Sie sind hier: Home » Themen » Nutzung von cloud-basierten Diensten

Skype, Dropbox, AWS & Co: Nutzung von cloud-basierten Diensten

Cloud-Dienste im Internet werden immer zahlreicher und bieten zum Teil sehr komfortable Möglichkeiten, Daten zu speichern, auszutauschen, Software als Dienst zu nutzen und mit Anderen zu kooperieren und kommunizieren. Dabei werden die Daten auf der IT-Infrastruktur der Diensteanbieter gespeichert und/oder verarbeitet. Dieses Dokument beleuchtet die Risiken, derer man sich bewusst sein muss, wenn man diese Dienste nutzt. Es bezieht sich ausschließlich auf Dienste, die von Dritten auf deren Infrastruktur bereitgestellt werden (“off premises”) und die frei oder im Rahmen eines Vertrages nutzbar sind. Lokale Cloud-Lösungen innerhalb der Netze der Universität Stuttgart (“on premises”) fallen nicht in diese Kategorie, solange sie keine externen Dienste oder IT-Infrastruktur nutzen. Der WebEx-Dienst der Universität Stuttgart fällt jedoch in diese Kategorie, da er zwar im Rahmen eines Vertragswerks aber dennoch extern auf Servern der Firma Cisco betrieben wird, also eine Lösung “off premises” ist.

Inhalt

Allgemeines

Cloud-basierte Dienste im Internet sind komfortabel und einfach zur Kooperation mit Kolleginnen und Kollegen an der eigenen Uni und an fremden Hochschulen, Einrichtungen und Firmen nutzbar. Sie bieten vielfach Möglichkeiten, die man mit eigenen Mitteln nicht oder nicht ohne entsprechenden Aufwand haben würde. So ist es vielfach Usus, etwa Skype, GoToMeeting, Adobe Connect, Cisco Webex (siehe auch die Lösung an der Uni Stuttgart), Amazon Web Services (AWS), Zoom oder Google Hangouts usw. für Telefon- oder Videokonferenzen, den Austausch von Daten und Dokumenten sowie den Nachrichtenaustausch zu nutzen. Auch werden gerne Messenger, wie WhatsApp, für den schnellen Austausch von Nachrichten oder Online-Speicher wie Dropbox oder WeTransfer für den Austausch von Dateien verwendet, da sie (vermeintlich) kostenlos und meist sehr leicht zu bedienen sind. Schließlich gibt es komplette Office-Umgebungen als Cloud-Dienste, wie beispielsweise Microsoft Office 365 oder Google Docs, die das komfortable kollaborative Arbeiten ermöglichen. Ein weiterer vor allem in der Forschung beliebter Cloud-Dienst ist Overleaf, der eingesetzt werden kann, um kollaborativ an LaTeX-Dokumenten zu arbeiten.

Einschätzung aus Sicht der Informationssicherheit

Die Nutzung solcher Dienste ist möglich, aber mit einigen Gefahren verbunden. Um einschätzen zu können, ob die Risiken der Nutzung eines solchen Dienstes vertretbar sind oder nicht, muss man sie kennen.

Grundlegende Eigenschaften von Cloud-Diensten

Der Umstand, dass Cloud-Dienste durch Dritte betrieben werden, hat folgende nennenswerte Eigenschaften, die Sie bei ihrer Nutzung beachten müssen:

  • Die Daten, die zur Kooperation ausgetauscht werden, laufen (je nach Dienst mindestens teilweise) über die Server der Diensteanbieter. Diese können daher mindestens von den Kommunikationsranddaten und in vielen Fällen auch von den ausgetauschten Inhalten Kenntnis erlangen.
  • Fast alle der Dienste werden von Firmen angeboten, die außerhalb der EU ihren Sitz haben und daher nicht dem deutschen oder EU-Recht unterworfen sind. Auch wenn die Firmen Server in der EU haben, garantiert i.A. kein Anbieter, dass die Daten, die man innerhalb der EU auf diesen Servern verarbeitet, ausschließlich dort bleiben. Das hat u.A. den folgenden Grund:
  • Anbieter, die in den USA ihren Firmensitz haben, können sich aufgrund des CLOUD Acts (Clarifying Lawful Overseas Use of Data Act) mit Herausgabeverlangen von Daten auf Servern durch US-Behörden konfrontiert sehen. Der Zugriff auf die Daten und Dienste geschah - zumindest in der Vergangenheit - auf der Grundlage des PATRIOT Acts kontinuierlich und in großem Maßstab, wobei nicht nur die Cloud-Speicher sondern auch Nachrichtenströme wie Telefonate und Videokonferenzen als Quellen abgeschöpft wurden. Neben anderen gehört insbesondere auch die Wirtschaftsspionage zu den strategischen Aufgaben einiger dieser Behörden (insbesondere der NSA, siehe J.Mission: Emerging Strategic Technologies), in deren Rahmen sie auch wissenschaftliche Daten abfangen, auswerten und den US-amerikanischen Staatsorganen sowie der US-Wirtschaft zur Verwertung übergeben [1].
  • Bei Anbietern, die in anderen Ländern außerhalb der EU ihren Firmensitz (und ggf. ihre IT-Infrastruktur) haben, ist mit ähnlichen Eigenschaften und Randbedingungen zu rechnen.
  • Viele der Dienste fallen immer wieder durch Datenlecks und gravierende Schwachstellen auf. Diese exponieren sowohl die Kommunikation als auch gespeicherte Daten, die dann (außer den Geheimdiensten) prinzipiell beliebigen Dritten zugänglich werden.
  • Insbesondere bei kostenlosen Diensten, treten die Nutzer die Nutzungsrechte an den verarbeiteten Daten implizit über die Nutzungsbedingungen weitgehend an den Anbieter ab. Die Dienstanbieter behalten sich deren Verwertung zu beliebigen eigenen Zwecken meist vor.

Folgerungen

Die o.b. Eigenschaften der Cloud-Dienstangebote haben Folgen :

  • Die angebotenen Kommunikationsdienste müssen grundsätzlich als unsicher angesehen werden. Es muss davon ausgegangen werden, dass Telefonate, Videokonferenzen und Messengernachrichten abgehört werden (siehe oben).
  • Die beim Anbieter verarbeiteten Daten, z.B. im Rahmen der kollaborativen Office-Anwendungen oder anderer Cloud-Dienste, werden zum Zweck der gezielten Wirtschaftsspionage sowie der nachrichtendienstlichen Tätigkeit ausgewertet.
  • Die Sicherheit der Dienste und Daten, insbesondere ihr Schutz vor Datenlecks, hängt vom Diensteanbieter ab. Sie lässt oft zu wünschen übrig, wie zahlreiche Sicherheitsvorfälle zeigen.
  • Insbesondere bei kostenlosen Diensten muss davon ausgegangen werden, dass die Anbieter die Daten selbst kommerziell zu beliebigen Zwecken verwerten.

Risiken für die Nutzung

Diese Folgerungen implizieren Risiken, die Sie bei der Nutzung bedenken müssen:

  • Geheimhaltungsvereinbarungen z.B. im Rahmen von Drittmittelprojekten, werden implizit gebrochen, wenn betroffene Daten über Cloud-Dienste ausgetauscht oder verarbeitet werden. Dies kann dazu führen, dass Projektpartner oder Drittmittelgeber Geld zurückfordern oder Schadenersatzansprüche geltend machen.
  • Beim Austausch oder der Verarbeitung von Daten, die dem Geheimschutz unterliegen, mittels Cloud-Diensten können sich die beteiligten Personen unter Umständen strafbar machen.
  • Werden personenbezogene Daten ausgetauscht, wird in der Regel ein Vertrag über die Auftragsverarbeitung im Sinne von Art. 28 DS-GVO erforderlich sein [2]. Hierbei dürfen nur Auftragsverarbeiter eingesetzt werden, die hinreichend Garantien dafür bieten, dass entsprechende technische und organisatorische Maßnahmen eine datenschutzgerechte Verarbeitung (insbesondere im Sinne der DS-GVO) sicherstellen. Zudem muss bei Anbietern außerhalb der EU/des EWR die Übermittlung in diese Drittländer gerechtfertigt werden. Dies kann die Einwilligung des Betroffenen erforderlich machen.
  • Forschungsdaten, die erst zur späteren Veröffentlichung gedacht sind, können in fremde Hände gelangen und ggf. im Rahmen konkurrierender Forschungsarbeiten verwertet werden.
  • Bekannt gewordene Vorfälle derart abhandengekommener Daten können neben den o.g. Konsequenzen zur Rufschädigung der betreffenden Person, des Institutes und der Universität Stuttgart führen, die sich in Folge in einem Vertrauensverlust und ggf. Nachteilen in der Projekt- und Drittmitteleinwerbung niederschlagen kann.

Regeln für die Nutzung von Cloud-Diensten

Folgende Regeln sollten Sie bei der Nutzung von Cloud-Diensten beachten, um die Risiken zu vermeiden oder in akzeptablem Rahmen zu halten. Diese Regeln gelten auch für die Benutzung des WebEx-Dienstes der Uni Stuttgart.

  • Überlegen Sie genau, wofür die Dienste eingesetzt werden sollen.
  • Prüfen Sie genau, welche Daten Sie austauschen möchten: Vermeiden Sie unbedingt, Daten, die einer Geheimhaltungsvereinbarung, dem Geheimschutz oder dem Datenschutz unterliegen, über einen unsicheren Kanal auszutauschen, auch nicht mündlich!
  • Teilen Sie ggf. die Austauschwege auf: Sprechen Sie per Videokonferenz, teilen Sie aber die Daten nicht über den Cloud-Dienst sondern über einen sicheren Kanal (z.B. per verschlüsselter E-Mail oder der ILIAS-Installation der Uni Stuttgart). Vermeiden Sie in der Videokonferenz, brisante Information auszusprechen (etwa den Namen von Personen, wenn es um Prüfungsdaten geht).
  • Wenn Sie Cloud-Dienste zum Austausch von Daten verwenden möchten, von denen Sie nicht wissen, ob sie vor Dritten geheim zu halten sind: Verschlüsseln Sie Daten lokal auf Ihrem Gerät, bevor Sie sie in der Cloud speichern oder austauschen. Der Empfänger entschlüsselt sie dann lokal bei sich auf dem Gerät. Vermeiden Sie, dass unverschlüsselte Daten auf die IT-Infrastruktur Dritter gelangt. Verwenden Sie nur kryptographisch starke Verschlüsselungsverfahren [3], schwache oder als unsicher bekannte Verfahren sind nutzlos.
  • Schlüssel und Passwörter müssen, falls erforderlich, ebenfalls über einen sicheren Kanal ausgetauscht werden. Sicher heißt nicht, dass man die Daten verschlüsselt austauscht aber dann in der Videokonferenz das Passwort sagt!
  • Lassen Sie Disziplin walten: Widerstehen Sie der Versuchung, brisante oder personenbezogene Daten “mal schnell” doch über die Cloud im Klartext auszutauschen mit der Selbstberuhigung “Es wird schon nichts passieren.” Wenn die Daten einmal in der Cloud sind, kann man sie nicht mehr zurückholen!
  • Wenn Drittmittelgeber oder Projektpartner die Nutzung solcher Kanäle für den Austausch von geheimhaltungspflichtigen Daten fordern, lassen Sie sich vorher, am besten bei Projektbeginn, vertraglich die Freistellung von daraus entstehenden Haftungsansprüchen zusichern. Achtung! Ein Projektpartner oder Drittmittelgeber kann Sie nur von Haftungsansprüchen freistellen, die er selbst an Sie stellen könnte. Wenn Daten über Cloud-Dienste ausgetauscht werden sollen, an denen Unbeteiligte Rechte haben, kann er Sie natürlich nicht vor deren Ansprüchen freistellen.
  • Dokumentieren Sie, wie für Sie die Nutzung sinnvoll und akzeptabel erscheint. Die Dokumentation sollte sich an diesen Regeln orientieren. So haben Sie jederzeit die Möglichkeit nachzusehen, wenn sie einen bereits bekannten oder einen neuen Dienst verwenden möchten und können das Festgelegte umsetzen. Gerne können Mitglieder der Universität Stuttgart Ihre Dokumentation von der Stabsstelle Informationssicherheit (RUS-CERT) prüfen lassen.

Fazit

Man kann die Cloud-Dienste benutzen, wenn man die o.g. Regeln beachtet und entweder zusätzliche Maßnahmen ergreift (z.B. Daten selbst verschlüsselt) oder nur solche Daten austauscht, die sowieso öffentlich sind oder werden würden, also z.B. alles, was auf einen öffentlich zugänglichen Webserver gestellt wird.

In Lehr-Szenarien (z.B. einer Lehrveranstaltung oder Übung), deren Materialien auf ILIAS ausschließlich den Übungsteilnehmern bereitgestellt werden, ist eine begleitende Video-Konferenz (z.B. per WebEx der Uni) möglich, wenn das Datenschutzrecht, das Urheberecht und etwa geltende Geheimhaltungspflichten beachtet werden. Bitte bedenken Sie in diesem Fall jedoch, dass im Rahmen der Video-Konferenz alle gezeigten Materialien und auch das gesprochene Wort in diese Kategorie fallen müssen. Anekdoten oder Aussagen “off-the-record”, die Information enthalten, die nicht für Ohren außerhalb des Kreises der Teilnehmer gedacht sind, kann es bei der Nutzung von Cloud-Diensten naturgemäß nicht geben.

In allen Szenarien dürfen geheimhaltungspflichtige Daten grundsätzlich nicht unverschlüsselt ausgetauscht werden. Eine Ausnahme bilden Daten, deren Rechteinhaber die Universität Stuttgart vertraglich von Haftungsansprüchen freigestellt haben.

Beachten Sie, dass dies nicht für Daten erfolgen kann, die dem Geheimschutz unterliegen! Solche Daten dürfen nur auf die rechtlich dafür vorgesehenen Arten gehandhabt werden [4]. Um mögliche persönliche strafrechtliche Konsequenzen zu vermeiden, sollte im Zweifel auf deren Austausch mittels Cloud-Diensten verzichtet werden.

Urheberrechtlich geschützte Werke dürfen nur unter Beachtung des Urheberechts weitergegeben werden [5].

Personenbezogene Daten können nur dann mittels Cloud-Diensten verarbeitet werden, wenn die Anforderungen aus der Datenschutz-Grundverordnung dem Bundesdatenschutzgesetz und Landesdatenschutzgesetz des Landes Baden-Württemberg erfüllt werden. Unter anderem kann das beinhalten, dass die betroffenen Personen vorher ausdrücklich und nachweisbar (schriftlich) zugestimmt haben, dass ihre Daten ggf. Dritten bekannt werden, sowie dass sie ggf. über die Risiken, die der Transfer ihrer Daten in Länder außerhalb der EU birgt, aufgeklärt wurden. Dies darf jedoch nicht in einer Situation erfolgt sein, in der sich die Betroffenen gezwungen oder genötigt sahen, zuzustimmen.

Alternativen

Es gibt für einige Dienste Alternativen, die innerhalb der Hochschulgemeinschaft Baden-Württembergs bzw. Deutschlands angeboten werden. Bei Nutzung dieser Dienste fällt zumindest das Problem der Datenhaltung in Drittstaaten weg, soweit uns dies bekannt ist. Dennoch sind die o.g. Regeln, insbesondere zum Datenschutz, auch hier anzuwenden.

Cloudspeicher

Das Karlsruher Institut für Technologie bietet mit dem Cloud-Dienst

einen Datenspeicher zum Austausch von Dokumenten und weiteren Funktionen zur Kooperation an. Der Dienst basiert auf der freien Software NextCloud.

Video-, Audio- und Web-Konferenz

DFNconf ist ein Cloud-Dienst, der den DFN-Nutzern Video-, Audio- und Webkonferenzen anbietet. “Der Dienst ist auf den Bedarf von Forschung und Lehre zugeschnitten und stellt die zentralen technischen Komponenten bereit, die erforderlich sind.” (Zitat, Webseite DFNconf).

Weiterführende Information

Referenzen

Seiten im Netz zum Thema

WebEx-Dienst der Universität Stuttgart