Unwissenheit beim Thema Datensicherheit – Sorgsamer mit Daten umgehen

Was den meisten Anwendern fehlt, ist ein ausgereiftes Sicherheitsbewusstsein, das sie befähigt, die Risiken der Nutzung bestimmter Dienste wirklich einschätzen zu können. Den wirksamsten Schutz vor Datenklau und Datenmissbrauch bietet daher eine Vollverschlüsselung der Daten.

Wir sprachen mit Luc Mader, Gründer und Geschäftsführer luckycloud, welche Rolle Datenverarbeitung in Deutschland und ISO-zertifizierte Rechenzentren hinsichtlich der Datenschutzkonformität und der Unabhängigkeit von Big Playern wie Amazon, Google oder Microsoft spielen.

Herr Mader, das Thema Datensicherheit begleitet Sie seit Ihrem Studium an der HTW Berlin. Dort haben Sie 2007 mit der Entwicklung einer Plattform zum Speichern und Teilen von Studienmaterialien den Grundstein für Ihr heutiges Unternehmen, luckycloud, gelegt. Mit luckycloud bieten sie verschiedene Dienste auf Basis einer Cloud-Plattform an. Was hat Sie motiviert aus dieser Idee ein Unternehmen zu gründen? Was ist Ihre Mission?

Schon an der Universität wollten wir eine Art Archiv entwickeln, mit dem das Speichern von Daten sicher und unabhängig möglich ist. Die Idee resultierte aus dem massenhaften und systematischen Datensammeln bekannter Großunternehmen. Genau zu deren Angeboten und Diensten wollen wir mit luckycloud ein Gegengewicht schaffen. Denn die Big Player halten sich über die Verwendung proprietärer Software die berühmten Hintertürchen offen und immer wieder werden Fälle bekannt, dass sie diese auch nutzen. Sie selbst, aber auch staatliche Behörden, Sicherheitsdienste oder andere Drittparteien können hierüber Kundendaten abgreifen, verkaufen oder falsche Nutzerprofile erstellen. Das Problem dabei: Die Praktiken und möglichen Gefahren sind für viele Verbraucher sowohl im privaten als auch im geschäftlichen Umfeld intransparent. Dabei fehlt vor allem das Bewusstsein dafür, dass es keine kostenlosen Cloud-Angebote gibt. Die Frage ist immer nur, mit welcher Währung ich zahle – mit Geld oder mit meinen Daten. Und genau Letzteres geschieht viel zu oft völlig unwissentlich oder eben mangels Alternativen.

Das heißt, Sie sehen die größten Gefahren in Anbietern, die nicht mit offenen Karten spielen? 

Natürlich sind Kriminelle die größte Gefahr für unsere Sicherheit. Wer wann als kriminell zu bezeichnen ist, überlasse ich der Justiz. Fakt ist: Anbieter sind in der Pflicht vollständig darüber aufzuklären, was mit den Daten der Nutzer geschieht – auch wenn es um die Nutzung kostenfreier Angebote geht. Ein Problem ist leider die Unwissenheit oder Unaufgeklärtheit über die Mechanismen und Machenschaften von Unternehmen, die ein Sicherheitsmaß suggerieren, das sie aber eben gar nicht erfüllen beziehungsweise erfüllen wollen. Damit einher geht ein noch nicht ausgereiftes Sicherheitsbewusstsein, das uns befähigt, die Risiken der Nutzung bestimmter Dienste wirklich einschätzen zu können. 

Wie können Unternehmen und Privatpersonen ihre Daten angesichts der Übermacht der Großkonzerne denn in Zukunft überhaupt schützen?

Im Kleinen fängt Datenschutz bei einer hohen Passwortsicherheit an. Der Einsatz eines Passwortgenerators, der dann – verschlüsselt in einer Cloud – auf allen Geräten synchronisiert werden kann, ist beispielsweise eine gute Investition. Hier will ich aber gar nicht weiter in die Tiefe gehen. Den wirksamsten Schutz vor Datenklau und -missbrauch bietet zweifelsohne eine Vollverschlüsselung der Daten. Selbst wenn es zu einem Datenklau kommt, sind diese für die Diebe dann einfach nicht nutzbar. Der Nutzer kann sie hingegen in einem »Snapshot« mühelos wiederherstellen. Wirklich sicher sind aber auch Vollverschlüsselungsdienste erst dann, wenn diese Ende-zu-Ende verschlüsselt sind und der Code Open Source ist. Nur dann haben auch die Server-Administratoren keine Chance auf die Daten zuzugreifen beziehungsweise der Nutzer allein entscheidet, wem er den Schlüssel anvertrauen will. Bekannt ist dieser Ansatz als »Zero-Knowledge« und wird übrigens auch bei luckycloud konsequent verfolgt.

Das klingt gar nicht so kompliziert. Was hält die User denn aus ihrer Sicht davon ab, entsprechende Dienste zu nutzen?

Wir haben es einerseits tatsächlich mit Unwissenheit über das Thema Datensicherheit zu tun – genau das nutzen ja auch einschlägige Konzerne aus. Andererseits gibt es aber durchaus ein wachsendes Bewusstsein dafür, welche Rolle etwa eine Datenverarbeitung in Deutschland beziehungsweise ISO-zertifizierte Rechenzentren spielen, da sie datenschutzkonform sind und Unabhängigkeit bieten von Big Playern wie Amazon, Google oder Microsoft. Ein Hemmschuh in dieser Gruppe ist allerdings die verbreitete Meinung, dass die deutschen Cloud-Angebote im Vergleich einfach zu teuer seien. Hier kann man zunächst wieder den Grundsatz entgegenhalten, dass es eher um eine Entscheidung für eine Währung geht – Daten oder Geld. Gleichzeitig zeigt ein kleines Rechenbeispiel, dass durchaus auch eine neue Bewertung vonnöten ist. Lassen Sie mich das an einem Beispiel erklären: Ausgehend von einer 100-GB-Cloud, fünf Nutzern und E-Mail-Adressen mit einer 5-GB-Mailbox – das sind realistische Anforderungen eines kleinen Unternehmens – ist mit Kosten in Höhe von 324 Euro pro Jahr zu rechnen. Das heißt, ein Unternehmen zahlt monatlich 27 Euro für Datensicherung – und zwar ohne Backdoors. 

Hohe Datensicherheit ist also bezahlbar?

Auf jeden Fall. Die Frage ist doch, was mir die Sicherheit meiner Daten beziehungsweise die Qualität ihrer Sicherung wert ist. Oder aber wie teuer es wird, wenn Daten gestohlen und missbraucht wurden. Die hohe Datensicherheit hat aber noch einen anderen Preis. Denn mit ihr gehen einige Gewohnheiten verloren, deren Vorteile viele User durchaus liebgewonnen haben. So ist die externe Datenfreigabe über einen Link genauso wenig flexibel möglich wie ein Online-Streaming oder die Nutzung von Features zur Bearbeitung von Dateien, wie sie beispielsweise in Office-Word-Excel möglich sind. Die Daten müssen immer erst auch vom Empfänger entschlüsselt werden, was den Einsatz einer Entschlüsselungssoftware beziehungsweise eines Nutzer-Accounts voraussetzt. Hier gilt es die Vorteile und Gefahren gegeneinander abzuwägen. 

Wir werden uns also damit abfinden müssen, dass Datensicherheit ein Stück weit auch auf Kosten der Usability geht? Ist das denn wirklich praktikabel?

Auch hier lautet meine Antwort ja. Tatsächlich müssen wir in der Zukunft ja nicht alles verschlüsseln. Denkbar und längst auch umsetzbar ist etwa Daten hinsichtlich ihres Schutzbedürfnisses zu strukturieren und entsprechend zu »behandeln«. Ich bewerte dann also das Schutzbedürfnis meiner verschiedenen Daten, wer hierauf Zugriff haben soll und welche Daten auch einer externen Freigabe bedürfen. Mit Open-Source-basierten Diensten inklusive Zero-Knowledge-Verschlüsselung lässt sich auf dieser Basis eine Bibliotheksstruktur erstellen – sozusagen ein Mix aus verschlüsselten und unverschlüsselten Bibliotheken – die mit lokalen Ordnern synchronisiert werden. Über das Web lassen sich dann Daten an Team-Mitglieder verteilen. Verfügt ein Unternehmen zudem über einen netzwerkgebundenen Speicher (NAS) oder einen Server, kann ein Client installiert oder im Falle von NAS-Geräten eine App genutzt werden, mit denen sich die Geräte einfach und sicher – da verschlüsselt – mit der Cloud synchronisieren lassen. 

Das stimmt hoffnungsfroh. Erlauben Sie mir noch eine letzte Frage: Was wünschen Sie sich als Unternehmen für die Zukunft?

In einem übergeordneten Kontext wünsche ich mir natürlich, dass die nächsten Generationen sorgsamer mit ihren Daten umgehen. Da darf luckycloud gerne einen großen Beitrag in unserem Land leisten. Von den Medien wünsche ich mir ein bisschen mehr Mut, auch den vermeintlich Kleinen eine Stimme zu geben. Der Hintergrund: Erst kürzlich wurde ein größerer Test zu verschiedenen Speicherlösungen veröffentlicht, der jedoch nur die bekannten Player berücksichtigte und gerade auch die wirklich sicheren, deutschen Alternativen vollkommen ausklammerte. Die Argumentation: Man konzentriere sich auf das, was die meisten Menschen nutzten … Nun ja – da beißt sich die Katze in den Schwanz. 

Dann freuen wir uns, hier offenbar zu den Mutigen zu gehören und hoffen, dass viele Leser das interessante Gespräch mit Ihnen lesen. Vielen Dank dafür, Herr Mader.

 

Bild: © luckycloud

 

698 Artikel zu „Verschlüsselung Sicherheit“

FIPS 140-2-Validierung: Sicherheitszertifikat für RDX-Verschlüsselung

Overland-Tandberg, Spezialist für Datenmanagement-, Backup- und Archivierungslösungen, hat die Hardwareverschlüsselung PowerEncrypt für RDX-Wechselplatten erfolgreich nach dem bedeutenden US-Sicherheitsstandard FIPS 140-2 validieren lassen. Produkte mit der begehrten FIPS 140-2-Validierung gelten als »vertrauliche« Produkte und stehen weltweit als Ausdruck von Datensicherheit und -integrität. In Europa gewährleistet FIPS 140-2 Verschlüsselungsstandards nach EU-DSGVO.   Die FIPS 140-2-validierte Verschlüsselung ist…

IT-Sicherheitsexperte überzeugt: Mit Verschlüsselung, Vorsicht und einem IT-Sicherheitskonzept lassen sich Hackerattacken verhindern

Bereits mit völlig unkomplizierten Sicherheitsmaßnahmen lassen sich Hackerangriffe auf die Unternehmensinfrastruktur vermeiden. Davon ist IT-Sicherheitsexperte Christian Heutger überzeugt: »Hundertprozentige Sicherheit wird es kaum geben. Ein IT-Sicherheitskonzept, bei dem Verantwortlichkeiten verteilt und etwaige Notfallmaßnahmen beschlossen sind, sowie ein IT-Sicherheitsbeauftragter, der einerseits diese Maßnahmen steuert und überwacht, andererseits aber auch Mitarbeiter darin schult IT-Sicherheit umfassend im Unternehmen…

Zypries: Neuer Kompass zur IT-Verschlüsselung sorgt für mehr Sicherheit für Unternehmen

Der Einsatz von Verschlüsselungslösungen, beispielsweise für E-Mails und Datenträger, ist ein wichtiger Faktor, um die IT-Sicherheit von Unternehmen zu erhöhen und Gefahren durch Angriffe zu minimieren. Obwohl die erforderlichen Lösungen alle auf dem Tisch zu liegen scheinen, kommt der flächendeckende Einsatz nicht recht voran. Eine Studie im Auftrag des BMWi kommt zu dem Ergebnis, dass insbesondere bei…

Regierungsleitfaden zum Thema Datenverschlüsselung und Datensicherheit

Die Leitsätze bieten Regierungen einen Rahmen für die Bewertung von Gesetzgebungsvorschlägen zur Verschlüsselung. Im Bemühen um die Unterstützung der EU-Minister bei ihren Beratungen über die Ausgewogenheit zwischen Verbraucherdatenschutz und Netzwerksicherheit veröffentlichte die BSA | The Software Alliance neue Verschlüsselungsgrundsätze zur Analyse der entsprechenden Rechtsvorschriften und politischen Gesetzgebungsvorschlägen. Durch Berücksichtigung der Bedürfnisse und Anforderungen aller Seiten…

Mailbox.org: Sicherheitsanbieter überzeugt im Test mit aktuellen Verschlüsselungstechnologien und Sicherheitsparametern

Beim kostenpflichtigen E-Mail-Dienst der Heinlein Support GmbH steht Privatsphäre ganz oben und Datenschutz ist das Steckenpferd des Service. Grund genug für die IT-Sicherheitsexperten der PSW GROUP, mailbox.org in einem Test unter die Lupe zu nehmen. »Die Verschlüsselung – und damit die Sicherheit – ist vom Login bis zum Backend ausgezeichnet. mailbox.org-Kunden greifen ausschließlich verschlüsselt auf…

Keine mobile Sicherheit ohne Security by Design

Bei der Softwareentwicklung von Desktop-, Web- und Mobil-Anwendungen kommt niemand mehr an Security by Design vorbei. Software muss von Grund auf und von Anfang an sicher sein. Nur so ist sie optimal vor Cyberattacken, Datenmanipulation und Datendiebstahl geschützt. Die Anzahl von Cyberattacken steigt weiter rasant und die Angriffe werden zunehmend komplexer. Statt im Nachhinein immer…

Europäische Unternehmen beim Thema IT-Sicherheit unter globalem Durchschnitt

Eine aktuelle Studie zeigt, dass europäische Unternehmen deutlichen Nachholbedarf beim Schutz vor Cyberbedrohungen haben: Mit einem Reifegrad der IT-Sicherheit von 1,42 von fünf Punkten lagen sie 2018 unter dem generell niedrigen Wert von 1,45 im globalen Durchschnitt. Die Unterschiede besonders zwischen den Branchen sind groß, Vorreiter ist der Technologiesektor, während die Finanzindustrie hinterherhinkt. Safety first?…

Für die Führungsebene: Was eine effektive Verschlüsselungsstrategie ausmacht

  Lange Jahre hat man Verschlüsselung primär aus einem Blickwinkel heraus betrachtet: dem einer Belastung für Geschäftsprozesse. Teuer, komplex und von zweifelhaftem Wert. Wie sich die Dinge doch geändert haben. Nach wenigen Jahren (und nach Hunderten von hochkarätigen Datenschutzverletzungen mit wirtschaftlichen Schäden in Billionenhöhe) lassen sich Cyberbedrohungen nicht mehr ignorieren. Das ist auch auf den…

Weltweit wird noch immer zu wenig für die Cybersicherheit getan

Weltweit wird noch immer zu wenig für die Cybersicherheit getan. Es handelt sich hierbei nicht um eine allgemeine Betrachtung, sondern um die Ergebnisse der jährlichen Umfrage von 2019 mit dem Titel »Cyber Resilient Organization«, die vom Ponemon Institute durchgeführt, von IBM Resilient gesponsert wurde und an der mehr als 3.600 Sicherheits- und IT-Experten aus der…

Cloud Security: Sechs Maßnahmen für effektive Cloud-Sicherheit

Sicherheitsverantwortung in der Cloud durch Shared-Responsibility-Modell: Unternehmen tragen als Kunden Eigenverantwortung für kritische Bereiche. Die zunehmende Nutzung von Public-Cloud-Ressourcen macht es erforderlich, dass Unternehmen ihre Sicherheitsverantwortung ernster nehmen. Basierend auf dem Modell der geteilten Sicherheitsverantwortung von Anbieter und Kunde ergeben sich einige entscheidende Anforderungen an zuverlässige Cloud-Sicherheit. Sechs grundlegende Maßnahmen für effektive Cloud-Sicherheit helfen das…

Rohde & Schwarz Cybersecurity und Utimaco bieten hardwaregestützte Sicherheit in der Cloud

Mit der Kombination von R&S Trusted Gate des IT-Sicherheitsexperten Rohde & Schwarz Cybersecurity und dem High-Security-Modul von Utimaco bieten die beiden Unternehmen jetzt auch hardwaregestützte Sicherheit in der Cloud. Kryptografisches Material kann separat in einem Hardware-Sicherheitsmodul generiert werden. Somit steht den Kunden zukünftig auch eine zusätzliche Hardwareoption zur Einhaltung höchster Sicherheitsanforderungen mittels R&S Trusted Gate…