Sicherheitslücken, Datenklau, Staatstrojaner. Geht es um den Umgang mit personenbezogenen oder unternehmenskritischen Daten, ist aller höchste Vorsicht geboten. Im Kontext der aktuellen Gemengelage von politischen und wirtschaftlichen Interessen bietet vor allem die Verschlüsselung von Daten maximale Sicherheit. Doch auch dort liegt der Teufel im Detail.
Gleich zu Beginn dieses Jahres handelte sich Innenstaatssekretär Stephan Mayer in der Talkrunde „Maybrit Illner“ mit Aussagen zum Staatstrojaner viel Kritik ein. So verneinte er die Frage, ob sich der Staat für die umstrittene Überwachungsmethode Sicherheitslücken bewusst zunutze mache und gar aufkaufe und damit die Sicherheit der Daten von Millionen Menschen gefährde – eine (auch technische) Tatsache, die das BKA längst eingeräumt hatte. Besonders schwer wiegt aber vor allem seine Aussage, die Bürger und Unternehmen trügen schließlich auch selbst eine gewisse Verantwortung. Ungeachtet der Tatsache, dass zweifelsohne ein neues Sicherheitsbewusstsein vonnöten ist, zeigt diese Aussage: Mit einer Fürsorgepflicht des Staates ist nicht zu rechnen. Beim Thema Datensicherheit gilt vielmehr: Wer sich auf andere verlässt, ist verlassen.
IT-Sicherheitslücken lauern überall
Fakt ist, dass im Zeitalter der Digitaliserung und globalen Vernetzung in Sachen Datensicherheit höchste Vorsicht geboten ist. Daten sind zu einer wertvollen Währung geworden, mit der Konzerne mehr oder weniger transparent handeln, und sie werden zum Druckmittel oder gar zur Waffe, wenn Sie in unbefugte Hände geraten. Dabei ist das Thema Sicherheit längst nicht mehr nur ein technisches und schon gar nicht mit der Installation und Pflege einer Firewall Genüge getan. Die Gefahren sind vielfältig und reichen von der Technologie über menschliches Fehlverhalten bis hin zu kriminellen Geschäftspraktiken oder gezielten Angriffen.
Facebook etwa ist eines der prominentesten Beispiele für Unternehmen, die aufgrund ihrer Geschäftspraktiken immer wieder in der Kritik stehen: So schützen sie die Daten ihrer Nutzer nicht ausreichend und nehmen gar Datenlecks bewusst in Kauf. Ende 2018 wurde bspw. bekannt, dass Facebook über offengehaltene „Backdoors“ im Kleingedruckten Geschäftspartnern Daten seiner Nutzer verkaufte – ohne deren Einwilligung – und obwohl sich das Unternehmen öffentlich von diesen Praktiken längst losgesagt hatte.[1] Die Fachwelt verwundert dies indes nicht. Für sie ist klar – wer einen kostenlosen Dienst in Anspruch nimmt, zahlt in aller Regel mit seinen Daten.
Ein massives Sicherheitsproblem stellen zudem unzulängliche Passwörter dar. Diese machen es Kriminellen auch gerade im Falle eines „Leaks“ einfach, weitere Zugangsdaten zu erschließen. Selbst namhafte Unternehmen werden Opfer von Angriffen, da nicht konsequent auf eine Mehrfach-Authentisierung gesetzt wird. Experten gehen davon aus, dass allein im privaten Kontext bereits über sechs Milliarden Accounts gehackt wurden. [2]
Typische Risikofaktoren sind darüber hinaus unsichere Serverumgebungen, wie z. B. private Clouds oder veraltete Software bzw. das Nicht-Aufspielen von Updates. Und nicht zuletzt treiben Krypto-Trojaner und seit jüngstem sogenannte Krypto-Miner ihr Unwesen. Während Krypto-Trojaner als digitale Schutzgeld-Erpressung darauf abzielen, Daten in einem System zu verschlüsseln und für die Herausgabe des Schlüssels Unsummen Geld zu erpressen, erfolgt der Einsatz von Krypto-Minern zum heimlichen Schürfen von Krypto-Geld auf fremden PCs.
Datenverschlüsselung ohne Backdoor
Nicht nur Unternehmen und Organisationen, auch Privatpersonen müssen sich daher der Gefahren im Netz bewusst sein und einige Sicherheitsmaßnahmen beherzigen, die kein Experten-Know-how bedürfen. Denn auch die Aussagen von Regierungsvertretern zeigen immer wieder, dass Datensicherheit vor allem in der eigenen Verantwortung liegt.
Eine recht praktische und einfach umsetzbare Empfehlung für eine hohe Passwortsicherheit ist z. B. der Einsatz eines Passwortgenerators, der dann – verschlüsselt in einer Cloud – auf allen Geräten synchronisiert werden kann. Den wirksamsten Schutz vor einem Datenklau und -missbrauch bietet aber zweifelsohne eine Vollverschlüsselung der Daten. Im Falle eines Befalls z. B. durch Ransomware kann dann in einem „Snapshot“ die nicht-verschlüsselte Version der Daten einfach wiederhergestellt werden. Über einige File-Sharing-Dienste etwa lassen sich intuitiv und schnell Daten Ende-zu-Ende verschlüsseln, inklusive Zero-Knowledge-Ansatz der Diensteanbieter. Das heißt: Die Schlüssel werden nicht auf dem Server gespeichert, wodurch nicht einmal die Server-Administratoren auf die Daten zugreifen können. Der Code muss allerdings Open-Source-Software sein, anderenfalls bleibt die Gefahr versteckter Backdoors bestehen. Dies ist z. B. bei der Chat-Verschlüsselung von WhatsApp der Fall. Bis heute gilt diese nur für Android-Nutzer und endet, sobald z. B. ein iPhone-Nutzer im Spiel ist. Für eine unabhängige Bewertung der Sicherheitssituation hilft hier weder ein Blick in das „Kleingedruckte“ noch in den ChangeLog. [3] Sind die genannten Voraussetzungen hingegen erfüllt, liegt es allein in der Hand der Nutzer zu entscheiden, wem sie den Schlüssel anvertrauen wollen.
Welche Rolle für die Datensicherheit eine Datenverarbeitung in Deutschland bzw. ISO-zertifizierte Rechenzentren spielen – da datenschutzkonform, unabhängig von Big Playern wie Amazon, Google oder Microsoft – ist im Grunde vielen durchaus bewusst. Es hält sich jedoch hartnäckig die Meinung, dass die deutschen Cloud-Angebote vergleichsweise teuer seien. Auch hier gilt grundsätzlich, sich für eine Währung zu entscheiden – Daten oder Geld. Gleichzeitig zeigt ein kleines Rechenbeispiel, dass durchaus eine neue Bewertung vonnöten ist: Ausgehend von einer 100 GB Cloud, fünf Nutzern und E-Mail-Adressen mit einer 5 GB-Mailbox – eine realistische Anforderungen eines kleinen Unternehmens – ist mit erträglichen Kosten in Höhe von 324 Euro pro Jahr bzw. 27 Euro im Monat zu rechnen.
Strukturierung nach Grad des Schutzbedürfnisses
Die hohe Datensicherheit hat aber noch einen anderen Preis. Denn mit ihr gehen einige Dinge verloren, deren Vorteile mancher User durchaus liebgewonnen haben könnte. So ist die externe Datenfreigabe über einen Link genauso wenig flexibel möglich wie ein Online-Streaming oder die Nutzung von Features zur Bearbeitung von Dateien, wie sie bspw. in Office-Word-Excel möglich sind. Die Daten müssen immer erst auch vom Empfänger entschlüsselt werden, was den Einsatz einer Entschlüsselungssoftware bzw. eines Nutzer-Accounts voraussetzt. Hier gilt es die Vorteile und Gefahren sorgfältig gegeneinander abzuwägen.
Eine Lösung kann zukünftig sein, Daten hinsichtlich ihres Schutzbedürfnisses zu strukturieren und entsprechend zu „behandeln“. Nutzer müssen folglich bewerten, wie sensibel welche Daten sind, wer hierauf Zugriff haben soll und welche Daten z. B. auch eine externe Freigabe bedürfen. Mit Open-Source-basierten Diensten inklusive Zero-Knowledge-Verschlüsselung wie z. B. luckycloud lässt sich auf dieser Basis eine Bibliotheksstruktur erstellen – sozusagen ein Mix aus verschlüsselten und unverschlüsselten Bibliotheken – die mit lokalen Ordnern synchronisiert werden. Über das Web lassen sich dann Daten an Team-Mitglieder verteilen. Verfügt ein Unternehmen zudem über einen netzwerkgebundenen Speicher (NAS) oder einen Server, bieten Dienstleister die Installation eines Clients bzw. im Falle von NAS-Geräten die Nutzung einer App an, mit dem sich die Geräte einfach und sicher – da verschlüsselt – mit der Cloud synchronisieren können. Die Notwendigkeit eines zweiten Geräts entfällt.
Das Kleingedruckte zählt
Die Brisanz des Themas Datensicherheit wird in Zukunft weiter zunehmen. Umso wichtiger ist die bewusste Auseinandersetzung mit den Gefahren und den verschiedenen Möglichkeiten zum Schutz sensibler Informationen. Über kurz oder lang wird in diesem Kontext Datenverschlüsselung sowohl im wirtschaftlichen als auch im privaten Bereich an Bedeutung gewinnen. Entsprechende Angebote gibt es bereits. Doch auch hier ist Vorsicht geboten. Gut beraten ist, wer bei der Auswahl eines Dienstes auf Server-Standort, Open-Source-Software und Zero-Knowledge-Politik eines Anbieters achtet.
Autor: Luc Mader, Gründer und Geschäftsführer luckycloud
[1]https://www.sueddeutsche.de/digital/facebook-nutzer-daten-e-mails-1.4241578?fbclid=IwAR1qemPcP4onhplMF8p02r1v50WS7c6Sil6QjsaEopzu_5XqZhypZEi27zQ [2]https://www.netzpiloten.de/gestohlene-passwoerter/?fbclid=IwAR0gv9-p_KcaWcRhX43w4hjqvXSA4zymW8CANW2pEz2YCi9pi43TKrmpNww [3]https://www.zeit.de/digital/internet/2015-05/whatsapp-verschluesselung-chat