Diplomatic Council warnt vor unsicheren Cloud-Services zur Datenübertragung

Dr. Thomas Lapp, Chairman des Global Information Security Forum im Diplomatic Council: Ähnliche Funktionen, aber gravierende Unterschiede bei der Sicherheit

· TeamDrive und Secure Data Space von SSP Europe sind die sichersten Sync & Share Cloud Service

· Ende-zu-Ende-Verschlüsselung, Zero Knowledge und hybride Datenspeicherung sind die wichtigsten Sicherheitskriterien

Berlin / New York, 9. Februar 2017 – Das Diplomatic Council (DC, www.diplomatic-council.org), ein globaler Think Tank, der die Vereinten Nationen berät, hat gemeinsam mit der Nationalen Initiative für Informations- und Internet-Sicherheit (NIFIS) einen aktuellen Bericht über sogenannte „Cloud Sync & Share Services“ vorgelegt, also Internetdienste zur Synchronisation von Daten über unterschiedliche Geräte hinweg. Hierbei hat die „Denkfabrik“ bei annähernd gleichem Leistungsumfang der Dienste „gravierende Unterschiede bezüglich Datensicherheit und Datenschutz“ festgestellt. Am sichersten sind dem Bericht zufolge der deutsche Service TeamDrive und der Secure Data Space von SSP Europe.

Drei Kriterien für Sicherheit

Gängige Alternativen von US-Anbietern wie Dropbox, Box, Google Drive oder Microsoft One Drive werden ausdrücklich nicht empfohlen, weil sie laut Report „wesentliche Sicherheitskriterien wie Ende-zu-Ende-Verschlüsselung, Zero-Knowledge-System und eine hybride Datenspeicherung nicht unterstützen“. Das Global Information Security Forum des Diplomatic Council stuft diese drei Sicherheitsmerkmale als besonders wichtig ein. Die Ende-zu-Ende-Verschlüsselung sorgt dafür, dass die Daten weder bei der Übertragung noch bei der Speicherung im Internet unverschlüsselt sind. Ein Zero Knowledge-System bedeutet, dass selbst der Anbieter die Daten nicht entschlüsseln und somit auch nicht lesen kann – auch nicht beispielsweise im Falle einer behördlichen Anordnung. Bei einer hybriden Datenhaltung hat der Anwender die Wahl des Speicherortes und kann zusätzliche Klassifizierungen umsetzen. Durch eine redundante Speicherung und eine unveränderbare Versionierung gehen keine Daten verloren, etwa durch technisches Versagen oder einen Angriff aus dem Internet. Die Daten bleiben jeweils wiederherstellbar. In dem Bericht der „Denkfabrik“ wird eine hybride Datenhaltung als „K.o.-Kriterium bei der Auswahl eines Cloud-basierten Sync & Share Services“ bezeichnet, damit bei einem Datenverlust in der Cloud nicht auf einen Schlag sämtliche Daten „non-existent“ sind.

Als „bemerkenswert“ bezeichnet der globale Think Tank, dass „die beiden in Deutschland beheimateten Dienste Telekom MagentaCloud und Strato HiDrive auf praktisch allen sicherheitsrelevanten Feldern versagen“. In dem Bericht des Diplomatic Council heißt es wörtlich: „Ohne Ende-zu-Ende-Verschlüsselung, ohne Zero Knowledge-Konzept, ohne hybride Datenspeicherung, ohne Audit-Trail-Space und ohne 2-Faktor-Authentifizierung lässt sich beiden Services keine Vertraulichkeit und Sicherheit bescheinigen“.

Ein Audit-Trail-Space ermöglicht es, jederzeit zu prüfen, wer wann Zugriff auf die Daten hatte und vor allem von wem die Daten geändert, verschoben oder gelöscht wurden, in der Regel über Jahre hinweg. Die 2-Faktor-Authentifizierung sieht vor, dass für jeden Zugang zu den Daten zwei Hürden überwunden werden müssen. Typisches Beispiel: Nach dem Zugangsversuch mittels Passwort im Web wird auf eine zuvor hinterlegte Mobilfunknummer eine PIN gesendet, die zusätzlich ins Web eingegeben werden muss, um die Zugangsberechtigung nachzuweisen.

12 Dienste im Vergleich

Insgesamt hat das Diplomatic Council für die Untersuchung zwölf Cloud-basierte Sync & Share Services ins Visier genommen: Dropbox, Box, Google Drive, Microsoft One Drive for business, Spider Oak, Syncplicity, TeamDrive, Secure Data Space, Telekom MagentaCloud, Strato HiDrive, Ctera Portal und Tresorit. Den beiden laut Report sichersten Dienste TeamDrive und Secure Data Space hält das Global Information Security Forum der „Denkfabrik“ auch zugute, dass sie als einzige das deutsche Datenschutz­gütesiegel des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein tragen. Für TeamDrive spricht laut Studie, dass der Dienst als einziger Service vom Deutschen Anwaltverein (DAV) für Berufsgeheimnisträger wie Anwälte und Notare empfohlen wird. Als Berufsgeheimnisträger nennt das Strafgesetzbuch der Bundesrepublik Deutschland beispielsweise auch Amtsträger, Ärzte, Steuerberater, Wirtschaftsprüfer und für den öffentlichen Dienst Verpflichtete. Bei Zuwiderhandlung droht eine Gefängnisstrafe von bis zu einem Jahr. Nach Einschätzung des Sicherheitsforums im Diplomatic Council ist ein Service, der diesem hohen Anspruch genügt, auch für die Industrie empfehlenswert.

Dr. Thomas Lapp, Chairman des Global Information Security Forum im Diplomatic Council und Vorsitzender der Nationalen Initiative für Informations- und Internet-Sicherheit, erklärt: „Es ist zu hoffen, dass die Betreiber aller Dienste alsbald die Sicherheitsmängel ihrer Services erkennen und schnellstmöglich nachbessern. Ein hohes Sicherheitsniveau liegt im Interesse aller Beteiligten.“

Das Diplomatic Council (UNO reg.) ist ein bei den Vereinten Nationen mit Beraterstatus akkreditierter globaler Think Tank zur Verbindung von Diplomatie, Wirtschaft und Gesellschaft. Hierzu verknüpft das Diplomatic Council ein weltweites Wirtschaftsnetzwerk mit der Ebene der diplomatischen Kommunikation. Als Mitglieder sind gleichermaßen Diplomaten und Persönlichkeiten aus Wirtschaft und Gesellschaft sowie verantwortungsbewusste Unternehmen, wissenschaftliche Forschungs- und akademische Bildungs­einrichtungen willkommen.