sicherheitsvorkehrungen bei Dropbox, Google Drive und OneDrive für Business
Dr. Rebecca Sommer, Marketing Managerin bei Boxcryptor
Rebecca Sommer | Cyber Security Writer
@RJ_Sommer
2019 M05 26, Sun

DS-GVO-konform ist nicht genug – Datenschutz und Datensicherheit der 3 größten Clouds

Die DS-GVO war letztes Jahr in aller Munde. Selbst Menschen, die sonst überhaupt nichts mit Datenschutz oder IT-Sicherheit am Hut haben, mussten sich im Jahr 2018 mit dem Thema auseinandersetzen. Von allen Unternehmen, deren Dienste ich im Büro und privat nutze, landeten nach und nach E-Mails im Postfach, die mir versicherten, dass sie ihre Systeme aktualisieren und die Datenschutzbestimmungen gemäß der neuen Verordnung aktualisieren.

Nun ist es ruhig geworden.

Doch ich stelle mir die Frage, was ist nun tatsächlich passiert? Haben tatsächlich auch die großen Player plötzlich alles so abgesichert, dass ich bedenkenlos deren Dienste nutzen kann? Die aktualisierten Datenschutzerklärungen – die ich nicht alle durchgelesen habe – könnten den Eindruck hinterlassen. Ich habe das Gefühl, dass sich viele Verbraucher nun sicher fühlen.

Auch Google, Microsoft, Dropbox und Co. sind nun offensichtlich so abgesichert, dass sie ihre Dienste weiterhin in Europa anbieten können. Doch die Frage ist weiterhin: Sind nun die Daten komplett sicher oder haben diese Anbieter nur die Verantwortung so umverteilt, dass sie selbst vor Klagen geschützt sind im Fall des Falles, doch unsere Daten nicht?

Besonders relevant ist das natürlich für sensible Firmendaten. Wir haben uns die Datenschutzerklärungen und Sicherheitsvorkehrungen der drei großen Cloud-Anbieter Google, Microsoft und Dropbox angesehen. Im Folgenden erklären wir, wovor Dropbox Business, Google Drive in der GSuite und OneDrive for Business Ihre Unternehmensdaten schützen und wovor nicht.

Bezahlen Sie in Euro, Dollar, oder Daten?

Um sich darüber im Klaren zu werden, ob man den großen Cloud-Anbietern seine Daten anvertrauen will, lohnt es sich, deren unterschiedliche Geschäftsmodelle und den Zweck hinter verschiedenen Angeboten zu kennen.

Wenn Sie Ihre Bilder als Privatkunde beispielsweise bei Google Drive speichern, werden Ihre Daten eventuell als Datenfutter verwendet, um die Bilderkennungssoftware von Google zu verbessern und Machine Learning voranzubringen:

Wir nutzen die im Rahmen unserer bestehenden Dienste erhobenen Daten zur Entwicklung neuer Dienste. Beispielsweise halfen uns Erkenntnisse darüber, wie Personen Fotos in Picasa, der ersten Foto-App von Google, organisiert haben, bei der Entwicklung von Google Fotos. (Google/Privacy)

Ein weiterer Zweck, wofür die Daten oft verwendet werden, ist zu Werbezwecken. Mit ihrer Hilfe kann ein besonders feingranulares Werbeprofil von Ihnen erstellt werden, um Ihnen die richtigen Produkte zur richtigen Zeit am richtigen Ort anbieten zu können.

Besonders bei den kostenlosen Cloud-Speichern muss man sich darüber im Klaren sein, dass man den Speicher mit seinen Daten bezahlt und dass diese also auch verwendet werden. Dieses Recht räumen sie sich ohne große Umschweife in ihren Datenschutzbestimmungen ein. Beispielsweise bei Google Drive:

Wir erheben Daten, um allen unseren Nutzern bessere Dienste zur Verfügung zu stellen – von der Feststellung grundlegender Informationen wie zum Beispiel Ihrer Sprache bis hin zu komplexeren Fragen wie zum Beispiel Werbung, die Sie besonders nützlich finden, den Personen, mit denen Sie online am häufigsten zu tun haben, oder den YouTube-Videos, die Sie interessant finden.

Oder bei OneDrive für die private Nutzung:

Microsoft verwendet die Daten, die wir erfassen, um Ihnen umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. (…) Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für unsere Belegschaft sowie zur Entwicklung.

Speichern Sie hingegen Ihre Daten bei Dropbox Business oder bei einer beliebigen anderen Unternehmens-Cloud, dann werden diese Daten je nach Setup der Unternehmens-Cloud anders behandelt.

Datenschutzmaßnahmen von Dropbox Business, OneDrive for Business und GoogleDrive in der GSuite im Vergleich

Im Jahr 2019 haben die großen Cloud-Anbieter ausgereifte Lösungen mit bei allen ähnlichen Sicherheitsvorkehrungen im Angebot. Alle haben Maßnahmen implementiert, um Business Continuity zu gewährleisten. Die Server sind so gut abgesichert, dass es unwahrscheinlich ist, dass Daten aufgrund von defekten Servern oder Umwelteinflüssen verloren gehen. Auch wenn es um Verschlüsselung und Zugriffsbegrenzung geht, haben die Anbieter ein sehr ähnliches Setup, das sie auch bei Neuerungen schnell dem der Konkurrenz anpassen. Wenn Google beispielsweise laut eigener Aussage als erstes Perfect Forward Secrecy einführt, ziehen Dropbox und der Rest ziemlich schnell nach.

Infrastruktur und Rechenzentren der Cloud-Anbieter

Das folgende Kapitel gibt einen Ein- und Überblick, über die Sicherheitsvorkehrungen der drei großen Anbieter und gibt Ihnen Quellen zum Weiterlesen an die Hand. Alle Maßnahmen zu nennen, die die Anbieter vornehmen um die Sicherheit Ihrer Server und der darauf gespeicherten Daten zu gewähren, würde den Rahmen des Artikels sprengen.

OneDrive

Microsoft beschreibt auf den Seiten zur OneDrive-Sicherheitsarchitektur wie verhindert wird, dass Fremde in die Datenzentren eindringen (Wenn die Informationen nur auf Englisch oder automatisch übersetzt verfügbar sind, zitieren wir hier im Original).

Only a limited number of essential personnel can gain access to datacenters. Their identities are verified with multiple factors of authentication including smart cards and biometrics. There are on-premises security officers, motion sensors, and video surveillance. Intrusion detection alerts monitor anomalous activity.

Außerdem werden die Daten mindestens an zwei verschiedenen Orten gespeichert, mit mehreren hundert Kilometern Abstand dazwischen. Im Fall eines Erdbebens oder anderen Naturkatastrophen ist es unwahrscheinlich, dass beide Speicherorte betroffen sind.

Google Drive

Google betont, dass alle Server und jegliche Hardware von Google selbst kommen, um bestmögliche Sicherheitsstandards und Kontrolle umzusetzen. In einem englischsprachigen Whitepaper gibt es außerdem nähere Informationen über die verschiedenen Sicherheitsschichten der Google-Infrastruktur. Unter anderem wird aufgeführt, wie Google die Geräte der Mitarbeiter schützt, dass diese nicht für Angriffe von außen benutzt werden können, oder wie gezielten Phishing-Angriffen auf Google-Mitarbeiter entgegengewirkt wird.

We make a heavy investment in protecting our employees’ devices and credentials from compromise and also in monitoring activity to discover potential compromises or illicit insider activity. This is a critical part of our investment in ensuring that our infrastructure is operated safely.

Ähnlich wie bei OneDrive wird betont, dass der Zugriff der Mitarbeiter auf die Server und Daten so stark wie möglich minimiert wird. Google geht noch einen Schritt weiter und nennt als Ziel vollständige Automatisierung von Prozessen, was den Zugriff von Menschen unnötig machen würde.

Dropbox

Dropbox bietet ebenfalls ein Whitepaper über die Sicherheit bei Dropbox Business an, in dem beispielsweise beschrieben wird, wie einmal im Jahr die Business-Continuity auf die Probe gestellt und auf Schwachstellen geprüft wird, um im Ernstfall vorbereitet zu sein.

Die Daten von Dropbox und Dropbox-Nutzern werden in Rechenzentren von Drittanbietern in den USA gespeichert. Diese Drittanbieter sind für die Serversicherheit zuständig, doch die Sicherheitsvorkehrungen werden einmal im Jahr von Dropbox getestet. Ab einer Firmengröße von 250 Nutzern können die Daten auch in europäischen Rechenzentren gespeichert werden und zwar bei Amazon Web Services in Frankfurt. Dateien und Metadaten werden auf unterschiedlichen Servern gespeichert.

Verschlüsselung in der Dropbox, bei Google Drive und OneDrive

Alle drei Anbieter haben ein ähnliches Setup bei der Verschlüsselung von Cloud-Daten. Alle verschlüsseln ruhende Daten (die auf den Servern abgelegt sind) mit AES mit 256-Bit. Dies entspricht dem Stand der Technik, da es die derzeit sicherste Art ist, Daten zu verschlüsseln. OneDrive verwendet zusätzlich Festplattenverschlüsselung mithilfe von BitLocker-Laufwerksverschlüsselung.

Während der Datenübertragung wird bei Dropbox, Google Drive und OneDrive SSL/TLS-Verschlüsselung verwendet, was ebenfalls derzeit die beste Lösung nach Stand der Technik ist. Ein weiterer Schutzmechanismus, den laut Selbstaussage Google zuerst eingeführt hat, ist Perfect Forward Secrecy (PFS). Dies sorgt dafür, dass private SSL-Schlüssel nicht für Sitzungen verwendet werden können, die in der Vergangenheit liegen. Falls also doch jemand an einen SSL-Schlüssel geraten sollte, der nicht in dessen Hände gehört, dann kann er diesen nicht nutzen, um früheren Datenverkehr zu entschlüsseln.

Schlüsselverwaltung

OneDrive for Business

OneDrive bietet eine Funktion an, mit der man die eigenen Schlüssel in Microsofts Azure Key Vault sichern kann.

Mithilfe einer Office 365-Funktion mit dem Namen service encryption with Customer Key (Dienstverschlüsselung mit Kundenschlüssel) können Sie Ihre eigenen Verschlüsselungsschlüssel in Azure Key Vault hochladen, die zur Verschlüsselung Ihrer Daten im Ruhezustand in Azure-Rechenzentren verwendet werden.

Google Drive

Google nutzt ebenfalls den eigenen Key Management Service für die Schlüsselverwaltung:

Files or data structures with customer-created content written by G Suite are subdivided into chunks, each of which is encrypted with its own chunk data encryption key (“chunk key”). Each chunk key is encrypted by another key known as the wrapping key, which is managed by a Google-wide key management service (KMS).

Dropbox Business

Dropbox verwaltet die Verschlüsselungsschlüssel dezentral:

Die Key Management-Infrastruktur wurde mit betrieblichen, technischen und verfahrenstechnischen Sicherheitsmaßnahmen mit sehr begrenztem Direktzugriff auf Schlüssel entwickelt. Die Schlüssel werden dezentral an verteilten Standorten generiert, ausgetauscht und gespeichert.

Wovor Ihre Daten in der Cloud nicht geschützt sind

All diese Lösungen zur Schlüsselverwaltung sind technisch sehr gut ausgereift und schützen Ihre Schlüssel vor Angriffen von außen. Doch ein zentrales Problem bleibt bei allen bestehen. Azure ist ebenfalls ein Microsoft-Produkt, theoretisch kann Microsoft also dort auf die Schlüssel zugreifen, beispielsweise wenn Daten an Behörden herausgegeben werden müssen. Google nutzt ebenfalls sein eigenes KMS und kann deswegen auf die Schlüssel zugreifen und auch Dropbox kann die dezentral gespeicherten Schlüssel abrufen.

Dass die Cloud-Anbieter aufgrund ihres technischen Setups auf die in der Cloud gespeicherten Daten zugreifen können, ist kein Geheimnis. Beispielsweise wenn Regierungen das Herausgeben von Daten fordern, ist das bei Microsoft, Google, Dropbox und Co. kein Problem. Selbst wenn die Daten verschlüsselt sind, kann der Anbieter darauf zugreifen, da er selbst die Daten verschlüsselt und sie aus diesem Grund auch entschlüsseln kann. Der Anbieter hat die Schlüssel, er hat die Macht. Und durch angestrebte Gesetze wie den CLOUD Act müssen die Anbieter auch gegen ihren Willen Nutzerdaten herausgeben. Unbefugte Dritte können demnach auf Ihre Daten zugreifen. Auch wenn es nur Microsoft-, Dropbox- oder Google-Mitarbeiter sind.

Ideal ist die Trennung von Verschlüsselung und Speicher. Ein Profi für Servermanagement und Synchronisation kümmert sich um den Speicher und die Verfügbarkeit der Daten. Ein unabhängiger Profi für Verschlüsselung kümmert sich um Zero-Knowledge-Verschlüsselung. So erhalten Sie das Beste aus zwei Welten und die volle Kontrolle.

Mit Zero-Knowledge-Verschlüsselung bleiben die Verschlüsselungsschlüssel entweder auf Ihrem Gerät oder sie werden, wenn eine Übertragung nötig ist, verschlüsselt, bevor sie an den Verschlüsselungsanbieter geschickt werden. So kann der Anbieter diese nicht benutzen, um an Ihre Daten heranzukommen. Selbst bei Behördenanfragen wäre der Anbieter nicht in der Lage, Daten oder Schlüssel herauszugeben.

Werden Sie aktiv und gestalten Sie Ihre DS-GVO-Konformität selbst

Alle drei großen Clouds bieten Verschlüsselung nach Stand der Technik und können deshalb Ihren Service auch nach Inkrafttreten der DS-GVO in Europa anbieten. Doch ob das tatsächlich eine ausreichende technische und organisatorische Maßnahme (TOM) im Sinne der DS-GVO ist, darüber lässt sich natürlich streiten. Wir sagen nein, denn die Verhinderung des Zugriffs von unbefugten Dritten ist nicht einwandfrei gewährleistet. Erst mit Zero-Knowledge-Standard ist Ihre Cloud zuverlässig vor allen unbefugten Zugriffen geschützt.

Die Verschlüsselung und das technische Setup der Cloud-Anbieter hat sich seit Inkrafttreten der DS-GVO nicht grundlegend geändert und auch nach Inkrafttreten der DS-GVO bieten diese Anbieter keine Ende-zu-Ende-Verschlüsselung mit Zero Knowledge. Alle garantieren DS-GVO-Konformität, doch das bedeutet nicht, dass alle Bedrohungsszenarien für Ihre Daten in der Cloud abgedeckt sind.

Werden Sie selbst aktiv und fügen Sie Ihrer Cloud eine weitere Sicherheitsschicht von Boxcryptor hinzu. Boxcryptor ist für die Nutzung mit Dropbox, Google Drive und OneDrive optimiert und ist sowohl für kleine als auch für große Teams bestens geeignet. Auf unserer Webseite können Sie im technischen Überblick und auf unseren Seiten zur Verschlüsselung und Schlüsselverwaltung nachlesen, wie wir Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard umsetzen. So garantieren wir, dass die Kontrolle über Ihre Unternehmens-Cloud vollständig in Ihren Händen liegt.

Schützen Sie Ihre Cloud mit Boxcryptor - Testen Sie Boxcryptor 14 Tage kostenlos

Zögern Sie nicht und beginnen Sie noch heute damit, Ihre Cloud sicher zu verschlüsseln. Sie können Boxcryptor Company oder Enterprise mit allen Funktionen für die Zusammenarbeit in Teams 14 Tage lang kostenlos testen. Nach diesen 14 Tagen können Sie ohne weiteren Aufwand Boxcryptor weiternutzen, um die sensiblen Daten Ihrer Firma zu schützen.

14-Tage-Test starten
Beitrag teilen