Cloud-Speicher

Das IT-Security-Team der Universität Wien hat für Studierende und MitarbeiterInnen einige praktische Tipps zusammengestellt, um den täglichen Umgang mit Cloud-Speichern wie u:cloud, Dropbox oder Google Drive sicherer zu gestalten. 

MitarbeiterInnen

Der ZID kann für externe Cloud-Speicher keinen Support leisten, da sich die Daten in diesem Fall außerhalb der Infrastruktur der Universität Wien befinden. 

Verzichten Sie als MitarbeiterIn der Universität Wien daher besser auf die Nutzung von externen Cloud-Speichern für wichtige, vertrauliche oder brisante Daten (beispielsweise Forschungsergebnisse, Verträge, Personaldaten). Nutzen Sie statt dessen die Services u:cloud oder Online-Speicherplatz der Universität Wien.

Voraussetzungen prüfen

Bevor Sie Ihre Daten einem Cloud-Speicher anvertrauen, prüfen Sie folgende Voraussetzungen:

  • Ist es Ihnen überhaupt gestattet, Daten in einem Cloud-Speicher – und damit auf einem fremden Server, eventuell im Ausland – abzulegen? Dies ist vor allem im betrieblichen und wissenschaftlichen Umfeld zu beachten.
  • Welche Arten der Datenspeicherung gestattet Ihr bevorzugter Cloud-Anbieter? Lesen Sie die Details in den Nutzungsbedingungen nach.
  • Erkundigen Sie sich bei KollegInnen, FreundInnen und per Internetrecherche über die Vertrauenswürdigkeit des von Ihnen bevorzugten Anbieters. Gab es in der Vergangenheit bei dem Anbieter oft sicherheitsrelevante Vorfälle? Gibt es andere negative Berichte, die die Vertrauenswürdigkeit in Frage stellen? 
  • Sollten Sie keine Informationen über den Anbieter finden, kann dies auch ein Alarmsignal sein. Nutzen Sie nur Cloud-Speicher, die etabliert und allgemein bekannt sind.

Sicher auf den Cloud-Speicher zugreifen

  • Verwenden Sie für den Zugriff auf den Cloud-Dienst nur die vom Anbieter zur Verfügung gestellte Software bzw. App oder einen aktuellen Browser.
  • Schützen Sie alle mit dem Cloud-Dienst verbundenen Arbeitsgeräte (Desktop- oder Laptop-Computer, Smartphones, Tablets) physisch vor fremdem Zugriff.
  • Halten Sie die Software auf allen Arbeitsgeräten aktuell. Dies gilt sowohl für die Software, mit der Sie auf den Cloud-Speicher zugreifen, als auch für das Betriebssystem

Mit lokal installierter Software oder als eingebundenes Netzlaufwerk

Greifen Sie mit lokal installierter Software auf den Cloud-Speicher zu oder binden Sie ihn als Netzlaufwerk ein. 

Legen Sie dafür die Daten, die Sie in der Cloud speichern möchten, in einen speziellen Ordner auf Ihrem Computer. Die Software synchronisiert den Ordner automatisch mit dem Cloud-Speicher. 


Risiken

Cloud-Speicher schützen nicht vor Datenverlust durch Ransomware, da Schadsoftware Ihren Computer manipulieren kann.

Beispiel: Die Originalversion einer Datei wird durch die Schadsoftware auf Ihrem Computer und im Cloud-Speicher gelöscht, statt dessen wird eine für Sie nicht zugängliche Version in den Cloud-Speicher hochgeladen. Die BetrügerInnen verlangen Lösegeld, um die Daten wieder freizugeben. 


Maßnahmen

Bei den meisten Cloud-Diensten haben Sie in der Regel – zeitlich begrenzt – die Möglichkeit, die Originalversion einer betroffenen Datei aus dem Papierkorb wiederherzustellen. Das ist ein Vorteil im Vergleich zu ausschließlich auf dem Computer gespeicherten Daten. Prüfen Sie die Regelungen zur Wiederherstellung im Vorfeld und machen Sie sich damit vertraut, um im Fall einer Infektion schnell reagieren zu können. 

Bei vielen Cloud-Diensten umfasst das Ihnen zu Verfügung stehende Speicherkontingent neben den eigentlichen Daten auch die Dateiversionierung und den Papierkorb. Sollten Sie am Limit Ihres Speicherkontingents angelangt sein, kann es vorkommen, dass das System alte Dateiversionen bzw. Dateien im Papierkorb selbstständig löscht.

Mit der App des Anbieters

Wenn Sie die App eines Cloud-Speichers auf Ihrem mobilen Gerät verwenden, sehen Sie üblicherweise eine Liste der verfügbaren Dateien. Laden Sie die gewünschten Dateien gezielt herunter. Der Cloud-Speicher wird nicht automatisch mit Ihrem mobilen Gerät synchronisiert. 

Derzeit sind dem ZID keine Fälle bekannt, bei denen Daten im Cloud-Speicher über eine App direkt und ohne Zutun der Nutzerin/des Nutzers durch Schadsoftware manipuliert wurden. 

Halten Sie die App stets aktuell.

Mit dem Browser

Der Zugriff mit dem Browser ist der sicherste, aber auch der am wenigsten komfortable Weg zu Ihren Daten im Cloud-Speicher. 

Der Cloud-Speicher wird nicht automatisch mit Ihrem Computer synchronisiert. Sie müssen die Daten selbst hochladen oder herunterladen. Manche Cloud-Speicher erlauben, Dateien über den Browser direkt in der Cloud zu bearbeiten. Möglicherweise sind aber nicht alle Ihre Daten dafür geeignet. 

Geben Sie Ihre Zugangsdaten nicht an Dritte weiter und halten Sie den Browser stets aktuell.


Risiken

Dem ZID sind keine Fälle bekannt, bei denen Daten im Cloud-Speicher über den Browser direkt und ohne Zutun der Nutzerin/des Nutzers durch Schadsoftware manipuliert wurden. 

Auch bei der Bearbeitung der Daten direkt in der Cloud ist mit keiner Manipulation Ihrer Daten durch eine Infektion auf Ihrem Computer zu rechnen. 

Cloud-Speicher in der Arbeitsgruppe verwenden


Risiken

Nach einer erfolgreichen Phishing-Attacke auf ein Mitglied der Arbeitsgruppe ist es dem/der AngreiferIn möglich, mit den erbeuteten Anmeldedaten und einem Browser sämtliche Daten der Cloud-Arbeitsgruppe abzuziehen. Das Risiko steigt mir der Anzahl der für die Arbeitsgruppe berechtigten NutzerInnen. 

Bei Verwendung von Synchronisationssoftware oder der Einbindung des Cloud-Speichers als Netzlaufwerk mittels WebDAV besteht die Gefahr, dass Daten auf allen verbundenen Computern der Arbeitsgruppe automatisch heruntergeladen und die Originale gelöscht werden. Zwar können manipulierte Daten bei den meisten Cloud-Anbietern zeitlich begrenzt wiederhergestellt werden, jedoch kann der Aufwand dafür in einer Arbeitsgruppe besonders hoch ausfallen.


Maßnahmen

  • Informieren Sie alle Mitglieder über die Sicherheitsrisiken für die Arbeitsgruppe und wie sie Risiken reduzieren.
  • Je nach Einsatzgebiet kann es sinnvoll sein, nur via Browser auf die Cloud zuzugreifen.
  • Falls Ihr Cloud-Anbieter Zwei-Faktor-Authentifizierung anbietet, sollte diese genutzt werden.
  • Vergeben Sie Berechtigungen nach tatsächlichem Bedarf. NutzerInnen, für die Lesezugriff ausreichend ist, sollten keine Schreibrechte erhalten.
  • Setzen Sie ein Passwort und, wenn möglich, ein Ablaufdatum, wenn Sie Daten mit Personen außerhalb Ihrer Cloud-Arbeitsgruppe teilen. Die erschwert die unkontrollierte Verbreitung der Daten.
  • Werden Daten der Arbeitsgruppe nur in Ausnahmefällen mit Dritten geteilt, kann es vorteilhaft sein, das Teilen von Inhalten dem/der VerwalterIn vorzubehalten.
  • Behalten Sie das Speicherkontingent im Auge. Wenn die Arbeitsgruppe an das Limit gelangt, kann es vorkommen, dass das System alte Dateiversionen bzw. Dateien im Papierkorb selbstständig löscht. Sie können dann nicht mehr zur Wiederherstellung verwendet werden.
  • Stellen Sie sicher, dass ehemaligen Mitgliedern der Arbeitsgruppe die Zugriffsberechtigung entzogen wird, sobald sie diese nicht mehr benötigen.


Im Ernstfall

Wurden Daten einer Arbeitsgruppe durch einen infizierten Computer manipuliert, empfiehlt es sich, den infizierten Computer sofort aus der Arbeitsgruppe auszuschließen und einer Desinfektion zuzuführen.

Alle Mitglieder der Arbeitsgruppe sollten zeitnah informiert und zur Achtsamkeit angehalten werden.

Danach können die Daten des Cloud-Speichers wiederhergestellt werden.

Zusätzliche Sicherheitsmaßnahmen


Zwei-Faktor-Authentifizierung

Falls Ihr Cloud-Speicher Zwei-Faktor-Authentifizierung ermöglicht, sollten Sie diese nutzen. Dann wird bei der Anmeldung zusätzlich zu NutzerInnenname und Passwort (erster Faktor, den Sie „wissen”) ein zweiter Faktor abgefragt, den Sie „haben”. Dies verhindert, dass sich Unbefugte an Ihrem Cloud-Speicher anmelden können, selbst wenn sie in Besitz Ihrer NutzerInnendaten sind. 

Bei den meisten Cloud-Anbietern stehen als zweiter Faktor verschiedene Medien zur Auswahl. Beispiele:

  • Eine PIN, die mit einer App erzeugt wird 
  • Eine PIN, die per SMS an Ihre Mobilfunknummer gesendet wird
  • Spezielle USB-Geräte zur Authentifizierung

Viele Cloud-Speicher verlangen den zweiten Faktor nur bei der ersten Anmeldung eines neuen Gerätes. Das Gerät wird dann als vertrauenswürdig eingestuft. Dies erhöht den Komfort und stellt gleichzeitig sicher, dass keine unbefugte Person ein neues vertrauenswürdiges Gerät hinzufügen kann – solange diese nicht im Besitz Ihrer NutzerInnendaten und beispielsweise Ihres Smartphones mit Ihrer SIM-Karte ist.


Verschlüsselung der Daten

Alle etablierten und allgemein bekannten Cloud-Speicher übertragen die Daten verschlüsselt zwischen Ihrem Endgerät und dem Cloud-Speicher. So können sie während der Übertragung nicht von Unbefugten abgefangen und gelesen oder verändert werden.

Im Cloud-Speicher liegen die Daten üblicherweise unverschlüsselt vor. AngreiferInnen, die sich Zugang zu Ihrem Cloud-Speicher verschafft haben, könnten sie also herunterladen und manipulieren.

In manchen Anwendungsszenarien kann es daher angemessen sein, die Daten verschlüsselt im Cloud-Speicher abzulegen. Dafür stehen verschiedene Werkzeuge in Form von Softwareprodukten von Spezialanbietern zu Verfügung, beispielsweise Cryptomator (Open Source) oder Boxcryptor (proprietär).

Containerbasierte Verschlüsselungslösungen (beispielsweise VeraCrypt) sind in vielen Fällen nicht geeignet. Diese Produkte basieren oft auf einer sehr großen Container-Datei. Diese müsste bei den meisten Cloud-Speicherdiensten bei jeder Änderung des Inhaltes vollständig neu übertragen werden. 

Die Verschlüsselung der Daten schließt manche Anwendungsszenarien aus oder erschwert sie erheblich. Prüfen Sie im Vorfeld, ob das von Ihnen gewählte Produkt Ihre Anforderungen erfüllt.

Zu Einschränkungen kann es beispielsweise in diesen Bereichen kommen:

  • Daten mit anderen Personen teilen
  • Von unterschiedlichen Betriebssystemen (Windows, macOS, Linux, Android, iOS) aus auf Daten zugreifen
  • Mit dem Browser auf Daten zugreifen
  • Versehentlich gelöschte Dateien wiederherstellen, wenn Pfade und Dateinamen von der Verschlüsselungslösung verschleiert werden

Die Verschlüsselung kann auch Mehraufwand generieren:

  • Eventuell sind zusätzliche Schritte wie erneute Passworteingabe, manueller Verbindungsaufbau oder Softwareaktualisierung notwendig.
  • Sie müssen Schlüssel-Dateien und Passwörter für die Verschlüsselung über einen langen Zeitraum sicher verwahren.
  • Sie müssen sicherstellen, dass Ihre Daten auf ein anderes Verschlüsselungswerkzeug migriert werden können, falls die genutzte Verschlüsselungssoftware außer Betrieb genommen wird.