Cloud-Speicher
Das IT-Security-Team der Universität Wien hat für Studierende und Mitarbeiter*innen einige praktische Tipps zusammengestellt, um den täglichen Umgang mit Cloud-Speichern wie u:cloud, Dropbox, Google Drive, Microsoft OneDrive oder iCloud sicherer zu gestalten.
Mitarbeiter*innen
Der ZID kann für externe Cloud-Speicher keinen Support leisten, da sich die Daten in diesem Fall außerhalb der Infrastruktur der Universität Wien befinden.
Verzichten Sie als Mitarbeiter*in der Universität Wien daher besser auf die Nutzung von externen Cloud-Speichern für wichtige, vertrauliche oder brisante Daten (beispielsweise Forschungsergebnisse, Verträge, Personaldaten). Nutzen Sie statt dessen die Services u:cloud oder Online-Speicherplatz der Universität Wien.
Hinweis
Wenn Sie Dateien nur für eine kurze Zeitspanne teilen möchten, etwa weil sie zu groß für ein E-Mail sind, können Sie auch den ACOnet FileSender nutzen. Mit diesem können Sie Dateien bis zu einer Größe von 250 GB für bis zu 2 Wochen teilen. Nur eine der beteiligten Seiten muss dabei einen u:account haben.
Voraussetzungen prüfen
Bevor Sie Ihre Daten einem Cloud-Speicher anvertrauen, prüfen Sie folgende Voraussetzungen:
- Ist es Ihnen überhaupt gestattet, Daten in einem Cloud-Speicher – und damit auf einem fremden Server, eventuell im Ausland – abzulegen? Dies ist vor allem im betrieblichen und wissenschaftlichen Umfeld zu beachten.
- Welche Arten der Datenspeicherung gestattet Ihr bevorzugter Cloud-Anbieter? Lesen Sie die Details in den Nutzungsbedingungen nach.
- Erkundigen Sie sich bei Kolleg*innen, Freund*innen und per Internetrecherche über die Vertrauenswürdigkeit des von Ihnen bevorzugten Anbieters. Gab es in der Vergangenheit bei dem Anbieter oft sicherheitsrelevante Vorfälle? Gibt es andere negative Berichte, die die Vertrauenswürdigkeit in Frage stellen?
- Sollten Sie keine Informationen über den Anbieter finden, kann dies auch ein Alarmsignal sein. Nutzen Sie nur Cloud-Speicher, die etabliert und allgemein bekannt sind.
Sicher auf den Cloud-Speicher zugreifen
- Verwenden Sie für den Zugriff auf den Cloud-Dienst nur die vom Anbieter zur Verfügung gestellte Software bzw. App oder einen aktuellen Browser.
- Nutzen Sie gegebenenfalls den Inkognito- oder Privat-Modus des Browsers. Damit ist die Sitzung nach dem Verlassen des Inkognito-Modus nicht mehr direkt verfügbar, selbst wenn Sie sich nicht abmelden.
- Schützen Sie alle mit dem Cloud-Dienst verbundenen Arbeitsgeräte (Desktop- oder Laptop-Computer, Smartphones, Tablets) physisch vor fremdem Zugriff.
- Halten Sie die Software auf allen Arbeitsgeräten aktuell. Dies gilt sowohl für die Software, mit der Sie auf den Cloud-Speicher zugreifen, als auch für das Betriebssystem.
Mit lokal installierter Software oder als eingebundenes Netzlaufwerk
Greifen Sie mit lokal installierter Software auf den Cloud-Speicher zu oder binden Sie ihn als Netzlaufwerk ein.
Legen Sie dafür die Daten, die Sie in der Cloud speichern möchten, in einen speziellen Ordner auf Ihrem Computer. Die Software synchronisiert den Ordner automatisch mit dem Cloud-Speicher.
Risiken
Cloud-Speicher schützen nicht vor Datenverlust durch Ransomware, da Schadsoftware Ihren Computer manipulieren kann.
Beispiel: Die Originalversion einer Datei wird durch die Schadsoftware auf Ihrem Computer und im Cloud-Speicher gelöscht, statt dessen wird eine für Sie nicht zugängliche Version in den Cloud-Speicher hochgeladen. Die Betrüger*innen verlangen Lösegeld, um die Daten wieder freizugeben.
Maßnahmen
Bei den meisten Cloud-Diensten haben Sie in der Regel – zeitlich begrenzt – die Möglichkeit, die Originalversion einer betroffenen Datei aus dem Papierkorb wiederherzustellen. Das ist ein Vorteil im Vergleich zu ausschließlich auf dem Computer gespeicherten Daten. Prüfen Sie die Regelungen zur Wiederherstellung im Vorfeld und machen Sie sich damit vertraut, um im Fall einer Infektion schnell reagieren zu können.
Bei vielen Cloud-Diensten umfasst das Ihnen zu Verfügung stehende Speicherkontingent neben den eigentlichen Daten auch die Dateiversionierung und den Papierkorb. Sollten Sie am Limit Ihres Speicherkontingents angelangt sein, kann es vorkommen, dass das System alte Dateiversionen bzw. Dateien im Papierkorb selbstständig löscht.
Mit der App des Anbieters
Wenn Sie die App eines Cloud-Speichers auf Ihrem mobilen Gerät verwenden, sehen Sie üblicherweise eine Liste der verfügbaren Dateien. Laden Sie die gewünschten Dateien gezielt herunter. Der Cloud-Speicher wird nicht automatisch mit Ihrem mobilen Gerät synchronisiert.
Derzeit sind dem ZID keine Fälle bekannt, bei denen Daten im Cloud-Speicher über eine App direkt und ohne Zutun der Nutzer*in*des Nutzers durch Schadsoftware manipuliert wurden.
Halten Sie die App stets aktuell.
Mit dem Browser
Der Zugriff mit dem Browser ist der sicherste, aber auch der am wenigsten komfortable Weg zu Ihren Daten im Cloud-Speicher.
Der Cloud-Speicher wird nicht automatisch mit Ihrem Computer synchronisiert. Sie müssen die Daten selbst hochladen oder herunterladen. Manche Cloud-Speicher erlauben, Dateien über den Browser direkt in der Cloud zu bearbeiten. Möglicherweise sind aber nicht alle Ihre Daten dafür geeignet.
Geben Sie Ihre Zugangsdaten nicht an Dritte weiter und halten Sie den Browser stets aktuell.
Risiken
Dem ZID sind keine Fälle bekannt, bei denen Daten im Cloud-Speicher über den Browser direkt und ohne Zutun der*des Nutzer*in* Nutzers durch Schadsoftware manipuliert wurden.
Auch bei der Bearbeitung der Daten direkt in der Cloud ist mit keiner Manipulation Ihrer Daten durch eine Infektion auf Ihrem Computer zu rechnen.
Maßnahmen
Falls möglich, aktivieren Sie die Multi-Faktor-Authentifizierung (MFA) bzw. Zwei-Faktor-Authentifizierung (2FA).
Cloud-Speicher in der Arbeitsgruppe verwenden
Risiken
Nach einer erfolgreichen Phishing-Attacke auf ein Mitglied der Arbeitsgruppe ist es dem*der Angreifer*in möglich, mit den erbeuteten Anmeldedaten und einem Browser sämtliche Daten der Cloud-Arbeitsgruppe abzuziehen. Das Risiko steigt mir der Anzahl der für die Arbeitsgruppe berechtigten Nutzer*innen.
Bei Verwendung von Synchronisationssoftware oder der Einbindung des Cloud-Speichers als Netzlaufwerk mittels WebDAV besteht die Gefahr, dass Daten auf allen verbundenen Computern der Arbeitsgruppe automatisch heruntergeladen und die Originale gelöscht werden. Zwar können manipulierte Daten bei den meisten Cloud-Anbietern zeitlich begrenzt wiederhergestellt werden, jedoch kann der Aufwand dafür in einer Arbeitsgruppe besonders hoch ausfallen.
Maßnahmen
- Informieren Sie alle Mitglieder über die Sicherheitsrisiken für die Arbeitsgruppe und wie sie Risiken reduzieren.
- Je nach Einsatzgebiet kann es sinnvoll sein, nur via Browser auf die Cloud zuzugreifen.
- Falls Ihr Cloud-Anbieter Multi-Faktor-Authentifizierung anbietet, sollte diese genutzt werden.
- Vergeben Sie Berechtigungen nach tatsächlichem Bedarf. Nutzer*innen, für die Lesezugriff ausreichend ist, sollten keine Schreibrechte erhalten.
- Setzen Sie ein Passwort und, wenn möglich, ein Ablaufdatum, wenn Sie Daten mit Personen außerhalb Ihrer Cloud-Arbeitsgruppe teilen. Die erschwert die unkontrollierte Verbreitung der Daten.
- Werden Daten der Arbeitsgruppe nur in Ausnahmefällen mit Dritten geteilt, kann es vorteilhaft sein, das Teilen von Inhalten dem*der Verwalter*in vorzubehalten.
- Behalten Sie das Speicherkontingent im Auge. Wenn die Arbeitsgruppe an das Limit gelangt, kann es vorkommen, dass das System alte Dateiversionen bzw. Dateien im Papierkorb selbstständig löscht. Sie können dann nicht mehr zur Wiederherstellung verwendet werden.
- Stellen Sie sicher, dass ehemaligen Mitgliedern der Arbeitsgruppe die Zugriffsberechtigung entzogen wird, sobald sie diese nicht mehr benötigen.
Im Ernstfall
Wurden Daten einer Arbeitsgruppe durch einen infizierten Computer manipuliert, empfiehlt es sich, den infizierten Computer sofort aus der Arbeitsgruppe auszuschließen und einer Desinfektion zuzuführen.
Alle Mitglieder der Arbeitsgruppe sollten zeitnah informiert und zur Achtsamkeit angehalten werden.
Danach können die Daten des Cloud-Speichers wiederhergestellt werden.
Zusätzliche Sicherheitsmaßnahmen
Multi-Faktor-Authentifizierung
Falls Ihr Cloud-Speicher Multi-Faktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung (2FA) ermöglicht, sollten Sie diese nutzen. Dann wird bei der Anmeldung zusätzlich zu Nutzer*innenname und Passwort (erster Faktor, den Sie „wissen”) ein zweiter Faktor abgefragt, den Sie „haben”. Dies verhindert, dass sich Unbefugte an Ihrem Cloud-Speicher anmelden können, selbst wenn sie in Besitz Ihrer Nutzer*innendaten sind.
Bei den meisten Cloud-Anbietern stehen als zweiter Faktor verschiedene Medien zur Auswahl. Beispiele:
- Eine PIN, die mit einer App erzeugt wird
- Eine PIN, die per SMS an Ihre Mobilfunknummer gesendet wird
- Eine App, die nach biometrischer Prüfung die Authentifizierung bestätigt
- Spezielle USB-Geräte zur Authentifizierung
Viele Cloud-Speicher verlangen den zweiten Faktor nur bei der ersten Anmeldung eines neuen Gerätes. Das Gerät wird dann als vertrauenswürdig eingestuft. Dies erhöht den Komfort und stellt gleichzeitig sicher, dass keine unbefugte Person ein neues vertrauenswürdiges Gerät hinzufügen kann – solange diese nicht im Besitz Ihrer Nutzer*innendaten und beispielsweise Ihres Smartphones mit Ihrer SIM-Karte ist.
Verschlüsselung von Daten
Alle etablierten und allgemein bekannten Cloud-Speicher übertragen die Daten verschlüsselt zwischen Ihrem Endgerät und dem Cloud-Speicher. So können sie während der Übertragung nicht von Unbefugten abgefangen und gelesen oder verändert werden.
Im Cloud-Speicher liegen die Daten üblicherweise unverschlüsselt vor. Angreifer*innen, die sich Zugang zu Ihrem Cloud-Speicher verschafft haben, könnten sie also herunterladen und manipulieren.
In manchen Anwendungsszenarien kann es daher angemessen sein, die Daten verschlüsselt im Cloud-Speicher abzulegen. Dafür stehen verschiedene Werkzeuge in Form von Softwareprodukten von Spezialanbietern zu Verfügung.
Um ganze synchronisierte Ordner zu verschlüsseln, ist die Software Cryptomator empfehlenswert. Diese speichert verschlüsselte Dateien einzeln. Dies bringt gerade im Kontext von Cloud-Diensten den Vorteil, dass nach einer Änderung nur die Dateien übertragen werden müssen, die bearbeitet wurden. Eine Anleitung für Cryptomator finden Sie auf der Cryptomator-Webseite.
Containerbasierte Verschlüsselungslösungen (beispielsweise VeraCrypt) sind in vielen Fällen nicht geeignet. Diese Produkte basieren oft auf einer sehr großen Container-Datei. Diese müsste bei den meisten Cloud-Speicherdiensten bei jeder Änderung des Inhaltes vollständig neu übertragen werden.
Die Verschlüsselung der Daten schließt manche Anwendungsszenarien aus oder erschwert sie erheblich. Prüfen Sie im Vorfeld, ob das von Ihnen gewählte Produkt Ihre Anforderungen erfüllt.
Zu Einschränkungen kann es beispielsweise in diesen Bereichen kommen:
- Daten mit anderen Personen teilen
- Von unterschiedlichen Betriebssystemen (Windows, macOS, Linux, Android, iOS) aus auf Daten zugreifen
- Mit dem Browser auf Daten zugreifen
- Versehentlich gelöschte Dateien wiederherstellen, wenn Pfade und Dateinamen von der Verschlüsselungslösung verschleiert werden
Die Verschlüsselung kann auch Mehraufwand generieren:
- Eventuell sind zusätzliche Schritte wie erneute Passworteingabe, manueller Verbindungsaufbau oder Softwareaktualisierung notwendig.
- Sie müssen Schlüssel-Dateien und Passwörter für die Verschlüsselung über einen langen Zeitraum sicher verwahren.
- Sie müssen sicherstellen, dass Ihre Daten auf ein anderes Verschlüsselungswerkzeug migriert werden können, falls die genutzte Verschlüsselungssoftware außer Betrieb genommen wird.
Hinweis
Mehr Informationen zu Verschlüsselung im Allgemeinen finden Sie unter Kryptografie.