Kommentar: Cloud und Verschlüsselung
Leute, ich muss hier mal wieder emotional schreiben. Weil mir sonst der Arsch platzt. Ich habe jetzt schon eine Halsschlagader wie eine Fleischwurst, wenn ich lese, was manche Newsseiten schreiben und / oder kommentieren. Nehmt es mir also nicht krumm – es ist nur ein Blog. Ihr erinnert euch an die Dropbox-Diskussion bezüglich unsicher und Co? Gefundenes Fressen für alle. Ich gehe jetzt mal nicht auf die Lücke als solches ein, sondern auf die leidige Diskussion Cloud und Verschlüsselung.
Die Cloud – das ist der Ort online. Hat man schon vor Jahren gehabt, ist mittlerweile nur hipper, smoother, shiny shine und jeder macht es. Nur weil ich Dropbox-Nutzer bin, verteidige ich nicht die Dropbox, dieses Thema könntet ihr auch 1:1 für SugarSync, Wuala, Amazon Cloudspace oder whatever sehen (und ich habe fast jeden Cloud-Speicher in der Vergangenheit getestet). Es gibt doch wirklich nur eine einfache Regel zu befolgen, oder?
1. Wenn du sensible Daten hast, die du online lagerst, dann verschlüssle sie zusätzlich.
Das ist die einzige Regel. Wenn ich nicht will, dass Bösewichte Zugriff erlangen, dann stelle ich den Kram nicht online (auch lokal kann man verschlüsseln ;)). Ende aus, keine Diskussion. Und wenn ich schon aus Faulheitsgründen sensible Daten irgendwo online habe, dann kann ich die doch sogar verschlüsseln, oder? Dann nutze ich die Verschlüsselung, mit der ich am besten klar komme. Ob ihr Software kauft oder Open Source wie TrueCrypt nutzt: bleibt euch überlassen. Aber verschlüsselt. Es bringt nichts, dass ein Anbieter sagt: die Daten sind online verschlüsselt. Die Daten sind online.
Hat jemand Usernamen / Passwort, dann nützt die Verschlüsselung auf dem Server nichts – dann kann eine Verschlüsselung der Datei helfen. Oder vielleicht wird auch mal der Anbieter eures Cloud-Spaces kompromittiert. Man weiss es doch nicht, was alles passiert. Deshalb: Verschlüsseln. Wer unbedingt bezahlen möchte: Knox für Mac, BoxCryptor für Windows – wer es kostenlos mag: Linux, Windows und Mac OS: TrueCrypt.
Ich habe diese ganzen Verschlüsselungsbeiträge bestimmt nicht zum Scherz geschrieben. Also bitte: verschlüsselt, verschlüsselt, verschlüsselt. Auch vielleicht mit dem Nachteil, dass ihr den Cloud-Dienst vielleicht nicht über das Web-Interface mehr nutzen könnt. Das darf nicht der Preis für Unsicherheit sein. Unverschlüsselt sollten nur Daten gelagert werden, mit denen ihr kein Problem hättet, dass die ganze Welt sie sehen kann.
Und nun entschuldigt diesen Beitrag, ich muss mir jetzt ein wenig am Ohrläppchen reiben um wieder runter zu kommen – ich musste in den letzten zwei Tagen zuviel unreflektierten Kram lesen. Aber die ganze Sache hatte auch für mich etwas Gutes: ich gehe jetzt noch sensibler mit einigen Daten um und habe mein „Verschlüsselungslevel“ etwas höher geschraubt.
Verschlüsselung darf kein Thema sein, dass bei Hypes wie eine Sau durch das Dorf getrieben wird. Das muss uns Benutzern in Fleisch und Blut übergehen. Macht den Menschen keine Cloud-Dienste madig, empfehlt Leuten die Verschlüsselung und den sicheren Umgang mit Daten. Und wenn ihr Tipps habt, immer rein damit in die Kommentare: ich bin auch kein Raketenwissenschaftler, der alles weiss – sondern eben auch nur Blogger und Anwender 🙂
Interessant, Caschy predigt was von Verschlüsselung und Co, was ja grundsätzlich gut ist! Auf der anderen Seite bietet er immer noch keinen PGP Schlüssel für seine Emails und Chats an. Sehr merkwürdig.
Ich selbst nutze Dropbox sehr gerne zum Datenaustausch, allerdings eher unwichtiger Daten, die im Zweifel jeder lesen darf.
Wenn ich mal tatsächlich wichtige Daten hochschieben würde, dann würde ich die auf jeden Fall verschlüsseln, wobei es mir reichen würde, die jeweiligen Dateien zu packen (z.B. 7zip) mit einem Passwort zu verschlüsseln.
Wenn man viele Dateien einzeln packen und verschlüsseln möchte, dann könnte man dazu aktuell z.B. Peazip verwenden.
Hylli
@caschy
Doch exakt so sieht es aus. Wenn Du Deine Accountdaten vergessen hast sind die Daten faktisch weg. Zugreifbar sind nur die Daten, die Du mit anderen Leuten teilst/über das Web-Interface freigibst.
Weil hier ein gemeinsames Zertifikat verwendet wird/der Key direkt über URL übergeben wird.
Aber eine Funktion „vergessenes Passwort zuschicken“ gibt es bei Wuala nicht. Ob da jetzt eine zusätzlich Backdoor eingebaut ist, lässt sich mit Sicherheit natürlich nur sagen wenn man die Sourcen hätte :-).
Ich schmeiß mal 7z oder ähnliches mit nem Passwort in den Raum.
@caschy
Wo gibt es denn das Foto?
@Hylli, @Tom: Und das Archivpasswort? Das wird dann per unverschlüsselter Email übertragen, vorzugsweise inklusive Link zum Archiv. Oder wie?
Und hier setzt die eigentliche Problematik an, denn so wichtig Verschlüsselung auch ist, sie kann nur funktionieren wenn sie konsequent umgesetzt wird! Und wenn man sowieso schon Mailverschlüsselung einsetzt, dann kann man nebenbei auf zusätzliche Tools wie TrueCrypt, aber auch auf passwortgeschützte Mailarchive verzichten, denn die Verschlüsselung von Dateien kann GnuPG/PGP ja gleich mit übernehmen.
@rhustox: siehe Bildquelle
Naja, naja. Caschy geht aber vom „mündigen“ User aus. Halte ich eher für ein Ideal denn für Realität. Aber letztlich dürfte der Markt es ja irgendwo richten: wenn es für genügend User ein wichtiger Faktor (=Kaufkriterium) ist, ob ein Dienst sicher (verschlüsselt) agiert oder nicht, dann müssten der Theorie nach solche Angebote peu a peu auch angeboten werden, weil sich damit (zusätzliches) Geld verdienen lässt.
Und unter Aspekten der Usability (=Bequemlichkeit) fände ich es schon klasse, wenn ich nicht einen 3-GB-Truecrypt-Container erstellen, einbinden etc. muss (ganz abgesehen vom ätzenden Frickelkram, wenn ich dann mal von unterwegs da ran will), sondern das einfach nativ nutzen könnte, ohne „Zusatzlösungen“ wie TrueCrypt.
PS: Wem nicht alles verschlüsseln muss, was er hochlädt, dem kann ich AxCrypt für die transparente AES-Verschlüsselung einzelner Dateien wärmstens empfehlen…
@Tom
Siehe mein Beitrag von 14.44 Uhr!
Hylli
Mannmannmann… Ich hab keine Ahnung, mit was für Daten ihr täglich hantiert, aber wenn man die Kommentare liest, könnte man meinen, hier lesen und schreiben nur Raketenwissenschaftler, Verschwörungstheoretiker und chinesische Dissidenten…
@Iruwen
da hast du meiner meinung nach aber eine erwartung die kein dienst erfuellen kann!
sicher vor verlust (bis zu einer gewissen wahrscheinlichkeit), ok, das kann der dienst zu garantieren und auch beweisen.
sicher vor fremder einsichtnahme, das versucht dropbox ja auch gar nicht zu garantieren. der transport ist verschluesselt (https, wie immer sicher das sein mag). die speicherung auf den S3 servern ist (angeblich) verschluesselt, d.h. von ausserhalb der firma dropbox wird eine sicherheit gewährleistet. aber keiner behauptet dass z.B. ein dropbox mitarbeiter (administrator) nicht auf die daten zugreifen kann. die sicherheit geht immer nur soweit wie du dem administrator des systems vertraust. deshalb hilft nur selbst verschluesseln, da bist du der administrator und musst nur dir selber vertrauen (und dem hersteller des verschluesselungssoftware 🙂 )!
Im gegensatz zu Wuala die behaupten, dass die daten bereits lokal verschluesselt und erst dann hochgeladen werden.
Leute mal ehrlich, wen wollt ihr mit dem Fachchinesisch eigentlich beeindrucken? Was glaubt ihr eigentlich wieviele Otto Normal User (davon soll es reichlich geben) die hier nun mitlesen auch was verstanden haben?
Ob nun Truecrypt, 7zip oder drauf geschissen, es geht einfach darum dass jeder sich selbst die Frage stellen muß was er nun wie ins Internet stellt. Es geht nicht nur um Cloud und Co, dass fängt schon mit der einfachen Email Adresse an.
Wer dann noch Thesen aufstellt das man sich drauf verlassen muß dass Angebote sicher sein müssen, der sollte erstmal an seiner Eigenverpflichtung arbeiten.
Mir gehen die Halsvenen ab wenn ich dieses Psydo Fachmann Geschwafel lese mit denen man es schafft die Leute zu verwirren welche eigentlich mit solchen Artikeln aufgeklärt werden sollen.
Sorry das musste nun mal raus…
@rhustox:
Das is übrigens ein Schlüsselrollen-Satz von der Enigma (steht in der Quelle auch).
Das war (mit) die beste Verschlüsselungsmaschine im WW II. Die Allierten konnten die nur knacken, weil sie a) eine Original-Enigma von einem U-Boot erbeutet hatten und b) die Engländer einen genialen Wissenschaftler (Alan Turing) hatten. Die haben dann mit RIESENaufwand die Funksprüche, die „nur“ mit 3 Walzen verschlüsselt waren, praktisch kurz nachher „mitlesen“ können.
Die U-Boote hatten später solche mit 4 Walzen, die waren damals nicht knackbar. 2 von diesen Funksprüchen sind erst vor kurzem mit ich weiß nich wieviel PCs geknackt worden – 60 Jahre später. Der allerletze ist bis jetzt noch ungeknackt…
Der Alan Turing hat also entscheident geholfen, für die Engländer den Krieg zu gewinnen. Als Dank hat er KEINEN Orden und KEINE Auszeichnungen/Ehrungen bekommen, im Gegenteil: sie haben ihn „weggemobbt“ – der gute Mann war schwul – und hat das auf befragen sogar zugegeben…
Erst vor kurzem hat sich die englische Regierung dafür öffentlich entschuldigt. Jetzt bin ich aber genug „abgeschwoffen“.
Ich nutze Dropbox vor allem fürs Studium. Es kostet ja nicht mehr die Welt eine kleine Festplatte oder einen Stick für seine heiklen Daten zu kaufen oder?
Daher versteh ich diese ganze Aufregung auch nicht und kann dir nur Zustimmen.
@Jott: Sorry – sinnfreier Kommentar.
Es geht hier nicht darum pseudo-brisante Dinge geheim zu halten, sondern, aus Sicht des Users, die Privatspähre zu schützen. Das ist absolut legitim – auch wenn es sich „nur“ um die Bilder der letzten Familienfeier handelt.
@Jott: Klasse Kommentar. Sehe ich ähnlich. Da ich nie auf die Idee käme, etwas in die Cloud zu laden, was ich nicht auch auf FB oder Picasa posten würde, ist mir das einerlei, ob sich jemand an den Daten bedient oder nicht.
Genau, Patrick, darum geht es. Und darüber wird hier im Blog sehr gut und vielseitig informiert. Darum kann Ich Caschys etwas entnervte Reaktion gut verstehen…
Wer es noch einfacher haben will, haut alles in ein verschlüsseltes Zip/Rar/7z-Archiv mit Passwort.
Vielen dank für die tollen Kommentare, war
einiges interessantes dabei. Man sollte sich
immer darüber bewußt sein, das es keine absolut
unknackbare Verschlüsselung gibt!!! (Bis auf
ein oder zwei Ausnahmen, die aber nicht
praktikabel sind…)
Schön geschrieben! Und fleißig weiterreiben 😉