Sicher mit und in der Cloud arbeiten: Was Sie über gute Datenverschlüsselung wissen müssen

Datenskandale, Hackerangriffe, DSGVO-Verstöße und Kritik an der Cyber-Security in Unternehmen: IT-Sicherheit und Datenschutz sind heiß diskutierte Themen. Viele setzen, wenn es um diese Themen geht, auf die Cloud und beruhigen sich damit, dass der Cloudanbieter schon sicher sein wird. Doch die Wahl der Cloud sollte man nicht dem Zufall überlassen und sich mit den Verschlüsselungsmöglichkeiten auseinandersetzen. Deshalb haben wir eine Expertin gefragt: Andrea Pfundmeier, CEO von Boxcryptor.

exali: Frau Pfundmeier, viele denken, wenn sie ihre Daten in eine Cloud hochladen, dann sind sie dort automatisch sicher. Warum ist das nicht so?

Andrea Pfundmeier: Das Speichern von Daten in der Cloud bietet neben einigen Vorteilen auch den großen Nachteil, dass Sie Ihre Daten aus der Hand geben. Als Privatanwender wie auch als Unternehmen geben Sie so bei schützenswerten Daten die Kontrolle ab und verlassen sich erst mal darauf, dass der Cloud-Anbieter die Daten ausreichend vor dem Zugriff Unbefugter schützt.

Als Maßnahme zum Schutz sensibler Daten wird häuft Verschlüsselung genannt – warum sollten Cloud-Daten verschlüsselt werden? Worauf muss man bei der Verschlüsselung von Daten achten?

Verschlüsselung bietet einen zusätzlichen Schutz-Faktor für Ihre Daten. Werden Daten verschlüsselt, sind sie für Dritte nicht mehr in Klartext einsehbar.

Doch nicht alle Anbieter von Cloud-Speichern verschlüsseln Ihre Daten, die Sie in der Cloud ablegen, automatisch. Außerdem sollte Ihnen bewusst sein, dass Cloud-Anbieter, die Ihre vertraulichen Daten verschlüsseln, diese auch wieder entschlüsseln können, denn nicht nur Sie sind im Besitz eines Schlüssels zu den Daten, sondern auch der Anbieter des Speicherplatzes.

 
 
Genau deshalb bieten sich ergänzende Verschlüsselungslösungen wie Boxcryptor an, die auf dem Zero-Knowledge-Prinzip basieren. Zero-Knowledge bedeutet, dass sowohl der Anbieter der Verschlüsselungssoftware wie auch der jeweilige Anbieter des Cloud-Speicherdienstes wortwörtlich „Keine Ahnung“ vom Inhalt Ihrer Dateien haben.

Mit Ende-zu-Ende-Verschlüsselung werden Ihre Dateien bereits vor dem Upload in die Cloud chiffriert und sind somit sowohl auf dem Weg in die Cloud als auch am Speicherplatz angekommen geschützt. So haben potenzielle Angreifer keine Chance, auf die sensiblen Inhalte der Dateien in Klartext zuzugreifen.

Risiko Datenverlust, Quelle: Boxcryptor

 

Was ist Ihrer Meinung nach das größte Risiko, wenn man Clouds nutzt?

Bei einer Cloud müssen Sie sich wenig Sorgen um den Verlust von Daten durch einen Einbruch oder Brand machen, denn die Rechenzentren werden in dieser Hinsicht gut geschützt. Jedoch sollte den Anwenderinnen und Anwendern bewusst sein, dass Ihre ungesicherten Dateien Cyber-Risiken wie Hacking-Attacken ausgesetzt sind. Es gibt zwar nach wie vor Menschen, die behaupten, dass sie nichts zu verbergen haben, aber es wäre für Privatpersonen sicherlich dennoch unangenehm und mit unvorhersehbaren Folgen, wenn Fremde private Dokumente sehen. Unternehmen hingegen müssen seit Inkrafttreten der DSGVO im Mai 2018 strenge Bestimmungen für den Umgang mit personenbezogenen Daten einhalten. Hier drohen bei einem Verstoß hohe Strafen.

Jetzt wo viele im Homeoffice arbeiten, ist die Unternehmenscloud noch wichtiger für die Zusammenarbeit geworden. Wie arbeite ich sicher in Teams über die Cloud zusammen? Worauf muss ich besonders achten?

Die Cloud bietet sich super für eine effiziente Zusammenarbeit an, jedoch sollte der Datentransfer immer durch Verschlüsselungslösungen geschützt werden, damit sensible Unternehmensdaten nicht in die falschen Hände geraten. Wir empfehlen Administratoren und Administratorinnen eines Unternehmens, Richtlinien festzulegen, an die sich Arbeitnehmer und Arbeitnehmerinnen halten müssen. Diese sind zum Beispiel die Pflicht, Unternehmensdaten nur verschlüsselt aufzubewahren oder der Einsatz von Dateinamenverschlüsselung.

Zudem sollten regelmäßige Back-ups durchgeführt werden, damit keine Daten verloren gehen. Wenn Probleme auftreten, ist es empfehlenswert, konkrete Ansprechpartner und Verantwortliche zu definieren, die stets erreichbar sind und sich um die Anliegen kümmern.

Sichtwort DSGVO: Sind Clouds DSGVO-konform? Worauf muss ich achten, damit ich nicht gegen Datenschutzregeln verstoße?

Die größten Cloud-Anbieter bieten Verschlüsselung nach Stand der Technik an, welche offiziell eine technische und organisatorische Maßnahme (TOM) der DSGVO ist. Zu beachten ist jedoch, dass diese Anbieter den für die Verschlüsselung verwendeten Schlüssel meist behalten. So können Ihre Dateien jederzeit entschlüsselt werden, wenn zum Beispiel berechtigtes Interesse bei Behörden besteht.

Im Herbst 2020 hat der Europäische Gerichtshof das „Privacy Shield“-Abkommen gekippt und somit die Rechtsgrundlage für die Übertragung und Verarbeitung von Daten von EU-Bürgern in die Vereinigten Staaten für ungültig erklärt. Grundlage für den Rechtsstreit ist der ungenügende Datenschutz in den USA, da die DSGVO ein bestimmtes Schutzniveau verlangt, welches dort aktuell nicht erfüllt wird. Das Urteil wird gerade für Cloud-Anbieter wie Microsoft, Dropbox oder Google von Übersee weitreichende Folgen habe, die sich in den nächsten Wochen oder Monaten in vollem Ausmaß zeigen.

 
 
Gerade wenn es um sensible Kundendaten und die Einhaltung der Datenschutz-Grundverordnung geht, können Sie Ihre Cloud mithilfe von Verschlüsselungslösungen optimieren und zusätzlich absichern.

Zudem müssen bei einem Datenleck – handelt es sich um verschlüsselte Daten – die Kunden nicht informiert werden, da zu keiner Zeit ein Risiko des Datenverlustes bestand. Natürlich empfehlen wir dennoch, betroffene Personen zu informieren, aber das gegenseitige Vertrauen bleibt meist unangetastet.

Es gibt gefühlt 1 Million Cloud-Lösungen und –Anbieter. Wie sucht man die richtige aus?

Welcher Cloud-Anbieter der Richtige ist, hängt von den Erwartungen und Kriterien des jeweiligen Unternehmens ab. Die größeren, meist internationalen Anbieter sind sich in Sachen Nutzerfreundlichkeit und Speicherkapazität recht ähnlich. Deutsche Cloud-Speicheranbieter schenken hingegen dem Thema Datenschutz mehr Beachtung als US-Amerikanische.

Gerade im Preis und angebotenen Zusatzleistungen unterscheiden sich die meisten Cloud-Anbieter. Wenn ein Unternehmen zum Beispiel Microsoft 365 nutzt, bietet es sich an, die inkludierte OneDrive Business Cloud zu verwenden.

Jedoch muss sich ein Unternehmen nicht nur auf eine Cloud beschränken, sondern kann problemlos für bestimmte Anwendungsfälle verschiedene Speicheranbieter nutzen.

Einen Vergleich der beliebtesten Cloud-Speicher für Unternehmen finden Sie übrigens auf unserem Security-Blog „Die beste Cloud für Unternehmen – Ein Vergleich“.

Wie funktioniert die Verschlüsselung bei Boxcryptor?

Boxcryptor verschlüsselt Dateien mit einer Kombination aus AES-256- und RSA-Verschlüsselung. Das Passwort für das Boxcryptor-Konto verlässt nie das Gerät des Nutzers und wird mithilfe eines Passwortschlüssels sowie einem Passwort-Hash erstellt und verwendet.

Als Zero-Knowledge-Anbieter haben wir niemals Zugriff auf Ihre Daten oder das Passwort. Dies bedeutet auch, dass es im Falle eines vergessenen Passworts nicht möglich ist, dies zurückzusetzen und die Daten somit verschlüsselt bleiben. Jedoch haben Unternehmen die Option, einen Master Key zu aktivieren. Dieser ermöglicht es den Administratoren und Administratorinnen des Unternehmens, Konten zurückzusetzen und auf verschlüsselte Dateien der Mitarbeiter und Mitarbeiterinnen zuzugreifen.

 
 
Das Verschlüsseln von Dateien funktioniert meist im Hintergrund und ist somit voll in den Arbeitsprozess integriert. Innerhalb von wenigen Sekunden und mit nur zwei Mausklicks können Dateien und Ordner ver- oder entschlüsselt werden.

Im Unternehmen gibt es die Möglichkeit, Gruppen zu erstellen und diesen, wie auch einzelnen Personen, Zugriff zu bestimmten Dateien und Ordnern zu geben.

Um Dateien per Ende-zu-Ende-Verschlüsselung auch an Personen zu senden, die nicht Boxcryptor nutzen, haben wir Whisply entwickelt. Mit Whisply können verschlüsselte Dateien über einen Link versendet und optional noch mit einer PIN und Passwort geschützt werden. So bleiben sensible Unternehmensdaten auch während der Datenübertragung vor unberechtigtem Zugriff rundum geschützt.

Boxcryptor unterstützt mehr als 30 Cloud-Anbieter, darunter Dropbox, Google und Microsoft 365, und gibt so Privatanwendern wir auch Unternehmen die Wahl, die Cloud zu nutzen, die am besten zu den Anforderungen passt.

 

Über unsere Expertin:

Andrea Pfundmeier hat 2011 gemeinsam mit Robert Freudenreich die Secomba GmbH mit Sitz in Augsburg gegründet. Das Unternehmen entwickelt die cloud-optimierte Verschlüsselungslösung Boxcryptor, die von Privatanwendern sowie Unternehmenskunden weltweit eingesetzt wird.

Die studierte Rechts- und Wirtschaftswissenschaftlerin wurde für ihr Engagement u. a. mit dem Deutschen Gründerpreis 2013 ausgezeichnet und war 2017 auf der Forbes 30under30 Liste geführt.