Think-Tank prüft Cloud Sync & Share Services – nur einer bestand
Mit »TeamDrive« von überall Zugriff auf die Daten: von Windows, Mac, Linux, iOS, oder Android (Bild: Teamdrive)Sogenannte »Cloud Sync & Share Services«, also Internetdienste zur Synchronisation von Daten über unterschiedliche Geräte hinweg, boomen bei Privatanwendern weltweit. Aber auch die Business-Varianten, allgemein als »Enterprise File Sync & Share« bezeichnet, erfreuen sich rasch steigender Beliebtheit. Aus diesem Grund hat das Diplomatic Council (DC), ein globaler Think-Tank, der die Vereinten Nationen berät, gemeinsam mit der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) solche Services genauer unter die Lupe genommen.
Die Prüfkriterien waren hart – und deshalb hat mit dem deutschen Service TeamDrive nur einer von zwölf untersuchten Lösungen in allen Punkten bestanden. Teamdrive darf sich jetzt mit dem Label »der sicherste Sync & Share Cloud Service« schmücken.
Features waren bei allen Lösungen relativ ähnlich – aber bei Datensicherheit und Datenschutz gibt’s Unterschiede
Generell wurden bei annähernd gleichem Leistungsumfang der Dienste bei vielen Lösungen »gravierende Unterschiede bezüglich Datensicherheit und Datenschutz« festgestellt. Ende-zu-Ende-Verschlüsselung, Zero-Knowledge und hybride Datenspeicherung waren die wichtigsten Sicherheitskriterien bei der Beurteilung.
Gängige Alternativen von US-Anbietern wie Dropbox, Box, Google Drive oder Microsoft OneDrive werden ausdrücklich nicht empfohlen, weil sie laut Report »wesentliche Sicherheitskriterien wie Ende-zu-Ende-Verschlüsselung, Zero-Knowledge-System und eine hybride Datenspeicherung nicht unterstützen«. Das Global Information Security Forum des Diplomatic Council stuft diese drei Sicherheitsmerkmale als besonders wichtig ein.
Darum geht’s bei den drei bedeutenden Sicherheitsmerkmalen
► Die Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die Daten weder bei der Übertragung noch bei der Speicherung im Internet unverschlüsselt sind.
► Ein Zero-Knowledge-System bedeutet, dass selbst der Anbieter die Daten nicht entschlüsseln und somit auch nicht lesen kann – auch nicht beispielsweise im Falle einer behördlichen Anordnung.
► Bei einer hybriden Datenhaltung hat der Anwender die Wahl des Speicherortes und kann zusätzliche Klassifizierungen umsetzen. Durch eine redundante Speicherung und eine unveränderbare Versionierung gehen keine Daten verloren, etwa durch technisches Versagen oder einen Angriff aus dem Internet. Die Daten bleiben jeweils wiederherstellbar.
In dem Bericht des Think-Tanks wird eine hybride Datenhaltung als »K.o.-Kriterium bei der Auswahl eines Cloud-basierten Sync & Share Services« bezeichnet, damit bei einem Datenverlust in der Cloud nicht auf einen Schlag sämtliche Daten »non-existent« sind.
Keine guten Noten für Telekom MagentaCloud und Strato HiDrive
Als »bemerkenswert« bezeichnet der Think-Tank, dass »die beiden in Deutschland beheimateten Dienste Telekom MagentaCloud und Strato HiDrive auf praktisch allen sicherheitsrelevanten Feldern versagen«. In dem Bericht des Diplomatic Council heißt es wörtlich: »Ohne Ende-zu-Ende-Verschlüsselung, ohne Zero-Knowledge-Konzept, ohne hybride Datenspeicherung, ohne Audit-Trail-Space und ohne 2-Faktor-Authentifizierung lässt sich beiden Services keine Vertraulichkeit und Sicherheit bescheinigen«.
Ein Audit-Trail-Space ermöglicht es, jederzeit zu prüfen, wer wann Zugriff auf die Daten hatte und vor allem von wem die Daten geändert, verschoben oder gelöscht wurden, in der Regel über Jahre hinweg. Die 2-Faktor-Authentifizierung sieht vor, dass für jeden Zugang zu den Daten zwei Hürden überwunden werden müssen. Typisches Beispiel: Nach dem Zugangsversuch mittels Passwort im Web wird auf eine zuvor hinterlegte Mobilfunknummer eine PIN gesendet, die zusätzlich ins Web eingegeben werden muss, um die Zugangsberechtigung nachzuweisen.
Teamdrive wird vom Deutschen Anwaltverein empfohlen
Insgesamt hat das Diplomatic Council für die Untersuchung zwölf Cloud-basierte Sync & Share Services ins Visier genommen: Dropbox, Box, Google Drive, Microsoft One Drive for business, Spider Oak, Syncplicity, Teamdrive, SSP Europe, Telekom MagentaCloud, Strato HiDrive, Ctera Portal und Tresorit. Dem laut Report sichersten Dienst Teamdrive hält das Global Information Security Forum der Denkfabrik auch zugute, dass er als einziger das deutsche Datenschutzgütesiegel des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein trägt, und als einziger Service vom Deutschen Anwaltverein (DAV) für Berufsgeheimnisträger wie Anwälte und Notare empfohlen wird. Als Berufsgeheimnisträger nennt das Strafgesetzbuch der Bundesrepublik Deutschland beispielsweise auch Amtsträger, Ärzte, Steuerberater, Wirtschaftsprüfer und für den öffentlichen Dienst Verpflichtete. Bei Zuwiderhandlung droht eine Gefängnisstrafe von bis zu einem Jahr. Nach Einschätzung des Sicherheitsforums im Diplomatic Council ist ein Service, der diesem hohen Anspruch genügt, auch für die Industrie empfehlenswert.
»Es ist zu hoffen, dass die Betreiber aller Dienste alsbald die Sicherheitsmängel ihrer Services erkennen und schnellstmöglich nachbessern«, sagt Dr. Thomas Lapp, Chairman des Global Information Security Forum im Diplomatic Council und Vorsitzender der NIFIS. »Ein hohes Sicherheitsniveau liegt im Interesse aller Beteiligten.«
- Diplomatic Council
- Teamdrive
- speicherguide.de-Blog über die Folgen ungeschützter Daten in kostenlosen US-Clouds
- So geht’s: File-Austausch und Synchronisierung ohne Schatten-IT
- speicherguide.de-Kommentar: Kontrolle über die Daten in der Cloud nicht abgeben
- Cloud-Storage: Fraunhofer warnt vor Dropbox und Co
- Mehr Infos über die Cloud, Cloud-Computing und Cloud-Storage im speicherguide.de-Schwerpunkt