Berlin, Starnberg, 20. Febr. 2017 - Neuer Report sieht ähnliche Funktionalitäten, aber gravierende Unterschiede bei der Sicherheit einzelner Anbieter...
Zum Hintergrund: Ende-zu-Ende-Verschlüsselung, Zero Knowledge und hybride Datenspeicherung sind laut einer aktuellen Untersuchung die wichtigsten Sicherheitskriterien beim Thema Sync & Share Cloud Services. Das Diplomatic Council (DC), ein globaler Think Tank, der die Vereinten Nationen berät, hat gemeinsam mit der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) einen aktuellen Bericht über sogenannte „Cloud Sync & Share Services“ vorgelegt, also Internetdienste zur Synchronisation von Daten über unterschiedliche Geräte hinweg. Hierbei wurden laut DC bei annähernd gleichem Leistungsumfang der Dienste „gravierende Unterschiede bezüglich Datensicherheit und Datenschutz“ festgestellt. Am sichersten ist dem Bericht zufolge der deutsche Service TeamDrive.
Drei Kriterien für Sicherheit
Gängige Alternativen von US-Anbietern wie Dropbox, Box, Google Drive oder Microsoft One Drive werden demnach ausdrücklich derzeit nicht empfohlen, weil sie laut Report „wesentliche Sicherheitskriterien wie Ende-zu-Ende-Verschlüsselung, Zero-Knowledge-System und hybride Datenspeicherung aktuell nicht unterstützen“. Das Global Information Security Forum des Diplomatic Council stuft diese drei Sicherheitsmerkmale in seinem Report als besonders wichtig ein.
Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die Daten weder bei der Übertragung noch bei der Speicherung im Internet unverschlüsselt sind.
Zero Knowledge-System bedeutet, dass selbst der Anbieter die Daten nicht entschlüsseln und somit auch nicht lesen kann – auch nicht beispielsweise im Falle einer behördlichen Anordnung.
Die hybride Datenhaltung gibt dem Anwender die Wahl des Speicherortes und kann zusätzliche Klassifizierungen umsetzen. Durch eine redundante Speicherung und eine unveränderbare Versionierung gehen keine Daten verloren, etwa durch technisches Versagen oder einen Angriff aus dem Internet. Die Daten bleiben jeweils wiederherstellbar.In dem Bericht wird eine hybride Datenhaltung zudem als „K.o.-Kriterium bei der Auswahl eines Cloud-basierten Sync & Share Services“ bezeichnet, damit bei einem Datenverlust in der Cloud nicht auf einen Schlag sämtliche Daten „non-existent“ sind.
Ein Audit-Trail-Space ermöglicht es, jederzeit zu prüfen, wer wann Zugriff auf die Daten hatte und vor allem von wem die Daten geändert, verschoben oder gelöscht wurden, in der Regel über Jahre hinweg. Die 2-Faktor-Authentifizierung sieht vor, dass für jeden Zugang zu den Daten zwei Hürden überwunden werden müssen. Typisches Beispiel: Nach dem Zugangsversuch mittels Passwort im Web wird auf eine zuvor hinterlegte Mobilfunknummer eine PIN gesendet, die zusätzlich ins Web eingegeben werden muss, um die Zugangsberechtigung nachzuweisen.
12 Dienste im Vergleich
Insgesamt hat das Diplomatic Council für die Untersuchung zwölf Cloud-basierte Sync & Share Services betrachtet: Dropbox, Box, Google Drive, Microsoft One Drive for business, Spider Oak, Syncplicity, TeamDrive, SSP Europe, Telekom MagentaCloud, Strato HiDrive, Ctera Portal und Tresorit.
Dem laut Report sichersten Dienst TeamDrive hält das Global Information Security Forum ferner zugute, dass er als einziger das deutsche DatenschutzGütesiegel des unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein trägt und als einziger Service vom Deutschen Anwaltverein (DAV) für Berufsgeheimnisträger wie Anwälte und Notare empfohlen wird (als Berufsgeheimnisträger nennt das Strafgesetzbuch der Bundesrepublik Deutschland beispielsweise auch Amtsträger, Ärzte, Steuerberater, Wirtschaftsprüfer und für den öffentlichen Dienst Verpflichtete). Nach Einschätzung des Sicherheitsforums im Diplomatic Council ist ein Service, der diesen hohen Ansprüchen genügt, damit auch für die Industrie empfehlenswert.
Zitat Dr. Thomas Lapp, Chairman des Global Information Security Forum im Diplomatic Council und Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS): „Es ist zu hoffen, dass die Betreiber aller Dienste alsbald die Sicherheitsmängel ihrer Services erkennen und schnellstmöglich nachbessern. Ein hohes Sicherheitsniveau liegt im Interesse aller Beteiligten.“
Quelle: Das Diplomatic Council (UNO reg.) ist ein bei den Vereinten Nationen mit Beraterstatus akkreditierter globaler Think Tank zur Verbindung von Diplomatie, Wirtschaft und Gesellschaft. Hierzu verknüpft das Diplomatic Council ein weltweites Wirtschaftsnetzwerk mit der Ebene der diplomatischen Kommunikation.