Sicherheit einer Cloud

Der auf Facebook gemachte gemachte Einwand „Cloudlösung ist Mist“ mag beunruhigend sein, ist aber berechtigt – wenn es um Fileshare-Hoster geht, von denen in XXXXXs Beiträgen auf FB offenbar die Rede ist, wenn ich da lese „geschützte Container… Diebstahl über die Cloud möglicherweise noch leichter…“
Ich habe aber nicht von Fileshare-Hostern gesprochen, sondern von seriösen Cloud-Hostern, und da besteht nun mal ein Unterschied. Dass der vielleicht nicht allgemein bekannt ist, das ist mir erst vorhin klargeworden.
Fileshare-Hoster, das sind Plattformen, die dazu da sind, Dateien zu teilen, und auf denen leider sehr oft auch illegale Downloads angeboten werden. Bitte versteht mich nicht falsch, ich unterstelle niemandem, der solche Plattformen nutzt, illegale Downloads anzubieten oder sie sich dort zu besorgen. Aber bei sehr vielen dieser Plattformen ist es nun mal leider so, dass ein Teil der User genau das macht – mehr oder weniger geduldet vom Anbieter. Für mich persönlich hat das dann nichts mit seriös zu tun, von solchen Anbietern lasse ich die Finger. Es sollte jedem klar sein, dass auf Plattformen, auf denen sich vielleicht etliche geschickte Hacker tummeln, die Gefahr natürlich sehr groß ist, dass mal eben so „im Vorbeigehen“ ein Account geknackt wird. Noch dazu, weil diese Hoster in Bezug auf Datensicherheit tatsächlich oft sehr wenig bieten.
Mal abgesehen davon, dass ich mich prinzipiell weigere, Plattformen auf denen teilweise ganz offen illegale Downloads liegen, mit meinem Geld zu unterstützen – wieso sollte ich meine Dateien einem solchen Anbieter anvertrauen? Da kann ich dann auch mein Auto am Bahnhof abstellen, Scheibe runtergedreht und mit einem Geldschein auf dem Armaturenbrett. Wenn ich Stunden später zurück komme, wird das Geld wahrscheinlich weg sein – das hätte mir aber klar sein müssen, und dann darf ich mich nicht beschweren.
Einige FB-Freunde haben mich gebeten, mal Beispiele zu nennen, von denen man die Finger lassen sollte. Sorry, Leute, nur weil ich in meinem Berufsalltag vielleicht mitbekommen habe, dass gegen Anbieter XY bzw. einen der User mal wieder ein Ermittlungsverfahren läuft, stelle ich mich nicht hin und beschuldige diese Anbieter. Das ist nämlich auch gegen das Gesetz.
Aber ich liste euch mal auf, nach welchen Kriterien ich persönlich gehe, wenn ich für Freunde oder Kunden auf der Suche nach einem Cloud-Anbieter bin, und diese Kriterien sind ganz subjektiv. Möglich, dass ich damit der einen oder anderen Plattform Unrecht tue, aber hey – ich will im Fall des Falles nicht nur einen Nachweis über das Urheberrecht bestimmter Dateien liefern können, ich will natürlich auch, dass die Dateien möglichst sicher sind. (Völlige Sicherheit gibt es im Internet nicht, aber ich denke mal, das ist jedem klar.)
Da heißt es für mich dann eben auch mal: im Zweifel gegen den Angeklagten. Bevor ich ein unnötiges Risiko eingehe, suche ich mir dann lieber einen anderen Anbieter. Persönlich nutze ich übrigens schon seit Jahren parallel zueinander drei verschiedene Anbieter – und keiner der Accounts wurde bisher geknackt, denn auch dagegen kann man einige recht simple Maßnahmen treffen, siehe unten. Hier nun meine Ausschluss-Kriterien:

  • Anbieter wirbt auf der Homepage mit dem Teilen der Dateien, anstatt mit der Datensicherheit: No
  • Anbieter bietet Zugänge an, bei denen man für eine höhere Download-Geschwindigkeit und/oder mehrere parallel verlaufende Downloads (mehr) Geld bezahlt: No
  • Im Namen des Anbieters Begriffe wie Share, Upload, Rapid: No
  • Test auf Google und Yahoo: Ich gebe crack, keygen, kostenlos, [Name irgendeiner wirklich bekannten Software] ein und setze teilweise noch für das Ausschlussverfahren -ebay -amazon dahinter. Von den Suchergebnissen schaue ich mir die ersten drei oder vier Seiten an, eben die Ergebnisse mit richtig hohen Trefferquoten. Alle Anbieter, auf deren Speicherbereiche dort verwiesen wird: Never ever

Bleiben da überhaupt noch sichere Lösungen übrig? Ja! Muss das viel Geld kosten? Nein, überhaupt nicht. Es gibt tatsächlich auch einige kostenlose Anbieter, die sogar „von Haus aus“ die Verschlüsselung der Daten anbieten. Man muss in die Suche etwas Zeit investieren, klar, und bei kostenlosen Diensten muss man sich meistens mit Werbemails und nervigen Werbefenstern abfinden. Das tut aber dem Service an sich keinen Abbruch.

Auch viele WebHoster bieten sichere Lösungen an und das für kleines Geld. Fast jeder große Hoster in Deutschland hat mittlerweile auch in den kleinen Hosting-Paketen für 2 bis 3 EUR/Monat eine Cloudlösung integriert. Das sind teilweise nur 1 oder 2 GB, aber gerade wenn es um reine Textdateien geht, reicht eine solche Lösung völlig aus. Bis man 1 GB mit Textdateien gefüllt hat, muss man sehr, sehr viel schreiben.

Was kann man nun selbst tun, um sich gegen das Knacken eines Accounts zu wappnen?

First: Eine Cloud, in der ich meine Dateien sicher unterbringen will, ist auch immer nur dafür gedacht. Einigen Leuten, denen ich vertraue, gebe ich auch mal eine einzelne Datei oder einen ganzen Ordner frei, wenn es wirklich erforderlich ist. Aber die Cloud dient ganz sicher nicht dazu, um mit Freunden Fotos oder andere Dateien zu tauschen/teilen. Dafür legt man dann eben einen zweiten Account an. Vertrauen hin oder her – wie vielen Leuten gebt Ihr Eure Zugangsdaten für FB oder den Mail-Account? Eben. Wenn ich den Link zu meinem Cloudspeicher nicht wahllos verteile, dann weiß halt auch fast niemand davon.
Zweite Gegenmaßnahme: Username und Passwort. Ich verwende auf vielen Plattformen (auf denen es mir relativ egal wäre, wenn der Account geknackt werden würde) kurz und bündig meine Initialen oder den Vornamen als Nick/User, und einige von Euch machen das wahrscheinlich genauso. Ganz sicher würde ich daher nie „CMC“ als Username für meine Cloud verwenden, und auch nicht den Namen in anderer Form. Passwörter sollte man ohnehin nie doppelt verwenden, und sie sollten nach Möglichkeit min. 10 Zeichen lang sein, und nicht nur Buchstaben, sondern auch Zahlen und Sonderzeichen enthalten. Mailadresse als Passwort? Lang und das @ ist als Sonderzeichen drin – trotzdem absolut ungeeignet, weil wahrscheinlich weithin bekannt. Und, was sehr viele User leider nicht machen: Man sollte regelmäßig das Passwort ändern.
Ich höre von Kunden, die das nicht beherzigt und Schaden erlitten haben, oft den Spruch: Ich kann mir die vielen Passwörter nicht merken. Man muss ja nicht die ganze Zeichenfolge ändern, es reicht oft, einige Zeichen zu tauschen. Außerdem gibt es sog. Passwort-Safes, das sind gute und bequeme Lösungen.
Nächster Punkt: Wenn ich wirklich jemandem eine Datei oder einen Ordner freigebe, dann verwende ich dafür NIE Passwörter, die irgendwas mit dem Hauptpasswort für die Cloud zu tun haben. Es gibt da einige recht einfache Schemata, die man nutzen kann.
Beispiel: Ich will einem Freund mit dem Namen Jan heute eine Datei zugänglich machen, dann lautet das Passwort z.B. jan[at]cloud-20-08-2014-[xy] Es ist also das Datum mit drin, anstelle von [at] steht im richtigen Passwort das @-Zeichen als Sonderzeichen, und die beiden abschließenden Zeichen [xy] setze ich willkürlich, mal Zahlen, mal Buchstaben, mal kombiniert. Dieses Schema lässt sich für den Dateiempfänger recht leicht merken, man kann es vorab in einer Mail mitteilen und ich nenne in der Mail mit dem Link zur Datei dann nur noch die letzten beiden Zeichen. Selbst wenn jemand diese Mail in die Finger bekommt, hat er nur die beiden letzten Zeichen. Das eigentliche Schema muss er erst einmal kennen. Und nein, ich verwende für meine Freigaben ein anderes Schema, nicht das als Beispiel gezeigte 😉

Einige Anbieter vergeben die Passwörter automatisch. Diese Passwörter sind wahllos zusammengestellt und haben keinerlei Bezug zu irgendwelchen Login-Daten. man sollte aber darauf achten, dass das Passwort vom Cloudhoster dann in einer zweiten Mail zugesendet wird. Aber das machen die meisten Anbieter so.

Wenn der Cloudhoster die Daten nicht automatisch verschlüsselt, sollte man sich eine gute Software besorgen, die das erledigt – und auch die muss nicht zwingend etwas kosten. Eine solche Software kann man als zusätzliche Sicherheit auch bei den meisten Hostern einsetzen, die die Daten von Haus aus verschlüsseln.

Wenn man einigermaßen vernünftig mit seinem Cloud-Speicher umgeht, kann man ihn auch als sicher betrachten. Bestimmt ist die E-Mail-Lösung viel einfacher. Sicherer ist sie aber nicht unbedingt. Man sollte sich darüber klar sein, dass die Gefahr, dass eine E-Mail beim Versand abgefangen wird, genauso hoch, wenn nicht sogar noch höher ist. Mit „abgefangen“ meine ich „jemand liest mit“. Dafür muss ein Hacker nicht besonders begabt sein, denn viele E-Mails werden immer noch unverschlüsselt versendet.

Falls nun noch jemand Fragen zu diesem Thema hat: Ich bin unter der Woche sehr selten auf FB, heute auch nur, eben weil ich besorgte Mails bekommen habe. Es nutzt also wenig, mir eine PN zu senden, wenn eine zeitnahe Antwort gewünscht ist.
Ihr könnt mir aber gerne eine Mail an info@chris-mckay.de senden, die Mailadresse frage ich mindestens einmal am Tag ab.

Ein Kommentar

  1. Ich danke Dir für diese Informationen! Finde ich extrem nützlich, und das ist bestimmt nicht nur für Autoren interessant. Nochmal danke!
    Gruß, Peter

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *