07.08.2013

Chat Daten­schutz und Cloud: Antworten auf Ihre Fragen

Chat Datenschutz und Cloud Meldung
test-Experten Christian Schlüter (links) und Dr. Gunnar Schwan.

Online-Speicher­dienste wie Dropbox, Microsoft SkyDrive oder Google Drive sind praktisch für alle, die täglich mit Smartphone, Tablet und Computer hantieren. Aber sind sie auch sicher? Und wie gut funk­tionieren die Dienste im täglichen Gebrauch? Wie können Nutzer ihre Daten für die Cloud verschlüsseln, um sie vor Zugriffen zu schützen? Im Chat auf test.de haben die test-Experten Christian Schlüter und Dr. Gunnar Schwan die Fragen der Nutzer beant­wortet. Hier lesen Sie das Chat-Protokoll.

Die Top-3-Fragen

Moderator: Vor dem Chat hatten die Leser und Lese­rinnen bereits die Möglich­keit, Fragen zu stellen und zu bewerten.
Hier die TOP-1-Frage aus dem Pre-Chat:

Flutz: Welcher deutsche Cloud-Anbieter hat seine Daten-Server auch ausschließ­lich in Deutsch­land stehen und ist somit nach deutschem Recht aufgestellt?

Dr. Gunnar Schwan: Aus unserem Test­feld im Test von Online-Speicherdiensten dürfte es nur die Telekom sein. Zentral ist jedoch nicht nur Deutsch­land, sondern der europäische Wirt­schafts­raum (EWR).

Christian Schlüter: Es ist nicht leicht heraus­zufinden, wo die Anbieter ihre Server stehen haben. Das war für uns sehr schwer heraus­zufinden, wir mussten uns da auf die Trans­parenz der Anbieter verlassen.

Moderator: ... und hier die Top 2-Frage:

Benni: Sind heutige Verschlüsselungs­techniken wirk­lich so sicher, dass sie auf lange Sicht nicht von Regierungen geknackt werden können?

Christian Schlüter: Welche „Power“ die Geheim­dienste derzeit haben, können wir nur schwer einschätzen. Nutzer, die ihre Daten verschlüsseln, sollten wissen, dass zum Beispiel der amerikanische Geheim­dienst NSA diese Daten so lange aufbewahren darf, bis er in der Lage ist, diese Daten zu entschlüsseln.

Dr. Gunnar Schwan: Es ist eine Frage der Zeit, vergleich­bar mit dem Knacken eines Fahr­radschlosses: Im Moment dauert es Jahre oder Jahr­zehnte, die Daten zu entschlüsseln, zukünftige Computer sollten es schneller schaffen.

Moderator: ... und die Top 3-Frage:

mgredler: Viele Unternehmen speichern Kunden­daten. Kürzlich habe ich einen Sport­händler gefragt, wo meine Kunden­daten gespeichert werden. Stolz erwiderte er: „In der Cloud“. Meine Frage nach dem Wo konnte er gar nicht beant­worten. Er nutze ein modernes Waren­wirt­schafts­system, wisse aber nicht, wo die Daten (laut Verkäufer natürlich „sicher“) gespeichert sind. Was kann der Konsument gegen diesen Wahn­sinn unternehmen? Bricht der Händler nicht die Gesetze?

Dr. Gunnar Schwan: Das ist grob fahr­lässig. Der Sport­händler sollte darüber Bescheid wissen, schließ­lich ist er dafür verantwort­lich. Und wenn er die Daten nicht selber speichert, muss er darüber informiert sein, wer die Daten verwaltet und wie er sie verarbeitet.

Christian Schlüter: Nutzer haben immer das Recht, von Unternehmen ein sogenanntes Verfahrens­verzeichnis anzu­fordern. Darin müssen Unternehmen unter anderem regeln, wie sie mit Nutzer­daten umgehen. Wir haben das auch in unserem Test der Online-Speicher­dienste abge­fragt. Nicht jedes Unternehmen war hier trans­parent und hat uns das Verfahrens­verzeichnis vorgelegt.

Gibt es ein Recht auf Einsicht­nahme?

Flori: Wer garan­tiert die „wirk­liche“ Löschung also unwiderrufliche Vernichtung meiner Daten bei einer Konto­löschung? Gibt es ein Recht auf Einsicht, ob alle meine Daten auch wirk­lich entfernt wurden?

Dr. Gunnar Schwan: Garan­tieren kann man das nicht. Man muss dem Anbieter vertrauen. Im Test haben wir versucht, uns mit gelöschten Accounts wieder anzu­melden – aber eine umfassende Prüfung ist das natürlich nicht.

Christian Schlüter: Oftmals löschen die Anbieter die Daten nicht sofort. Zum einen stellen sie die vom Nutzer freigegebenen Daten weiterhin anderen Nutzern zur Verfügung. Zum anderen wollen sie eventuellen Wieder­einsteigern das Hoch­laden der gleichen Daten vereinfachen.

Dr. Gunnar Schwan: Die erste Variante kann nicht verhindert werden und ist legitim. Die zweite ist klar gegen den Nutzer gerichtet. Manchmal ist der Anbieter per Gesetz gezwungen, Daten zu speichern. Zum Beispiel bei kosten­pflichtigen Diensten aus Abrechnungs­gründen.

Flori: Gibt es eine Art „Wechselrecht“ d.h. kann ich die unwiderrufliche Löschung bzw. vorheriges Trans­ferieren der Daten vom amerikanischen Anbieter zu einem deutschen mit dem Hinweis auf deutsches (Daten-) Recht veranlassen und muss diese (kostenfrei) durch­geführt werden?!

Christian Schlüter: Ein Wechselrecht gibt es nicht. Oftmals ist ein Wechsel auch wenig praktikabel, weil es an klaren Stan­dards und Schnitt­stellen zur Daten­über­tragungen zwischen den verschiedenen Anbietern fehlt.

Dr. Gunnar Schwan: Praktisch hieße das, die Daten herunter­zuladen, beim amerikanischen Anbieter zu kündigen, sich beim deutschen Anbieter zu registrieren und die Daten dort hoch­zuladen. Bei größeren Daten­mengen ist das sehr zeit­aufwändig.

Eine eigene Wolke

Moderator: Hier eine aktuelle Frage:

Sauer: Ist es sicherer sich eine eigene Wolke anzu­legen? NAS-Server sind ja sehr preis­wert zu bekommen. Oder mit Medien­server, wie zum Beispiel Cock­tail Audio X10, belastet man zuhause gar nicht mal seine Internetleitung.

Christian Schlüter: Eine private Cloud für zuhause ist auf jeden Fall aus Daten­schutz­sicht eine Alternative, denn hier bin ich als Nutzer ganz allein und selbst für die Daten verantwort­lich. Besonders, wenn dabei Open Source Software verwendet wird, ist klar einsehbar, ob es eventuell Hintertüren gibt. Die private Cloud hat aber auch Nachteile: Zum einen sind die Anschaffungs­preise im Vergleich zu kostenlosen Cloud­diensten oft noch sehr hoch. Außerdem müssen Nutzer selber eine gewisse Technikaf­finität haben, um sie einzurichten. Nicht zuletzt könnte ein privater Netz­werk­speicher zum Beispiel geklaut oder bei Brand- und Wasser­schäden vernichtet oder stark beschädigt werden.

Moderator: ... und noch eine aktuelle Frage:

Daniel: Wie sieht es denn mit Kontakt-, Termin- und E-Mail-Daten aus, die ich wie viele andere zwischen Handy und PC synchronisiere? Microsoft zum Beispiel nutzt dafür ja auch den Cloud-Dienst Outlook.com. Wie lassen sich solche Daten verschlüsseln?

Dr. Gunnar Schwan: Entweder nutze ich diese Dienste wie z. B. Terminkalender, dann sind die Daten unver­schlüsselt, oder ich lade einen verschlüsselten Kalender in die Cloud, dann kann ich aber mit ihm dort nicht arbeiten – die Funk­tionalität ist weg.

Daten verschlüsseln

Timo: Daten in Dropbox und Co. kann ich verschlüsseln (z.B Ture Crypt). Das funk­tioniert auch für mein Smartphone gut. Meine E-Mail (mit viel Arbeit) auch, aber wie kann ich dann auf mein E-Mail Post­fach online zugreifen (z.B. gmail oder web.de) und wie stelle ich sicher, dass ich auch über mein Smartphone die E-Mail verschlüsselt senden und empfangen kann?

Dr. Gunnar Schwan: Es gibt zwei Arten von Verschlüsselung: für den Trans­port der Daten und für die Speicherung der Daten auf dem Server.

Christian Schlüter: Der Trans­portweg sollte in der Regel auto­matisch verschlüsselt sein (z. B. über das https-Protokoll). Auf dem Server sind die Daten auch verschlüsselt, allerdings besitzt der Anbieter den Schlüssel und kann die Daten so einsehen. Wer sich davor schützen will, verschlüsselt vor dem Upload mit TrueCrypt, Boxcryptor oder Cloudfogger. Bei den Emails sieht es etwas anders aus: Ein weit verbreiteter Verschlüsselungs­stan­dard ist hier PGP, die Abkür­zung steht für Pretty Good Privacy. Um diese Verschlüsselung zu nutzen, benötigen Nutzer eine entsprechende E-Mail-Software auf dem Computer oder dem Smartphone.

Dr. Gunnar Schwan: Wenn die E-Mails verschlüsselt werden, müssen sich auch die Empfänger mit der Entschlüsselung beschäftigen und entsprechende Software benutzen.

Neururer 4 President: Ein Kollege erzählte mir, dass er es so einge­richtet hat, dass seine Backups auto­matisch und verschlüsselt hoch­geladen werden. Dabei würden nur die geänderten Daten hoch­geladen, nicht jedes Mal das Gesamt­paket. Wie geht das und wie sicher sind solche Verschlüsse­lungen?

Christian Schlüter: Wahr­scheinlich hat der Kollege eine Backup-Software im Einsatz. Hier können Nutzer auto­matisierte Daten­sicherungen einstellen und je nach Software nicht nur auf externen Daten­trägern sichern, sondern auch in der Cloud.

Dr. Gunnar Schwan: Ob die Daten sicher über­tragen und gespeichert werden, können wir leider nicht beur­teilen, weil wir die einge­setzte Lösung nicht kennen.

Cloud-Dienst oder Intranet-Server?

L. Descher: Sehr geehrter Herr Schlüter, sehr geehrter Herr Dr. Schwan, was ist sicherer: Ein guter Cloud-Dienst oder ein Intranet-Server, der mit den üblichen Login/Pass­wort-Mecha­nismus geschützt ist?

Dr. Gunnar Schwan: Zum Schutz vor fremdem Zugriff auf die Daten ist wahr­scheinlich das Intranet die bessere Lösung. Die Sicherheit steht und fällt aber mit der Pass­wort-Politik und dem Einsatz von Sicherungs­methoden, die zum Beispiel Brute-Force-Angriffe, also massenhaftes Ausprobieren von Pass­wörtern, abwehren.

Moderator: ... und noch eine aktuelle Frage:

Macki: Verbindungen zur Cloud laufen oft über eine https-Verbindung. Die Daten werden dann nicht im Klar­text über­tragen, sondern sind verschlüsselt. Kann ein externer Angreifer den Weg dieser Daten nach­voll­ziehen beziehungs­weise die Verschlüsselung in angemessener Zeit „knacken“?

Christian Schlüter: Die https-Verschlüsselung gilt als relativ sicher, aber eine hundert­prozentige Sicherheit gibt es nie. Wichtig ist aber nicht nur, ob die Über­tragung mit https verschlüsselt ist, sondern auch ob die Daten verschlüsselt beim Anbieter lagen.

Dr. Gunnar Schwan: In unserem Test von Online-Speicherdiensten fiel Microsoft SkyDrive negativ mit seiner App für iPhone und Co. auf. Dort wurden die Daten unver­schlüsselt über­tragen.

Backup im Bank­schließ­fach

Klausklaus: 99 Prozent meiner Daten sind weder geheim noch wichtig. Interes­sant wird es bei dem restlichen einen Prozent: Gehalts­abrechnungen, Fotos von der Geliebten, Depot­auszüge, Gerichts­unterlagen, eine Excel­tabelle mit Pass­wörtern bei 150 verschiedenen Online­shops. Gerade solche Daten will ich einer­seits besonders sichern für den Fall dass mein Haus samt PC und externer Sicherungs­fest­platten abbrennt. Anderer­seits würde ich genau diese Dateien niemals in die Cloud schieben. Wie würden Sie dieses Dilemma lösen?

Christian Schlüter: Wenn es um die reine Daten­sicherung geht und die Daten nicht tagtäglich verfügbar sein müssen, sollten Sie die Sicherung z. B. auf einer externen Fest­platte speichern und diese außer Haus, z. B. bei Freunden und Bekannten oder aber in einem Bank­schließ­fach lagern.

Dr. Gunnar Schwan: Bei Daten, die ständig verfügbar sein müssen, fertigt man ein zweites Backup auf einer separaten Fest­platte an und bringt diese von Zeit zu Zeit zu den oben genannten Freunden oder Bekannten bzw. ins Schließ­fach.

ok: Ich hatte bei einem sehr große amerikanischen Anbieter Dokumente in der Cloud. Trotz Löschung wurden diese mehr­mals wieder­hergestellt und waren nicht dauer­haft lösch­bar. Erst nach zehn Versuchen war ein nach­haltiges Löschen zu erkennen. Müssen Daten dann auch endgültig gelöscht sein? Auch aus Backups? Dürfen gelöschte Daten auto­matisch wieder­hergestellt oder zweck­entfremdet ausgewertet werden? Wie ist die recht­liche Situation in Sachen „Backup & Restore“?

Dr. Gunnar Schwan: Das ist definitiv nicht in Ordnung. Nur der Nutzer entscheidet über seine Daten, nicht der Anbieter.

Christian Schlüter: Leider ist man als Nutzer den Anbietern ausgeliefert und hat keine Kontroll­möglich­keit, ob die Daten tatsäch­lich gelöscht werden oder nicht. Nutzer sollten sich deswegen schon im Vorfeld Gedanken darüber machen, welche Daten sie über­haupt einem Anbieter anver­trauen möchten und ob es immer die Cloud-Lösung sein muss.

Die test.de-Nutzer­daten sind sicher

Test-Daten­schutz: Wieso wird test.de nicht auf deutschen Servern gehostet?

Christian Schlüter: test.de wird auf Servern im europäischen Wirt­schafts­raum gehostet. Wir bevor­zugen eine Server-Lösung, die es uns ermöglicht, flexibel auf Leistungs­spitzen zu reagieren, damit der Zugriff auf test.de jeder­zeit gesichert ist. Alle redak­tionellen Inhalte auf test.de sind öffent­lich oder gegen Bezahlung zugäng­lich und daten­schutz­recht­lich nicht relevant.

Christian Schlüter: Alle personenbezogenen Daten, z. B. Nutzer-Accounts auf test.de, werden ausschließ­lich in unserem lokalen Netz­werk gespeichert.

Moderator: Kommen wir zu unserer letzten Frage im heutigen Chat.

Was ist, wenn beim Anbieter der Blitz einschlägt?

E. B.: Hallo! Meine Frage ist: Was ist, wenn bei meinem Anbieter der Blitz einschlägt oder die Firma pleite geht? Sind meine Dateien trotzdem sicher?

Christian Schlüter: Wenn der Anbieter pleite geht, bewege ich mich als Nutzer in einer unsicheren Grauzone. In der Regel über­nimmt der Insolvenz­verwalter alle Geschäfte. Wann und ob die Daten dem Nutzer wieder zur Verfügung stehen, ist in diesem Fall aber unsicher.

Dr. Gunnar Schwan: Ansonsten sind die Daten gegen Unfälle wie Blitz­einschlag in der Regel durch parallele Kopien gesichert.

Moderator: Und hier noch ein kurzes Schluss­wort an die User:

Dr. Gunnar Schwan: Wir freuen uns über weitere Fragen und Test­ideen zum Thema Cloud oder Daten­schutz.

Christian Schlüter: Vielen Dank für die vielen interes­santen Fragen – und immer gut verschlüsseln!

Moderator: Das waren 60 Minuten test.de-Expertenchat. Vielen Dank an die User für die vielen Fragen, die wir aus Zeitgründen leider nicht alle beant­worten konnten. Vielen Dank auch an Christian Schlüter und Dr. Gunnar Schwan, dass sie sich die Zeit für die User genommen haben. Das Tran­skript dieses Chats können Sie in Kürze auf test.de nach­lesen. Das Chat-Team wünscht allen noch einen schönen Tag.

Dieser Artikel ist hilfreich. Nutzer finden das hilfreich.

Kommentare (0)

weitere Kommentare anzeigen

Alle Kommentare anzeigen

Schreiben Sie bitte einen Kommentar

Nur registrierte Nutzer können Kommentare verfassen. Jetzt einloggen oder Neu registrieren.
Individuelle Fragen richten Sie bitte an den Leserservice