https://www.faz.net/-gy9-95daa

Sicherheit : So verschlüsselt man Daten in der Cloud

Daten verschlüsseln: So bleiben sie sicher in der Cloud Bild: Getty

Um das Speichern in der Cloud kommt man fast nicht mehr herum. Damit die Daten auch privat bleiben, sollten einige Sicherheitsvorkehrungen getroffen werden.

          Nicht immer ist die Cloud der sicherste Speicherplatz. Das hatten wir vor einigen Wochen am Beispiel der Verschlüsselungstrojaner erklärt. Doch für viele Anwendungen und Dienste kommt man um den Speicher in der Wolke nicht mehr herum. Wer auf seine Bestände an unterschiedlichen Orten regelmäßig zugreifen muss, ist mit einem Cloud-System und seiner automatischen Synchronisierung der Dateien bestens bedient. Doch ein Vorbehalt bleibt: Man will private Daten wie die Steuererklärung, Kopien von Ausweisen oder Kontoauszüge nicht zu einem Dienst hochladen, der womöglich irgendwann in die Hände von Hackern fällt. Auch Ermittlungsbehörden oder Nachrichtendienste könnten sich bedienen. Nicht nur, wenn die Daten im Ausland liegen.

          Michael Spehr

          Redakteur im Ressort „Technik und Motor“.

          Also muss verschlüsselt werden. Der Kennwortschutz von Word oder Excel reicht dazu nicht aus. Besonders bequem ist ein Verfahren, das im Hintergrund läuft: automatisch alles Hochgeladene verschlüsseln und beim Laden aufs Gerät wieder entschlüsseln. Wenn das ordentlich gemacht wird, spricht nichts dagegen. Aber die Software muss auf allen Geräten laufen, die in Verbindung mit der eigenen Cloud eingesetzt werden. Und sie wird wahrscheinlich nicht beim Streaming von Musik- oder Videodateien sowie im Einsatz des automatischen Foto-Uploads auf dem Smartphone funktionieren. Gegebenenfalls verschlüsselt man also nur ausgewählte Ordner mit privaten Dokumenten.

          Grünen Pünktchen für verschlüsselte Daten

          Der bekannteste Spezialist für solche Aufgaben ist die deutsche Software Boxcryptor. Sie lässt sich eingeschränkt gratis nutzen, für einen sinnvollen Einsatz bezahlt man als Privatperson 36 Euro im Jahr. Die App läuft wie jene des Cloud-Speichers fortwährend im Hintergrund. Man wählt einen oder mehrere Ordner für die Verschlüsselung, und alles, was fortan in diesem landet, wird selbsttätig verschlüsselt. Das Dateianhängsel ändert sich, zusätzlich wird ein „bc“ hinter die Dateinamenserweiterung des Originals gehängt, und verschlüsselte Dateien sind mit einem grünen Pünktchen markiert.

          Boxcryptor wirft hinsichtlich der Bedienung keine Fragen auf und läuft unter Windows, auf dem Mac, auf iPhone und iPad sowie den Androiden. Das eigene Boxcryptor-Konto verlangt Zugriff auf den Cloud-Dienst, und hier werden mehr als 20 verschiedene Angebote wie Dropbox, Onedrive, iCloud Drive und weitere unterstützt. Die Ver- und Entschlüsselung arbeitet lokal. Das bedeutet: Der Hersteller von Boxcryptor und der Anbieter des Cloud-Speichers können die verschlüsselten Dateien nicht entschlüsseln. Das Kennwort des Anwenders wird nicht an die Server von Boxcryptor übertragen. Der Quellcode der App liegt allerdings nicht offen. Man muss also den Programmierern vertrauen, dass das eigene Kennwort wirklich nie an Boxcryptor geschickt wird.

          Ein offenes Verschlüsselungssystem, das von vielen kritischen Augen geprüft werden kann, ist Veracrypt. Es ist der Nachfolger von Truecrypt, das viele Jahre als Referenz dieser Software-Gattung galt. Bis urplötzlich seine Programmierer 2014 verkündeten, das Projekt nicht weiterzuverfolgen. Truecrypt hatte zu diesem Zeitpunkt die erste Phase eines Sicherheits-Audits mit positiven Ergebnissen abgeschlossen. Der Grund für den Rückzug ist bis heute rätselhaft.

          Veracrypt steht gratis für Windows und den Mac zur Verfügung. Der Mac benötigt zusätzlich noch die Fuse-Dateisystemerweiterung, die ebenfalls gratis ist. Veracrypt arbeitet wie Truecrypt als Datentresor. Das Funktionsprinzip an sich ist einfach: Ein Teil der Festplatte wird zu einem Datentresor gemacht. Ist er geöffnet, sieht man die hineingelegten Inhalte, unverschlüsselt. Ist er geschlossen, sind alle Inhalte hinter seinen dicken Wänden uneinsehbar versteckt. Zum Öffnen wird der Tresor in das Laufwerkssystem des Rechners eingebunden, er ist also in Apples Finder wie eine Mini-Festplatte oder ein USB-Stick erkennbar und hat unter Windows einen Laufwerks-Kennbuchstaben. Veracrypt ist für das Öffnen und Schließen des Tresors zuständig, es läuft nicht permanent im Hintergrund. Der Tresor heißt in der Fachsprache Container, und er wird eingehangen, „gemounted“.

          Container lieber nicht zu groß wählen

          Der von Veracrypt verschlüsselte Container kann nahezu überall auf dem Rechner liegen, im Musik-Ordner, auf dem Desktop oder eben in der Cloud. Die Größe und der Name des Containers sind frei wählbar, ebenso gibt es ungezählte Raffinessen für die sichere Verschlüsselung. Unterschiedliche Krypto-Verfahren stehen zur Auswahl und weitere Extras. Anfangs folge man einfach den Standardvorgaben. Den Container sollte man nicht zu groß wählen, wenn er als Cloud-Tresor fungieren soll. Denn bei jeder noch so kleinen Änderung der eigenen Dateien muss der komplette Container neu in die Cloud hochgeladen werden. Im Unterschied zu einer dateibasierten Verschlüsselung kann es zudem Probleme geben, weil nicht unbedingt jede Änderung sofort geschrieben, also in die Cloud hochgeladen wird. Wer sodann vergisst, vor dem Herunterfahren des Rechners den Container auszuhängen, verliert gegebenenfalls die Arbeit der letzten Stunden. Wird der Container beschädigt, sind alle darinliegenden Dateien verloren. Und schließlich: Kennwortverlust bedeutet ebenfalls Datenverlust.

          Sprinter – der politische Newsletter der F.A.Z.
          Sprinter – der Newsletter der F.A.Z. am Morgen

          Starten Sie den Tag mit diesem Überblick über die wichtigsten Themen. Eingeordnet und kommentiert von unseren Autoren.

          Mehr erfahren

          Man muss also vorsichtig sein, aber der Gewinn besteht in einem sehr sicheren System, das selbst von Nachrichtendiensten nur dann zu hacken sein dürfte, wenn sie Inhalte auf anderen Wegen „ausleiten“ können, etwa mit einem vorab auf dem Gerät installierten Staatstrojaner. Sonst bleibt nicht viel, jedenfalls, wenn man für den Container ein hinreichend langes und komplexes Kennwort wählt. Wenn Datenspione in den Besitz des Rechners kommen, können sie natürlich über kurz oder lang ermitteln, ob auf ihm Veracrypt oder Truecrypt aktiv waren, die Spuren in der Registry und anderen Abteilungen von Windows kann man nicht ohne weiteres verwischen.

          Die Entschlüsselung wird nicht gelingen, aber in einigen Ländern wie Großbritannien können Strafverfolgungsbehörden die Herausgabe von Passwörtern und Krypto-Schlüsseln unter Androhung einer langjährigen Haftstrafe erzwingen. Um für solche Fälle gerüstet zu sein, gibt es seit Truecrypt das Konzept der glaubhaften Abstreitbarkeit. Die Idee: Man versteckt einen weiteren Container in einem verschlüsselten Container. Im Fall der Fälle gibt man das Kennwort des äußeren Containers heraus, dort liegen einige Alibi-Daten, während die wirklich wichtigen Unterlagen in einem weiteren Container versteckt sind, welcher den freien Speicherplatz des ersten Containers ausnutzt. Dieses Matrjoschka-Prinzip verschachtelter geschützter Container ist sehr aufwendig, bietet aber höchstmöglichen Schutz.

          Nutzerfreundlichkeit und Sicherheit passen noch nicht zusammen, das ist wieder einmal die Erkenntnis. Boxcryptor oder Veracrypt sind jedoch wichtige Schritte hin zu einer Infrastruktur der Zukunft, für die Verschlüsselung höchste Priorität besitzt.

          Weitere Themen

          Wann darf ein A380 mit drei Turbinen fliegen?

          Airbus : Wann darf ein A380 mit drei Turbinen fliegen?

          Ein Airbus A380 braucht zum Fliegen nicht unbedingt vier Triebwerke. Er kommt auch mit einem weniger ans Ziel. Unter bestimmten Voraussetzungen und Vorschriften.

          Topmeldungen

          Angestellte von Google und Youtube beim Gay Pride Festival in San Francisco, Juni 2014

          Trump gegen Google : Man nennt es Meinungsfreiheit

          Ohne das Internet wäre Donald Trump wohl nicht amerikanischer Präsident geworden. Jetzt beschwert er sich über politische Ideologisierung bei Google. Aus dem Silicon Valley schallt es zurück.
          Im Jahr 2016 ist es in Kalkutta zwar noch wuseliger, aber die Anzahl der Läden und Fahrzeuge deuten auf einen Entwicklungsfortschritt hin.

          Wohlstand, Gesundheit, Bildung : Der Welt geht es immer besser

          Kurz bevor er starb, hat der schwedische Arzt Hans Rosling noch ein Buch geschrieben. Es hat eine zutiefst erschütternde These: Der Zustand der Welt verbessert sich, doch keiner bekommt es mit. Woran liegt das?
          Schon im Wahlkampfmodus? Olaf Scholz am Samstag beim Tag der Offenen Tür im Finanzministerium in Berlin

          SPD : Scholz will bald Partnerin für Parteivorsitz vorstellen

          Olaf Scholz will sich in der „zweiten Wochenhälfte“ zu seiner Kandidatur und seiner Partnerin äußern. Die Zahl der Kandidaten-Paare für den Parteivorsitz könnte bis dahin noch gestiegen sein.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.