An dieser Stelle haben wir schon des Öfteren auf die Gefahren von Cyberangriffen hingewiesen. Dass es sich dabei keineswegs um eine abwegige Utopie handelt, sondern um ein sehr präsentes Risiko, unterstreicht der kürzliche Vorfall bei «Hellocut». Hellocut ist der schweizweit grösste Anbieter eines Online-Buchungs- und Kassenystems für Coiffeure und hat am 15. November 2018 durch einen Cyberangriff vorübergehend sämtliche Daten verloren – einschliesslich der Daten aller angeschlossenen Salons. Für die betroffenen Betriebe eine äusserst unangenehme Situation und für uns ein Grund zu hinterfragen, inwiefern der Betreiber, aber auch die Kunden selbst, ihren Sorgfaltspflichten nachgekommen sind.

Was ist aus Sicht Everyday IT schiefgelaufen?

Die verheerenden Auswirkungen des Angriffs legen nahe, dass der Anbieter seine IT nicht im Griff hatte. Das ist für den Kunden nicht ohne Weiteres ersichtlich und der Kunde kann es auch nur sehr eingeschränkt beeinflussen.

Andererseits haben sich die Kunden wohl auch zu wenig dafür interessiert, wie ihre geschäftskritischen Daten gespeichert werden.

Dazu ist nun folgendes festzuhalten:

• Jeder Internet-Teilnehmer – auch Sie – kann jederzeit Opfer solcher Angriffe werden.
• Beim Speichern von geschäftsrelevanten Daten sollten Sie daher immer im Vorfeld mögliche Risiken abklären und bewerten. Diese Aufgabe können Sie auch jemandem übertragen.
• Überschreiten bei den identifizierten Risiken die Eintretenswahrscheinlichkeit und das Schadenpotenzial ein bestimmtes Mass (nämlich die Risiko-Toleranzgrenze), müssen Vorkehrungen getroffen werden.
• Da die Aufbewahrung kritischer Geschäftsdaten von höchster Wichtigkeit ist, ist die Risiko-Toleranzgrenze dementsprechend tief. Also muss hier genau hingeschaut werden!

Informationssicherheit: Elementares Kriterium bei der Anbieterwahl

Im Fall der Nutzung von Cloud-Diensten würde es also beispielsweise Sinn machen, sich beim Anbieter nach dessen Schutzmassnahmen zu erkundigen. Bei nicht überzeugenden Antworten sollte entweder ein anderer Anbieter berücksichtigt oder – sofern möglich – die Schutzziele durch eigene Massnahmen gewährleistet werden.

Wer sollte diese Abklärungen vornehmen?

Das Einholen, Einordnen und Bewerten der Auskünfte sollte durch jemanden erfolgen, der die Wirksamkeit der Massnahmen auch tatsächlich beurteilen kann. Denn was für einen Laien zufriedenstellend klingen mag, muss noch lange keinen effektiven Schutz bedeuten. Es lohnt sich, in dieser wichtigen Phase eine Fachperson beizuziehen, welche die Abklärungen erst noch sehr viel schneller und damit kostengünstig erledigen kann.

Sicherheit ist auch eine Vertrauensfrage. Gerne empfehlen wir uns in Informatikfragen als zuverlässigen Partner.

Unter Cloud Speicher versteht man Speicherplatz, der ausschliesslich über das Internet zugänglich ist. Anbieter gibt es viele und nicht alle schneiden in Sachen Datenschutz und Datensicherheit gut ab. Aber was sind sinnvolle Kriterien, die für einen Anbieterentscheid angelegt werden können?

Standort des Anbieters

Zuallererst sollte man sich klarmachen, dass man mit der Nutzung von Cloud Speicher seine Daten einem Dritten weitergibt.

Da im Internet viele Daten von Nachrichtendiensten systematisch aufgezeichnet und ausgewertet werden, ist gerade bei ausländischen Anbietern wie z. B. Dropbox, Microsoft, Google etc. Vorsicht geboten. Besseren Schutz bieten Anbieter aus der Schweiz, welche die Daten ausschliesslich in der Schweiz speichern. Das schützt zwar nicht komplett vor Spionage, erschwert den Zugriff für ausländische Nachrichtendienste aber deutlich. Ein weiterer Vorteil ist, dass in der Schweiz strengere Datenschutzgesetze gelten als in vielen anderen – vor allem nicht europäischen – Ländern.

Schutz vor Passwort-Missbrauch

Selbstverständlich sollte immer ein sicheres Passwort verwendet werden. Doch selbst das sicherste Passwort ist wirkungslos, sollte es in falsche Hände geraten.

Entscheiden Sie sich daher für einen Anbieter, der die Anmeldung mit Zwei-Faktor-Authentifizierung unterstützt und nutzen Sie dieses Feature auch. Dabei wird ergänzend zum Passwort ein Bestätigungscode abgefragt, welcher zuvor separat übermittelt wurde – meist auf das Mobiltelefon. Selbst wenn also einem Angreifer das Passwort bekannt sein sollte, bräuchte er immer noch Zugang zum Mobiltelefon des entsprechenden Benutzers, um auf dessen Daten zuzugreifen.

Sichere Datenübertragung

Verwenden Sie auf jeden Fall einen Dienst, der Ihre Daten verschlüsselt überträgt. Im Browser ist dies z. B. der Fall, wenn am Anfang der Adresszeile «https://» steht und ein Schloss-Symbol angezeigt wird. Werden die Daten nicht gesichert übertragen, sind diese für Unbefugte einsehbar!

Auch wenn Sie den Cloud Dienst über ein installiertes Programm nutzen, muss sichergestellt sein, dass die Daten über eine verschlüsselte Verbindung übermittelt werden.

Sichere Datenspeicherung

Bei Cloud Speichern vertrauen Sie Ihre Daten einem Dritten zur Aufbewahrung an. Besonders kritisch wird die Nutzung von Cloud Diensten, wenn dort sensible oder sogar besonders schützenswerte Daten fremder Personen gespeichert werden. Bei letzterem kann zudem schnell ein Verstoss gegen das Datenschutzgesetz (DSG) vorliegen.

Dem Schutzziel der Vertraulichkeit ist also besondere Aufmerksamkeit zu schenken. Die meisten Cloud Anbieter speichern heutzutage die Daten zwar verschlüsselt ab. Vor neugierigen Blicken des Anbieters selbst schützt diese Massnahme aber nicht zwingend.

Indem Sie auf einen Anbieter mit Zero-Knowledge-Architektur setzen, hat niemand ausser Ihnen die Schlüssel zu Ihren Daten, nicht einmal der Anbieter. Dies ist der derzeitige Goldstandard, um Ihre Daten in der Cloud zu schützen.

Grundsatzfragen klären

Neben der Auswahl eines geeigneten Anbieters stellen sich auch ganz grundsätzliche Fragen:

• Welche Daten sollten überhaupt in die Cloud ausgelagert werden?
• Wie sind diese Daten vor Verlust geschützt?
• Erfüllt der anvisierte Anbieter mein Schutzbedürfnis?

Zu wenig Zeit, sich mit dem Thema selbständig auseinanderzusetzen? Dann freuen wir uns auf Ihre Kontaktaufnahme. In einem Proof of Concept klären wir für Sie, welche Daten mit welchen Konsequenzen in die Cloud ausgelagert werden können. Wir sind mit allen im Artikel genannten Technologien per Du – und mit vielen anderen mehr.

Unter Datensynchronisation versteht man den Abgleich von Daten zwischen zwei oder mehreren Geräten. Dabei werden die Daten untereinander ausgetauscht, so dass jedes Gerät die neuesten Daten enthält. Ein bekanntes Beispiel für Datensynchronisation ist der Abgleich von Adressdaten und Terminen zwischen einem Mobiltelefon und einem Computer. In diesem Fall bringt die Datensynchronisation vor allem Komfortgewinn.

Die Datensynchronisation kann allerdings auch verwendet werden, um durch mehrfaches Vorhandensein von Informationen (Redundanz) die Verfügbarkeit und Datenintegrität eines Systems zu erhöhen. Dazu wird beispielsweise der Inhalt einer Festplatte 1:1 auf eine oder mehrere andere Festplatten «gespiegelt». Fällt eine Festplatte aus, können die verbleibenden Platten weiterhin alle Daten liefern. Zum Totalverlust der Daten führt erst der Ausfall aller Platten.

Dasselbe Prinzip lässt sich nicht nur für Festplatten, sondern auch für Server und sogar ganze Rechenzentren anwenden. Um die Sicherheit und Verfügbarkeit maximal zu erhöhen, kann es zudem durchaus Sinn machen, die Daten auf eine geografisch entfernte Infrastruktur zu spiegeln (Geo-Redundanz). Sollte nämlich die lokale Infrastruktur durch eine Katastrophe zerstört werden, sind die Daten immer noch auf einer örtlich getrennten Infrastruktur vorhanden.

Durch die Nutzung eines Cloudspeicherdienstes lassen sich nun die Anforderungen an Komfort und Sicherheit recht gut verbinden. Bei der Synchronisation seiner Daten mit einem Filehosting-Dienst mit all seinen Annehmlichkeiten handelt es sich nämlich um nichts anderes als die Herstellung eines georedundanten Abbilds – aus Sicht der Informationssicherheit und im Speziellen der Verfügbarkeit also ein wünschenswerter Zustand.

Allerdings muss besonders bei sensitiven Daten dringend auch einem weiteren Ziel der Informationssicherheit die nötige Beachtung geschenkt werden: Der Vertraulichkeit. Und diese ist bei weitem nicht bei allen Anbietern gewährleistet. So heisst es beispielsweise in den aktuellen Google-Nutzungsbedingungen (Stand 25. Oktober 2017): «Wenn Sie Inhalte in oder über unsere Dienste hochladen […], räumen Sie Google (und denen, mit denen wir zusammenarbeiten) das Recht ein, diese Inhalte weltweit zu verwenden, […] zu vervielfältigen, […] zu kommunizieren, […] öffentlich anzuzeigen […].» Wohlgemerkt, diese Bestimmung gilt bei Google nicht nur für die kostenlosen, sondern auch für die kostenpflichtigen Angebote. Daher muss vor der Nutzung von Filehosting-Diensten immer eine realistische Einschätzung über mögliche Folgeschäden vorgenommen werden, sollten die Daten in falsche Hände geraten. Schliesslich muss basierend auf dieser Einschätzung eine Lösung evaluiert werden, welche den festgestellten Schutzbedarf garantiert.