Ein Aufschrei ging durch verschiedene Medien - die Meldung, Apple könne auf alle verschlüsselten Daten in ihrer iCloud zugreifen, hat bei vielen Benutzern Angst ausgelöst. Aus meiner Sicht ist die Datei-Verschlüsselung in der iCloud ein Werbe-Witz!
Regen aus der iCloud
Der Blog Ars Technica hat in einem Artikel unter anderem “aufgedeckt”, dass Apple den “Master Key” für die verschlüsselten Daten der iCloud Benutzer besitzt. Das heisst, dass Apple jederzeit auf die Daten in der iCloud zugreifen kann und dieser Zugriff wenn nötig und angebracht auch an Dritte weitergeben kann.
20 Minuten titelt: “Warum Daten in der iCloud nicht sicher sind” – die Empörung ist gross!
“Das ist ein Witz”, antwortet mir unser Rechenzentrums-Verantwortlicher auf meine Frage, was er von dieser Schlagzeile halte. Ich persönlich halte die Verschlüsselung der Daten in den iCloud Datacentern bestenfalls für einen Werbe-Witz. Eine Verschlüsselung der Daten bringt aus meiner Sicht im Zusammenhang mit der iCloud keinen Sicherheits-Mehrwert für den Benutzer. Die Dateiverschlüsselung wird beispielsweise eingesetzt, um im Falle eines Diebstahls (z.Bsp. das eigene Notebook wird entwendet) sicherzustellen, dass der Dieb die verschlüsselten Daten nicht einsehen kann. Notabene obwohl er im Besitz des Speichermediums ist (in diesem Fall eine Notebook-Harddisk). Sollte der Dieb in Besitz des Passwortes kommen (und damit normalerweise in Besitz des Schlüssels für die verschlüsselten Daten), ist die Verschlüsselung hinfällig.
Im Falle der iCloud halte ich das Diebstahlsrisiko des eigentlichen Datenträgers als ausschliessbar – und daher die Dateiverschlüsselung als Werbe-Witz. Dass die Apple Mitarbeiter den Master-Schlüssel innehaben ist in einem solchen Umfeld aus meiner Sicht völlig normal.
Viel kritischer erachte ich den Teil der allgemeinen Geschäftsbedingungen der iCloud, im dem sich Apple vorbehält jederzeit Daten aus der iCloud zu lesen und an Dritte weiterzugeben, wann immer das “nötig” ist.
Aber Hand aufs Herz: Wer hat das schon ernsthaft von Apple, Google, Dropbox & Co erwartet?
Teilen sie diese Ansicht? Haben sie eine andere Meinung? Ich freue mich auf eine angeregte Diskussion!
[...] Dadurch, dass ein seriöser Cloud Dienst in einem professionellen Rechenzentrum betrieben wird, das auch die nötigen physikalischen Sicherheitsstandards unterstützt, ist allerdings fraglich, in wie fern diese Datenverschlüsselung Sinn macht. Diese Diskussion wird eingehend in folgendem Artikel geführt http://www.ueber-den-wolken.ch/icloud-verschlusselung-ein-werbe-witz/ [...]
[...] Dadurch, dass ein seriöser Cloud Dienst in einem professionellen Rechenzentrum betrieben wird, das auch die nötigen physikalischen Sicherheitsstandards unterstützt, ist allerdings fraglich, in wie fern diese Datenverschlüsselung Sinn macht. Diese Diskussion wird eingehend in folgendem Artikel geführt http://www.ueber-den-wolken.ch/icloud-verschlusselung-ein-werbe-witz/ [...]
[...] Dadurch, dass ein seriöser Cloud Dienst in einem professionellen Rechenzentrum betrieben wird, das auch die nötigen physikalischen Sicherheitsstandards unterstützt, ist allerdings fraglich, in wie fern diese Datenverschlüsselung Sinn macht. Diese Diskussion wird eingehend in folgendem Artikel geführt http://www.ueber-den-wolken.ch/icloud-verschlusselung-ein-werbe-witz/ [...]
[...] Datenverschlüsselung Sinn macht. Diese Diskussion wird eingehend in folgendem Artikel geführt http://www.ueber-den-wolken.ch/icloud-verschlusselung-ein-werbe-witz/ [...]
[...] Dadurch, dass ein seriöser Cloud Dienst in einem professionellen Rechenzentrum betrieben wird, das auch die nötigen physikalischen Sicherheitsstandards unterstützt, ist allerdings fraglich, in wie fern diese Datenverschlüsselung Sinn macht. Diese Diskussion wird eingehend in folgendem Artikel geführt http://www.ueber-den-wolken.ch/icloud-verschlusselung-ein-werbe-witz/ [...]
[...] Dadurch, dass ein seriöser Cloud Dienst in einem professionellen Rechenzentrum betrieben wird, das auch die nötigen physikalischen Sicherheitsstandards unterstützt, ist allerdings fraglich, in wie fern diese Datenverschlüsselung Sinn macht. Diese Diskussion wird eingehend in folgendem Artikel geführt http://www.ueber-den-wolken.ch/icloud-verschlusselung-ein-werbe-witz/ [...]
Ob es aus IT-/Sicherheitsgründen Sinn macht, spielt KEINE Rolle. Es ist eine Tatsache, dass sehr viele User (egal ob Privatpersonen oder Firmen) grösste Bedenken haben, wenn es um die Sicherheit in der Cloud geht. Da hilft die Verschlüsselung aus Sales-/Marketing Gründen. Was ich befremdend finde, sind Falschinfos und das ständige “catch me if you can”. Diese grossen Läden sollen offen und ehrlich sagen, was Sache ist und es nicht auf Seite 724 der ABGs verstecken. Dann kann der User selber entscheiden, ob er damit leben will oder nicht.
Übrigens teile ich die Ansicht von Patrick nicht. Datenverschlüsselung hat zu viele Vorteile, um es nicht zu tun. Seriöse Cloud Software Anbietern geben aber dem Service Provider KEINE Möglichkeit, mit einem Master Key zu arbeiten. Als Chairman von NovaStor Software, deren Cloud Back-up Produkte von Firmen wie Fastweb, US Internet, Telefonica und vielen mehr eingesetzt werden, weiss ich das. Es gibt keinen Hintereingang. Was der User verschlüsselt, ist nur vom User mit Key einzusehen oder wenn jemand den 256 Bit AES Code knacken könnte.
Eine kleine Geschichte dazu: Ein Cloud Anbieter, welcher NovaBackup XSP einsetzte, verklagte NovaStor nach dem Kauf, weil er keinen Hintereingang zu den verschlüsselten Kundendaten erhielt! Warum er das wollte? Seine Behauptung ging dahin, dass er einem Kunden helfen müsse, der den Key verloren hatte.
Es gibt wirklich verschieden Ansichten über den Wert von Datenverschlüsselung. Dazu abschliessend noch eine Klarstellung zur NSA & USA Patriot Act. NovaStor Software Corp., der US Arm des Unternehmens, wurde noch nie angegangen oder aufgefordert, Hintereingänge freizuschalten oder Master Keys zu liefern. Ich weiss nicht ob die Grossen in der Industrie da andere Probleme haben. Aber selbst wenn die NSA NovaStor zwingen würde, etwas preiszugeben: Es ginge nicht! Und darüber bin ich froh.
Daten verschlüsseln ist wie das Anlegen des Sicherheitsgurtes: Es schadet fast nie, es hilft meistens und ein grosser Aufwand ist es nicht. Aber ich ziehe den Gurt auch nur an, wenn ich weiss, dass er funktioniert. Deswegen haben Master Keys bei Cloud Providern nur etwas zu suchen, wenn der Kunde dem zustimmt.
Adrian Knapp
Chairman
NovaStor AG
Herzlichen Dank für die Hintergrundinfos aus der Praxis – wirklich ein sehr spannender Kommentar – insbesondere den Fakt, dass ihr von den amerikanischen Behörden noch nie behelligt wurdet. In diesem Bereich geistern ja viele Mutmassungen und Ängste umher. Was sich aber wiederum sehr positiv auf den Standort Schweiz auswirkt.
Meiner Meinung sollte man aber unterscheiden zwischen den B2B Cloud-Lösungen (Beispiel NovaStor) und den B2C Cloud-Lösungen (Beispiel iCloud). Dass NovaStor die “fremden” Daten verschlüsselt macht meiner Meinung nach enorm viel mehr Sinn als wenn Apple die Daten in der iCloud verschlüsselt.
Sehr interessante Ansichten. Auch ich bin der Meinung, dass viele Unternehmen gerade in der heutigen Zeit angst davor haben, die Daten auf US Cloud Lösungen zu speichern. Vor allem wenn man so Berichte wie beim Magazin Saldo liest. (http://www.saldo.ch/themen/beitrag/1073173/E-Mails_Google_liest_mit)
Da werden die Leser verunsichert und verständlicherweise auch die Ängst geschürt. Jeder IT Entscheider ist auch eine Privatperson. Eine Differenzierung ist auch für Fachleute nicht immer einfach.
Das ist in der Tat eine Entwicklung, die ich auch in unserem Kundenkreis oft feststelle:
Menschen in Entscheiderfunktionen, die anhand ihrer privaten Erfahrungen Entscheidungen für ihr Geschäft fällen…
Hallo Patrick, ich stimme Dir zu. Generell ist es ja leider so, dass alle in den USA gespeicherten Daten in der Cloud aufgrund des “Patriot Acts” als nicht 100% sicher gemäss schweizer Security-Anforderungen gelten… Deshalb werden in der Schweiz so viele neue Datacenter für “Swiss Cloud Provider” gebaut.
Hallo Christian
Das ist eine interessante Ansicht! Vielen Dank für diesen Kommentar. Die Schweiz könnte in der Tat ein Sicherheitshafen für Cloud-Provider werden. Ich würde es auf jeden Fall begrüssen
Gestern hat das schweizer Fernsehen Deinen Kommentar gleich bestätigt! Für die Interessierten:
http://www.videoportal.sf.tv/video?id=e5b1f182-d974-4a85-95d1-09acd7fddb47
Super, Beitrag!
Sicherheit in der Cloud ist bestimmt ein Thema welches für Firmen im Outsourcing Bereich enorm wichtig sein wird.
Nimmt mich wunder was passieren würde, falls es diesen “Master Key“ wirklich gibt
Das Thema Datenverschlüsselung und Masterkey ist so alt wie das Mittelalter. Immer und ewig ist der der Herrscher, der über den Masterkey verfügt. Und wie steht es mit all den tausend Systemadmins die den kompletten Zugriff auf alle Firmendaten haben? Wenn Daten geheim bleiben sollen, so müssen sie halt vor der Speicherung in der Cloud explizit verschlüsselt werden oder man setzt zur Verschlüsselung eine PKI ein. DIE sichere Informatikwelt gibt es nicht, hat es noch nie gegeben und wird es auch nie geben.
Herzlichen Dank für den Kommentar!
Ich kann diese Ansicht nur unterstützen. Interessant ist allerdings, dass sich immer wieder Empörung beim “Bekanntwerden” dieser Tatsache breit macht.
Sie haben doch nichts zu verbergen, oder? ^^
Mal ernsthaft, Apple muss den haben. Die USA haben nämlich so schöne Gesetze die es den Behörden und Geheimdiensten erlauben im Namen der Terrorabwehr auf diese Daten zugreifen zu koennen. Und nun mal nicht nur im propagierten Ernstfall sondern bei Verdacht – bspw. der Freund des Freundes ist verwandt mit dem Freund eines möglichen Verdächtigten.
Tut mir leid, aber das Werbeversprechen ist im Sinne der amerikanischen Gesetze nicht gebrochen. Und das ist bei allen US Unternehmen so, alle die eine cloud anbieten. Dropbox ja auch.
Geschätzter DAMerrik
Herzlichen Dank für Ihren Kommentar. In der Tat habe ich nichts zu verbergen – trotzdem speichere ich keine einzige Datei in der iCloud
Ich stimme Ihnen zu, dass Apple kein Versprechen gebrochen hat – vielmehr empfinde ich die Dateiverschlüsselung als irrelevantes Feature in der iCloud. Gerade eben darum, weil allgemein bekannt ist, dass die amerikanischen Behörden Zugriff auf solche Dienste haben.
Es ist aber interessant zu beobachten, wie die verschiedenen Verschlüsselungs-Funktionen (egal ob Transportverschlüsselung oder Dateiverschlüsselung) werbetechnisch dazu benutzt werden, um dem Benutzer eine sichere Welt vorzugaukeln.