![\"\"](\"https:\/\/u-labs.de\/portal\/wp-content\/uploads\/2023\/01\/transportverschluesselung.jpg\"){kind=spacer}
<\/a><\/figure>\nAbhilfe schafft nur eine Ende-zu-Ende-Verschl\u00fcsselung, bei der die Daten vor dem Hochladen in die Cloud durch Verschl\u00fcsselung gesch\u00fctzt werden. Das daf\u00fcr verwendete Passwort kennt nur der Nutzer. Dies machen jedoch nur wenige Anbieter automatisch, wie etwa „Mega“. Doch dort wurden immer wieder Fehler und Sicherheitsm\u00e4ngel festgestellt<\/a>, und zwar von Anfang an<\/a>. Selbst der ehemalige Gr\u00fcnder r\u00e4t mittlerweile davon ab, nachdem das Unternehmen verkauft wurde. Gewisse Risiken bestehen bei solchen eingebauten Verschl\u00fcsselungen immer – sie k\u00f6nnen nur eingesetzt werden, wenn man dem Anbieter zu 100% vertraut. Das nicht zu m\u00fcssen, ist aber ja einer der Hauptgr\u00fcnde f\u00fcr Verschl\u00fcsselung.<\/p>\n Die EU m\u00f6chte mit der Chatkontrolle alle Anbieter dazu verpflichten, doch nahezu alle gro\u00dfen Cloudanbieter tun dies bereits auf freiwilliger Basis<\/a>. Inklusive aller Kollateralsch\u00e4den: So erh\u00e4lt die Schweizer Bundespolizei z.B. Jahr f\u00fcr Jahr tausende Bilder aus privaten Cloudkonten – 90% davon sind nicht illegal. In Deutschland f\u00fchrt sogar nur ein einstelliger Prozentbereich der Meldungen zu tats\u00e4chlich strafrelevanten Ermittlungen<\/a> (Seite 4), obwohl die Datenmenge zunehmend ansteigt. Es geht also \u00fcberhaupt nicht darum, ob man tats\u00e4chlich etwas zu Verbergen habe – das wird automatisiert ermittelt und das sehr oft falsch, sodass weit mehr Unschuldige als Schuldige Betroffen sind. Private Daten m\u00f6chte man wohl kaum Fremden zug\u00e4nglich machen, auch nicht Geheimdienstmitarbeitern, die diese „erbeuteten“ Bilder weitergeben und tauschen<\/a>. Auch aus Reihen der Polizei wird in F\u00e4llen wie beispielsweise diesem<\/a> immer wieder klar, dass auch Beamte dort Ihre Befugnisse immer wieder missbrauchen. Ausf\u00fchrlicher und mit weiteren Beispielen habe ich die Problematik in diesem Beitrag zur geplanten Chatkontrolle ausgef\u00fchrt<\/a>, die diese Probleme noch weiter versch\u00e4rfen w\u00fcrde.<\/p>\n Es gerieten auch schon Eltern ins Visier<\/a>, nachdem w\u00e4hrend der Pandemie ein Vater auf \u00e4rztlichen Rat hin Erkrankungen seines Babys dokumentiert und diese nach einem automatischen Hochladen von der Google Cloud als Kinderpornografie erkannt wurden. Selbst nachdem die Polizei die Anzeige abwies, weigerte sich Google, das gesperrte Konto wiederherzustellen<\/a>. Mit gravierenden Folgen f\u00fcr den Vater, der seit Jahren dort unz\u00e4hlige Erinnerungen und andere Daten gespeichert hatte, die nun ohne Vorwarnung unwiederbringlich verloren sind.<\/p>\n Zu all diesen F\u00e4llen gibt es bereits dutzende Beispiele. Oft absurde wie der Fall eines Google-Nutzers, dem eine Datei mit der Zahl „1“ als Inhalt gel\u00f6scht wurde<\/a>, weil sie angeblich eine Urheberrechtsverletzung darstellen soll.<\/p>\n Es finden sich auch zahlreiche F\u00e4lle von anderen Anbietern. Der erste zu OneDrive wurde 2015 bekannt: Ein Nutzer l\u00e4dt tausende Bilder in Microsofts Clouddienst, darunter auch Pornografie<\/a>. Microsoft durchleuchtet diese Dateien automatisch und entdeckte ein einziges verd\u00e4chtiges. Dies f\u00fchrte zu einer Hausdurchsuchung, bei der alle elektronischen Ger\u00e4te des Betroffenen beschlagnahmt wurden. <\/p>\n Solche Beispiele h\u00e4uften sich – alleine bei DrWindows<\/em> meldeten sich schon weit \u00fcber hundert Menschen, denen das komplette Microsoft-Konto gesperrt wurde<\/a>. Gr\u00fcnde gibt das Unternehmen keine an, auch nicht auf Nachfrage. In einem Fall stellte sich beispielsweise heraus, dass auf einem Bild ein Kleinkind aus der Familie nackt zu sehen war. Wohlgemerkt nicht innerhalb einer Sammlung von kinderpornografischem Material, sondern unter einer gr\u00f6\u00dferen Menge v\u00f6llig unverf\u00e4nglicher Bilder.<\/p>\n Neben dem Ermittlungsverfahren und einer m\u00f6glichen Hausdurchsuchung, was nicht selten eine enorme psychische Belastung darstellt, k\u00f6nnen die Folgen noch weitreichender sein, als man auf den ersten Blick erahnen mag: Sowohl Microsoft als auch Google beispielsweise bieten zahlreiche Clouddienste auf dem gleichen Konto an. Beispielsweise E-Mails, Dateien, Spiele und vieles mehr. Microsoft-Nutzer verwenden ihr Konto teils sogar f\u00fcr die Anmeldung am PC\/Laptop. Nach einer Sperre ist das nicht mehr m\u00f6glich und die gespeicherten Inhalte sind oft unwiederbringlich verloren. Neben Erinnerungswerten kann das ein hoher finanzieller Schaden werden. Alleine die gekauften XBox-Spiele eines Betroffenen hatten einen Wert von \u00fcber 1.000 Euro. Einzig wer juristisch dagegen vorgeht, hat eine Chance, sein Konto oder wenigstens die Daten wiederzubekommen<\/a> – mit entsprechendem Aufwand und den n\u00f6tigen Kosten. Microsoft treibt die Verfahren bis vor den BGH, wodurch sie 3 – 7 Jahre dauern k\u00f6nnen. Es kommt also drauf an, ob jemand der Recht hat, in solchen F\u00e4llen auch Recht bekommt<\/a>.<\/p>\n Vor allem Microsoft ist hier besonders bedenklich, da es Windows-Nutzer zunehmend in die Cloud dr\u00e4ngt. Bei Windows 11 ist mittlerweile selbst in der Pro-Version offiziell kein lokales Konto mehr m\u00f6glich<\/a>. Das Speichern in den Office-Programmen des Konzernes f\u00fchrt mittlerweile standardm\u00e4\u00dfig in die Cloud. Diese Beispiele zeigen, wie die Grenzen zwischen lokal und Cloud zunehmend verschwimmen. Ob dem durchschnittlichen Benutzer alle Konsequenzen bewusst sind, die mit der Anmeldung eines Microsoft-Kontos an seinem PC\/Laptop einher gehen?<\/p>\n Zumal „unangemessene Inhalte“ laut Nutzungsbedingungen verboten sind<\/a>. Was genau man darunter versteht, bleibt Microsofts Interpretation \u00fcberlassen. Es werden nur Beispiele wie Nacktdarstellungen und Pornografie genannt, bereits anst\u00f6\u00dfige Sprache kann darunter fallen. <\/p>\n Es gibt noch eine weitere Partei, die gerne Zugriff auf die unverschl\u00fcsselten Daten haben m\u00f6chte – n\u00e4mlich Regierungen und Beh\u00f6rden wie z.B. Geheimdienste. Dies betrifft vor allem Anbieter aus den USA, da sie als sogenannte unsichere Drittstaaten<\/em> gelten: Aufgrund der seit sp\u00e4testens 2013 bestens belegten anlasslosen Massen\u00fcberwachung durch NSA & co. sind die Daten unverh\u00e4ltnism\u00e4\u00dfig gef\u00e4hrdet. Mehrere Abkommen wurden daher bereits vom Europ\u00e4ischen Gerichtshof f\u00fcr rechtswidrig erkl\u00e4rt. Zuletzt „Safe Habor“ im Jahre 2020<\/a>, welches dem ebenfalls gekippten „Privacy Shield“ Vorg\u00e4nger \u00e4hnelte.<\/p>\n Vor allem Microsoft 365 (ehemals Office 365) ist als Komplettpaket in der Cloud seit Jahren im Gespr\u00e4ch. Das aktuelle Fazit: Microsoft 365 ist und bleibt datenschutzwidrig<\/a>. Dies wurde im Dezember abermals best\u00e4tigt<\/a>, wie schon dutzende Analysen zuvor<\/a>. Trotz zahlreicher intensiver Gespr\u00e4che (14 mehrst\u00fcndige Konferenzen<\/a>) hat sich Microsoft geweigert, genauer zu beschreiben, welche Datenverarbeitungen sie durchf\u00fchren. Daher steht der Verdacht im Raum, dass diese nicht legal sind. Zwar behauptet der Softwarekonzern das Gegenteil, jedoch ohne konkrete Belege. Wer diese Dienste ohne Schutzma\u00dfnahmen wie Ende-zu-Ende-Verschl\u00fcsselung verwendet, gef\u00e4hrdet seine Daten und bewegt sich in einem rechtlich fragw\u00fcrdigen Bereich. Letzteres ist sp\u00e4testens dann relevant, wenn auch die Daten anderer betroffen sind<\/a>.<\/p>\n Gelingt es einem Angreifer, in die Systeme des Cloudanbieters einzubrechen, hat er Vollzugriff auf die Daten der Nutzer – eben so wie der Anbieter. Dieser kann Bilder, Videos, Dokumente und andere Inhalte einsehen, m\u00f6glicherweise sogar manipulieren oder den Betroffenen damit erpressen. Das ist keineswegs ein fiktives Szenario, es gab bereits mehrere erfolgreiche Angriffe. Vor allem mit Ransomware, die den Cloudanbieter mit den Daten seiner Kunden erpresst. <\/p>\n 2021 traf es Kronos private Cloud, eine Plattform zur Personalverwaltung<\/a>. Sagt euch nichts? Dieser Anbieter wurde unter anderem vom Milliardenschweren Sportartikelhersteller Puma genutzt<\/a>. Die Angreifer konnten private Daten von fast der H\u00e4lfte der Mitarbeiter stehlen. Microsofts Clouddienst Azure wies alleine 2021 mehrere Schwachstellen auf<\/a>. Sie erlaubten unbefugten Zugriff auf Kundendaten, teils war sogar Manipulation m\u00f6glich. Auch 2022 sch\u00fctzte der Konzern die Daten seiner Kunden unzureichend<\/a>.<\/p>\n Ebenfalls 2021 musste der US-Ableger von Mercedes Benz dar\u00fcber informieren, dass 1,6 Millionen Daten von Kunden und Interessenten die zwischen 2014 und 2017 erhoben wurden, aufgrund eines unsicheren Clouddienstes \u00f6ffentlich zugreifbar waren<\/a>. Darunter befanden sich sensible Daten wie etwa zur Kreditw\u00fcrdigkeit, Telefonnummer und teils auch Sozialversicherungsnummern sowie Kreditkarteninformationen.<\/p>\n Der Cloud-Anbieter Rackspace informierte Ende 2022 \u00fcber einen erfolgreichen Angriff<\/a>, der etwa 30.000 Kunden betraf. Kompromittiert wurden Exchange-Server. Die Ursache war eine Mischung aus Sicherheitsl\u00fccken, die Microsoft z\u00f6gerlich und zudem fehlerhaft korrigiert hatte. Rackspace hatte diese zudem zu sp\u00e4t eingespielt bzw. gar nicht, wodurch der Angriff erm\u00f6glicht wurde.<\/p>\n Dies ist nur ein Auszug, es gibt noch zahlreiche weitere F\u00e4lle. Teils mussten Cloudanbieter sogar ihren Dienst komplett einstellen<\/a>.<\/p>\n Bereits jetzt sind Daten auf Cloudspeichern einer ganzen Reihe an Risiken ausgesetzt. Alle drei werden bereits ausgenutzt – Tendenz voraussichtlich steigend. Konzerne wie Microsoft geben sich gelassen, schlie\u00dflich haften im Zweifel die Nutzer bzw. Kunden<\/a>. Bei Ransomware wird teils sogar prognostiziert, dass sich diese Schadsoftware zuk\u00fcnftig gezielt auf Clouddienste fokussiert<\/a>.<\/p>\n Diese Gefahren kann man deutlich reduzieren, in dem die Dateien vor dem Hochladen Ende-zu-Ende-Verschl\u00fcsselt werden. Am besten sind quelloffene L\u00f6sungen wie Cryptomator geeignet: Sie verschl\u00fcsseln einzelne Dateien und bleiben damit vergleichsweise flexibel. Eine \u00dcberpr\u00fcfung ist jederzeit m\u00f6glich. Der einzige Nachteil solcher L\u00f6sungen besteht darin, dass bestimmte Komfortfunktionen der Clouddienste nur noch eingeschr\u00e4nkt oder gar nicht mehr zur Verf\u00fcgung stehen. Beispielsweise kann \u00fcber den Clouddienst nicht mehr gesucht werden. Dies l\u00e4sst sich aber an anderer Stelle durchf\u00fchren, etwa durch die Suche am Ger\u00e4t selbst, nachdem der Tresor entsperrt wurde.<\/p>\n Wichtig ist, erprobte und am besten auditierte Software zu nutzen. Denn der Schutz steht und f\u00e4llt mit der Qualit\u00e4t der Verschl\u00fcsselung. Ist diese unsicher oder enth\u00e4lt Fehler, k\u00f6nnen Dritte m\u00f6glicherweise darauf zugreifen. Noch besser ist es daher, nach M\u00f6glichkeit eine eigene Cloud zu betreiben. Oder falls dies nicht in Frage kommt, zumindest einen lokalen Anbieter innerhalb der EU zu nutzen, der strengeren Gesetzen unterworfen ist, als in unsicheren Drittstaaten wie den USA.<\/p>\n Cloudspeicherdienste wie Dropbox, OneDrive, Google Drive oder auch iCloud sind \u00fcber die Jahre im Alltag vieler Menschen angekommen. Doch sie bergen auch verschiedene Risiken, wie einige bereits durchaus schmerzvoll feststellen mussten. Dieser Beitrag zeigt sie auf. W\u00e4hrend der Betrieb einer eigenen Cloud einige der Probleme l\u00f6sen oder zumindest deutlich reduzieren kann, gibt es auch Alternativen. …<\/p>\n","protected":false},"author":5,"featured_media":10190,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1116,85],"tags":[488],"class_list":["post-10173","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-digitale-un-souveraenitaet","category-sicherheit","tag-cloud"],"_links":{"self":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10173","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/comments?post=10173"}],"version-history":[{"count":11,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10173\/revisions"}],"predecessor-version":[{"id":10189,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/posts\/10173\/revisions\/10189"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media\/10190"}],"wp:attachment":[{"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/media?parent=10173"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/categories?post=10173"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/u-labs.de\/portal\/wp-json\/wp\/v2\/tags?post=10173"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}<\/a><\/figure>\n1. Kontosperren und Datenweitergabe durch Automatisierte Durchleuchtungen<\/h2>\n
Die digitale Identit\u00e4t wegen einem (legalen) Bild verloren?<\/h3>\n
Das Problem betrifft nahezu allen amerikanischen Clouddienste<\/h3>\n
Verheerende Konsequenzen m\u00f6glich<\/h3>\n
2. Schutz gegen unverh\u00e4ltnism\u00e4\u00dfige Massen\u00fcberwachung<\/h2>\n
3. Was passiert bei einem erfolgreichen Angriff?<\/h2>\n
Fazit: Selbst durchgef\u00fchrte Ende-zu-Ende-Verschl\u00fcsselung sch\u00fctzt Daten in der Cloud<\/h2>\n
<\/h3>\n","protected":false},"excerpt":{"rendered":"