Luc Mader, luckycloud: "Cloudspeicher geht auch sicher"

Vertrauen ist gut, Open-Source ist besser

| Autor / Redakteur: Luc Mader / Florian Karlstetter

Sicherheit und Freiheit in der Cloud am Beispiel der sicheren Sync-and-Share-Plattform von luckycloud.
Sicherheit und Freiheit in der Cloud am Beispiel der sicheren Sync-and-Share-Plattform von luckycloud. (Bild: luckycloud)

Ob eine sichere Datenspeicherung in öffentlichen Clouds eigentlich möglich ist, zählt nach wie vor zu den heiß diskutierten Themen. Das Berliner Unternehmen luckycloud will die nach wie vor vorherrschenden Bedenken mit dem Einsatz von Open-Source-Software, einer starken Verschlüsselung und dem Betrieb der Infrastruktur im eigenen Land ausräumen.

Sind wir mal ehrlich, spätestens seit der Snowden-Affäre ist uns bekannt, dass die großen Internet-Giganten - Google, Dropbox, Facebook und Co. - kontinuierlich Kundendaten abgreifen, analysieren und zu Werbezwecken verwenden. Nahezu jede Internetaktivität von uns wird verfolgt, gespeichert und analysiert. Es gibt praktisch heutzutage von jedem einen digitalen Fußabdruck. Bei der Nutzung von Cloud-Diensten - insbesondere den kostenfreien Angeboten - werden Metadaten herausgefischt und Nutzerdaten weiterverkauft.

Die aktuelle Datenschutz-Grundverordnung sorgt zwar bezüglich der Weiterverarbeitung und -verwendung von Daten für mehr Transparenz. Dennoch fehlt der Beweis und die Garantie, dass tatsächlich niemand unbefugt auf diese zugreift.

Open-Source-Software

Hier kommt das Thema "Open-Source-Software" ins Spiel: Bei der sogenannten freien Software wird der hinter dieser stehende Programmcode für jeden offengelegt. Der erste Gedanke, den dies bei vielen hervorruft ist, dass ein für jeden sichtbarer Code doch zwangsläufig unsicher sein muss.

Doch weit gefehlt, denn proprietäre beziehungsweise nicht offen gelegten Quellcodes offenbaren bei genauerer Betrachtung häufig weitaus mehr Fehler als bei Open-Source-Software der Fall. Der Grund hierfür ist ein einfacher: Sie blieben einfach unentdeckt. Das wiederum führt jedoch dazu, dass mehr Sicherheitslücken bestehen, die sich ausnutzen lassen. Außerdem können die Anbieter von proprietärer Software Hintertüren ("Backdoors") einbauen, über die sich unbefugt auf Nutzerdaten zugreifen lässt. Was geheim bleiben muss, ist somit nicht der Code, sondern der Schlüssel.

Verschlüsselung

Für eine sichere Synchronisation von Daten zwischen Client und Server sollten die Daten über eine zertifizierte HTTPS-Verbindung beziehungsweise über das TLS-Protokoll übertragen werden. Dadurch lässt sich zwar der Zugriff auf Daten von Dritten ("Man-in-the-Middle") verhindern, nicht aber der von Cloud-Anbieter auf die in ihrer Infrastruktur gespeicherten Nutzerinformationen.

Hierzu ist eine Ende-zu-Ende-Verschlüsselung notwendig, die Daten in Bibliotheken bereits clientseitig verschlüsselt. Dadurch werden Passwörter nicht auf den Cloud-Servern gespeichert und den Anbietern der öffentlichen Dienste ist nicht mehr möglich, die Daten einzusehen.

Bei luckycloud erfolgt die Verschlüsselung beziehungsweise Entschlüsselung von Daten ausschließlich auf der Client-Seite und wird anhand eines Sync-Clients wie folgt durchgeführt: Es wird eine 32-Byte-lange, kryptographisch starke Zufallszahl erzeugt. Diese wird als Dateiverschlüsselungsschlüssel verwendet ("Dateischlüssel") und wiederum mit dem Passwort des Nutzers zusätzlich verschlüsselt.

Genau hier liegt der Unterschied zu den meisten Ende-zu-Ende-Verschlüsselungen, die Cloud-Anbietern einsetzen. Bei diesen wird der Dateischlüssel automatisch generiert, aber es fehlt in der Regel das vom Nutzer generierte Passwort zum Dateischlüssel. Infolgedessen können die Cloud-Anbieter die Dateien entschlüsseln und auf die Dateiinhalte zugreifen.

Der Ver- und Entschlüsselungsprozess en détail läuft folgendermaßen ab: luckycloud verwendet bei der Verschlüsselung den PBKDF2-Algorithmus (1000 Wiederholungen von SHA256), um von dem Nutzer-Passwort ein Schlüssel/IV-Paar abzuleiten. Sämtliche Daten der Datei werden durch den Dateischlüssel mit AES 256/CBC verschlüsselt. Das Ergebnis wird als "verschlüsselter Dateischlüssel" bezeichnet.

Erst nach der Verschlüsselung werden die Daten auf den Server hochgeladen und dort gespeichert. Wenn der Nutzer auf die Daten zugreifen möchte, kann dieser den Dateischlüssel nur mit dem Passwort entschlüsseln. Um maximale Sicherheit zu gewährleisten, wird das Klartext-Passwort auch auf der Client-Seite nicht gespeichert. Der Client beziehungsweise der Nutzer speichert lediglich das vom "Dateischlüssel" abgeleitete Schlüssel/IV-Paar, das zur Verschlüsselung der Daten verwendet wird. Wenn der Nutzer also sein Passwort vergessen hat, kann er das Passwort nicht wiederherstellen oder auf seine Daten auf dem Server zugreifen.

Ergänzendes zum Thema
 
Wichtige Sicherheitsfeatures und -aspekte von luckycloud im Überblick

Zertifizierungen und IT-Infrastruktur

Neben den obengenannten Sicherheitsmechanismen spielt natürlich auch die IT-Infrastruktur eine wichtige Rolle. Cloud-Anbieter können ihre Server beispielsweise bei Daten-Kraken mieten, die eventuell sogar ihren Firmensitz im Ausland haben. Hier kann es passieren, dass die Datenverarbeitung nicht mehr der deutschen Gesetzgebung obliegt und andere Unternehmen Zugang zu der Infrastruktur erlangen. Um auf der sicheren Seite zu sein, sollten Cloud-Anbieter mit deutschen Serverstandort gewählt werden, die eine eigene Server-Infrastruktur besitzen. Zusätzlich können glaubwürdige (ISO-)Zertifizierungen mehr Sicherheit über Ausfallschutz- und Authentifizierungsmechanismen geben.

Zusätzliche Sicherheitsaspekte und Kontrolle

Um den Nutzer vor Konten- und Datendiebstahl zu schützen, sollte eine Zwei- oder Mehrfaktor-Authentifizierung-Methode verwendet werden. Hier wird neben dem Login-Passwort ein zusätzlicher Schlüssel für sein Benutzerkonto generiert.

Offsite-Backups der Cloud-Betreiber und (zeitlich unbegrenzte) Block-Versionierungen sind wichtige Sicherheitsaspekte für die Wiederherstellung von Daten, die (ausversehen) gelöscht oder überschrieben worden sind. Backups sollten nicht nur von Cloud-Diensten angelegt werden, sondern auf jeden Fall auch auf der Nutzerseite. Hierfür bietet sich zum Beispiel der Betrieb eines eigenen zentralen Datenspeichers (NAS) an.

Außerdem ist zu beachten, dass unbefugte oder nicht ordnungsgemäße Datenverarbeitung nicht nur auf die Cloud-Anbieter oder Dritte zurückzuführen ist. Ebenso können verärgerte oder unwissende Mitarbeiter Daten für unbefugte Zwecke nutzen. Um dies zu verhindern, sollten Datenzugänge nur für berechtigte Mitarbeiter eingerichtet und Zugriffe kontrolliert werden.

Bei besonders sensiblen Daten sollte generell eine externe Erreichbarkeit von oder nach außen anhand einer Managed-Private-Cloud ausgeschlossen werden.

* Diesen Beitrag haben wir von unserem Schwesterportal CloudComputing-Insider übernommen.

* Luc Mader ist Gründer und CEO von luckycloud

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45465083 / Storage-Security)