Kommentar: Cloud und Verschlüsselung
von caschy | 69 Kommentare
Leute, ich muss hier mal wieder emotional schreiben. Weil mir sonst der Arsch platzt. Ich habe jetzt schon eine Halsschlagader wie eine Fleischwurst, wenn ich lese, was manche Newsseiten schreiben und / oder kommentieren. Nehmt es mir also nicht krumm – es ist nur ein Blog. Ihr erinnert euch an die Dropbox-Diskussion bezüglich unsicher und Co? Gefundenes Fressen für alle. Ich gehe jetzt mal nicht auf die Lücke als solches ein, sondern auf die leidige Diskussion Cloud und Verschlüsselung.
Die Cloud – das ist der Ort online. Hat man schon vor Jahren gehabt, ist mittlerweile nur hipper, smoother, shiny shine und jeder macht es. Nur weil ich Dropbox-Nutzer bin, verteidige ich nicht die Dropbox, dieses Thema könntet ihr auch 1:1 für SugarSync, Wuala, Amazon Cloudspace oder whatever sehen (und ich habe fast jeden Cloud-Speicher in der Vergangenheit getestet). Es gibt doch wirklich nur eine einfache Regel zu befolgen, oder?
1. Wenn du sensible Daten hast, die du online lagerst, dann verschlüssle sie zusätzlich.
Das ist die einzige Regel. Wenn ich nicht will, dass Bösewichte Zugriff erlangen, dann stelle ich den Kram nicht online (auch lokal kann man verschlüsseln ;)). Ende aus, keine Diskussion. Und wenn ich schon aus Faulheitsgründen sensible Daten irgendwo online habe, dann kann ich die doch sogar verschlüsseln, oder? Dann nutze ich die Verschlüsselung, mit der ich am besten klar komme. Ob ihr Software kauft oder Open Source wie TrueCrypt nutzt: bleibt euch überlassen. Aber verschlüsselt. Es bringt nichts, dass ein Anbieter sagt: die Daten sind online verschlüsselt. Die Daten sind online.
Hat jemand Usernamen / Passwort, dann nützt die Verschlüsselung auf dem Server nichts – dann kann eine Verschlüsselung der Datei helfen. Oder vielleicht wird auch mal der Anbieter eures Cloud-Spaces kompromittiert. Man weiss es doch nicht, was alles passiert. Deshalb: Verschlüsseln. Wer unbedingt bezahlen möchte: Knox für Mac, BoxCryptor für Windows – wer es kostenlos mag: Linux, Windows und Mac OS: TrueCrypt.
Ich habe diese ganzen Verschlüsselungsbeiträge bestimmt nicht zum Scherz geschrieben. Also bitte: verschlüsselt, verschlüsselt, verschlüsselt. Auch vielleicht mit dem Nachteil, dass ihr den Cloud-Dienst vielleicht nicht über das Web-Interface mehr nutzen könnt. Das darf nicht der Preis für Unsicherheit sein. Unverschlüsselt sollten nur Daten gelagert werden, mit denen ihr kein Problem hättet, dass die ganze Welt sie sehen kann.
Und nun entschuldigt diesen Beitrag, ich muss mir jetzt ein wenig am Ohrläppchen reiben um wieder runter zu kommen – ich musste in den letzten zwei Tagen zuviel unreflektierten Kram lesen. Aber die ganze Sache hatte auch für mich etwas Gutes: ich gehe jetzt noch sensibler mit einigen Daten um und habe mein „Verschlüsselungslevel“ etwas höher geschraubt.
Verschlüsselung darf kein Thema sein, dass bei Hypes wie eine Sau durch das Dorf getrieben wird. Das muss uns Benutzern in Fleisch und Blut übergehen. Macht den Menschen keine Cloud-Dienste madig, empfehlt Leuten die Verschlüsselung und den sicheren Umgang mit Daten. Und wenn ihr Tipps habt, immer rein damit in die Kommentare: ich bin auch kein Raketenwissenschaftler, der alles weiss – sondern eben auch nur Blogger und Anwender 🙂
Wird geladen ...
@caschy @phillip
Ich habe erst gestern durch einen Kommentar bei caschys Beitrag erstmalig von wuala gelesen und mir mal angeschaut, was lokal mit den Dateien passiert, bevor diese hochgeladen werden: sie werden verschlüsselt… (standardmäßig in /user/appdata/local/wuala/temp oder so ähnlich). Dann habe ich noch folgende Erklärung unter http://www.wuala.com/de/launch/ gefunden: „Sie fragen sich vielleicht: Wieso kann ich nicht direkt über die Webseite auf meine Dateien zugreifen? Die Antwort ist einfach: Ihre Privatsphäre ist uns wichtig. Um auf Ihre Dateien über die Webseite zuzugreifen, müsste unser Web-Server die Daten an Ihren Browser senden. Mit anderen Worten: Wuala’s Webserver müsste die Dateien entschlüsseln, damit die Dateien im Browser zugänglich wären. Da jedoch alle Dateien direkt auf Ihrem Computer verschlüsselt werden und Ihr Passwort niemals übermittelt wird, kann niemand – nicht einmal wir – Ihre Dateien öffnen oder darauf zugreifen. Somit können Sie nur über eine Desktop-Anwendung, die die Daten entschlüsseln kann, auf Ihre Dateien zugreifen. Um Ihnen diesen Zugriff aber dennoch von jedem Computer aus zu garantieren, können Sie diese Desktop-Anwendung direkt aus dem Browser starten, ohne dass Sie Wuala herunterladen oder installieren müssen.
Vereinfacht gesagt: Alle Dienste, auf die man im Browser zugreifen kann, haben Zugang zu Ihren Daten. Das Sicherheitskonzept von Wuala aber ist so gebaut, dass nicht einmal wir als Anbieter auf Ihre Dateien Zugriff haben. Daher ist es nicht möglich, auf Ihre Dateien über die Webseite zuzugreifen.
“
Für MICH bisher die genialste Lösung solange es kein Tool gibt, welches EINFACH mein Truecrypt-Container bei Dropbox und Co. ablegt, mountet und mit dem ich dann syncen, backupen usw. kann wie mit wuala. Wobei ich bei letzteren auch noch „wuala-Freunde“ berechtigen kann (auch eine coole Sache für Kollegen)…
Manchmal echt ärgerlich wenn man nicht selbst proggen kann, ich würde sowas mal versuchen (Dropbox/Truecrypt-Automount), ebenso wie ein Tool um auf verschiedenen Rechnern Thunderbird-RSS-Feeds zu syncen… so ich gehe mal eine Runde weinen und dann das Wetter genießen 🙂
@JürgenHugo
Damit wollte ich sagen: in dem Alter hat man selten in Schule/Lehre od. Studium mit diesen Themen zu tun gehabt. Du bist sowieso ne Ausnahme .. 😉
Ach übrigens diese Panikmache verbreitet sich leider genau so schnell wie die falsch wiedergegebene Streetview Geschichte – siehe: http://stadt-bremerhaven.de/google-stoppt-street-view-in-deutschland#comment-164909
wie jetzt? die cloud ist unsicher?
@stoiberjugend
ach geh..
vertraut doch den anbietern! die tun alles aber wirklich alles in ihrer macht stehende um die daten die wir, (meist) kostenlos hochladen, zu sichern! und die beschaeftigen alle nur mitarbeiter nach eingehenden sicherheitschecks! Alles streng nach US datenschutz richtlinien!
Ich kann noch https://spideroak.com/ empfehlen. Ein Dropbox mit lokaler Verschlüsselung
@cashy
Oft hapert es mit der Verschlüsselung auch im Bezug auf die anderen Anwender. Ich würde gerne meine kompletten Mails/Chatt/… verschlüsseln. Das Problem ist jeodch, dass den meißten Leuten
a) nicht bewusst ist, warum man verschlüsseln sollte und
b) sie nicht wissen wie es geht/es ihnen zu kompliziert ist und sie keine dringenden Gründe (siehe a)) haben es zu lernen
Leider wird sich da vermutlich so schnell nichts ändern
@JürgenHugo
Der Hammer war damals ja, dass angeblich der Vorgesetzte von Turing (in Bachley Park oder so ähnnlich) stets die aktuellen Codebücher von einem Informanten hatte und so die mit der Enigma verschlüsselten Codes hätte lesen können, jedoch trotzdem wollte dass die Verschlüsselung geknackt wird. Denn er wusste nicht wie lange er diese Bücher von dem Informant noch erhalten wird.
(siehe Simon Singh – Codes (ist ein echt tolles Buch ;-D))
Nur aus Interesse habe ich mir mal Spideroak und Wuala installiert. Die Verwendung (Nutzungskonzept) und Bedienung finde ich im Vergleich zu Dropbox totalen overhead und umständlich. Ist für mich definitiv kein Ersatz für Dropbox und beide sind bereits wieder entfernt.
@Jan: Es heißt „Bletchley Park“ – wer da nun was hatte, oder nicht – das haben wohl nur der Turing und sein Chef gewußt. Auch unter Wissenschaftlern is das nich anders als in der Sandkiste – die treten sich auch gegenseitig ans Knie…
Die Enigma hätte übrigens tatsächlich (so gut wie) unknackbar sein können – wenn sie EIN Sicherheitsfeature weggelassen hätten. Dann wär der Schlüssel um Potenzen stärker gewesen (ich glaub u.a., das sich ein Buchstabe nicht mit sich selbst „verschlüsseln“ darf – aber ich bin kein Mathematiker).
Die vierte Walze hat der Dönitz übrigens nur „aus dem Bauchgefühl“ entwickeln lassen, (fast) alle (deutschen) Experten haben bis zuletzt geglaubt, das Spione das ausgeschnüffelt haben. Und die vierte Walze ist auch nur für die U-Boote verwendet worden. Wenn sie generell eingeführt worden wäre, hätte der Krieg mind. länger gedauert.
Und die erste Atombombe wäre nicht auf Hiroshima geworfen worden, sondern vielleicht auf Heidelberg…die Amis haben sie sicher lieber auf Japan geworfen – aber geworfen hätten sie sie.
Ob ein anderer Kriegsausgang (Germania als Hauptstadt von Deutsch-Europa) nun besser gewesen wäre, laß ich mal dahingestellt…
Gibt es denn irgendne Software, bei der ich bei Bedarf die Daten aus der Cloud auch wieder entschlüsseln kann, ohne einen Rechner mit Adminrechten zu haben?
Also wenn ich SOO viel rumlaufen/kommen/machen würde wie viele hier (was ich normal nicht tu), dann hätt ich ständig ein Notebook dabei – natürlich mit allen Rechten, Netzteil, Kabel(n), etc.
Muss man eben (fast) immer eine Umhängetasche mit sich führen – wer immer in die Cloud will, der braucht halt Equipment. Von nix kommt nix!
@Caschy
Grundsätzlich gebe ich Dir Recht, dass Verschlüsselung ein gute Idee ist!
Auch wenn Du nicht explizit auf das Problem config.db von Dropbox eingegangen bist, so halte ich die aktuelle Warnung vor diesem Bug durchaus berechtigt. Soweit ich die aktuelle Diskussion zu diesem Thema verfolgt habe, ist die config.db eine einfache, unverschlüsselte SQLite-Datenbank. In ihr wird u.a. eine „host_id“ gespeichert, die man wohl als eine Art Session-ID ansehen muß. Sie ist nicht direkt mit dem Rechner verknüpft und wird auch nicht automatisch am Ende einer Session gelöscht. Wer diese ID besitzt, kann sich problemlos von Überall aus in die Dropbox einklinken und wird als berechtigter Benutzer erkannt.
Wer sollte nun an diese config.db rankommen?
Klar, als erstes fallen einen da Viren, Würmer, Trojaner & Co ein. Aber die kann man ja ganz einfach mit einer Antivirensoftware mit immer top aktuellen Signaturen in Schacht halten. Sollte der Rechner dennoch mal infiziert worden sein, kein Problem. Der Hobel wird kurzfristig dezinfiziert oder gleich neu aufgesetzt. Passwörter werden geändert und alles wird gut!
Wirklich?
Was macht Euch so sicher, dass die config.db oder auch nur die darin enthaltene host_id nicht gestohlen wurde?
Ein ändern der Passwörter bringt da erst mal gar nichts. Der Dieb hat weiterhin vollen Zugriff auf die Tropfschachtel!
Ok, Eure wichtigen Daten sind verschlüsselt und der Rest unkritisch…
Wirklich?
Was wenn der Dieb kein Dieb ist, sondern nur ein Kuckuck oder Osterhase? Er schiebt Euch lustige, kleine illegale Inhalte unter und geht dann petzen. Mit etwas Glück landet Ihr vielleicht auch auf der „No Fly List“ der TSC. Beim nächsten Urlaub macht Ihr dann Bekanntschaft mit einer etwas ausführlicheren Körpervisitation 😉
Ich muß zugeben, dass meine Argumente ein wenig konstruiert erscheinen – sind sie aber wirklich so weit hergeholt?
Wie sieht es mit Freunden, Bekannten oder Arbeitskollegen aus. Hat wirklich keiner die Möglichkeit oder ein Interesse die config.db zu stibitzen?
Sei es nun aus reiner Neugier oder um einem eins auszuwischen. Schon das Löschen einer verschlüsselten Datei kann jemanden in beträchtlichen Schwierigkeiten bringen.
@Jott:
Ich hatte deinen Kommentar so gedeutet, dass du es als unsinnig erachtest, Dateien zu verschlüsseln, da diese ohnehin kein „wichtiges“ Material enthalten würden.
Da hab ich dich wohl missverstanden – my bad 🙂
hallo,
verschlüsseln ist gut und wichtig. Ich mache es auch so: wichtige Daten werden online nur verschlüsselt gesichert und „unwichtige“ unverschlüsselt.
Ich sehe oft ein Problem bei der Verschlüsselungsaktion vergessen: das Entschlüsseln. Ich habe noch keine brauchbare Lösung gefunden, die das tadellos löst. Was mache ich, wenn ich die über Jahre vergessenen Daten entschlüsseln muss? Bin ich mir noch sicher, welche Software ich damals benutzt habe? Gibt es die Software überhaupt noch? Erinnere ich mich noch an das Passwort bzw. wo habe ich das Verschlüsselungs-Zertifikat gesichert?
Ich suche schon seit längerem eine Software die Daten auf Dateiebene verschlüsselt und daraus eine EXE-datei erstellen kann! So brauche ich keine spezielle Software zum Entschlüsseln und muss mich nur an das Passwort erinnern.
Container sind für mich auch keine sichere Alternative. Was passiert, wenn der Container auf der Festplatte korrupt ist und der korrupte Container in den Online-Speicher gesichert wird?
Also verschlüsseln ist eine Frage, aber man darf das Entschlüsseln nicht vergessen.
Gruss
Nogger
@LivingOn
„Klar, als erstes fallen einen da Viren, Würmer, Trojaner & Co ein. Aber die kann man ja ganz einfach mit einer Antivirensoftware mit immer top aktuellen Signaturen in Schacht halten.“
Trojaner und Co. werden nur dann gefunden, wenn sie a) durch ihre Heuristik auffallen oder b) ihre Signatur bekannt ist. Bei letzteren trifft das vermutlich nur zu, wenn die Schadsoftware auch den Antivirenhersteller auffällt und das wird auch nur bei massenhaften Auftreten so sein, nicht aber, wenn es nur einige wenige (hundert) Opfer gibt…
@sascha
Du hast Recht!
Dir ist allerdings mein leicht ironischer Unterton nicht aufgefallen. Vielleicht habe ich ihn auch nicht richtig ausgearbeitet 😉
Selbst wenn die Signaturen sehr zeitnah zur Verfügung stehen, bezweifel ich doch sehr, dass der überwiegende Teil der Nutzer diese innerhalb kürzester Zeit (Minuten bis wenigen Stunden) auch wirklich eingespielt hat. Bis dahin liegt das Kind bereits Tod im Brunnen.
@caschy:
Wieso auch für Wuala?
Wuala zeichnet sich doch gerade dadurch aus, dass alle Daten lokal verschlüsselt werden — auch wegen dem teilweisen P2P-Modell von Wuala.
Schade an Wuala ist die wenig erfreuliche Benutzeroberfläche, die zwar viele Funktionen bietet, aber die meisten Benutzer überfordern dürfte. Auf dem Mac ist es ausserdem bislang nicht möglich, die Anwendung ohne ständig vorhandenes Dock-Icon zu nutzen. Wer aber Sicherheit für seine Cloud-Daten sucht und nicht basteln oder zumindest die Nachteile von verschlüsselten Disk Images vermeiden möchte, ist mit Wuala sehr gut bedient.
@Martin: es geht in dem Beitrag darum, dass man Zugriff auf Clouddaten hat, wenn man User / Pass hat. Auch bei Wuala.
Guten Tag!
Etwas OFF TOPIC aber vielleicht trotzdem interessant für Dropbox-User:
http://www.labnol.org/tag/dropbox/
Recht nett finde ich ja z.B. die Nummer mit dem „CloudPrinting“.
Schaut es Euch mal an.
Freundliche Grüße
Paul B.
Hallo, ich habe meine Daten in der Dropbox per encFS unter Linux verschlüsselt und es funktioniert wunderbar. Damit habe och dann auch kein Problem, falls mal eine Lücke auftreten sollte. 😉 Ich empfehle Verschlüsselungssoftware nur aus freien Quellen zu benutzen. Dadurch ist es gewährleistet, dass keine Hintertüren eingebaut sind. Truecrypt ist meines Erachtens nicht 100%-ig open-source. Aber dazu gab es, glaube ich, schon mal in diesem Blog eine Diskussion.
Gruß
@caschy:
Richtig, aber immerhin ein Vorteil gegenüber Dropbox — neben der lokalen Verschlüsselung der Daten.
(Wobei bei Wuala für mich rätselhaft bleibt, wieso die Benutzeroberfläche nicht längst verbessert wurde. Mit Lacie im Hintergrund müssten die Ressourcen dafür doch eigentlich vorhanden sein …)