© Vitaliy Kytayko, 123RF
Speicherdienstleister versprechen ihren Kunden Sicherheit durch Backups und bequemen Zugriff. Über Verschlüsselungstechnologie sollten die Dienste vor Spionage sicher sein. Das Linux-Magazin hat sich bei den Anbietern und ihren Methoden umgesehen.
Das Speichern von Daten in der Cloud bietet Vorteile. Als Nutzer muss man sich im besten Fall nicht um Backups und Hardwarepflege kümmern. Der Speicherplatz lässt sich nahezu beliebig erweitern, und der Zugriff erfolgt in der Regel systemübergreifend mit verschiedenen Geräten. Diesen Vorteilen steht gegenüber, dass die Lagerhaltung der Cloudanbieter schwer durchschaubar ist. Stehen die Server in Ländern außerhalb der Europäischen Union drohen dem sensiblen Speichergut im schlimmsten Fall Zugriffe von staatlichen Geheimdiensten. Das Feature, Daten vor der Cloud zu verschlüsseln, ist bei Firmen gefragt.
Tabelle 1
Features der Speicherdienste
|
Owncloud [3] |
Amazon AWS [4] |
Spideroak [5] |
Teamdrive [6] |
Google [7] |
Tresorit [9] |
Goodsync [10] |
Strato Hidrive [11] |
|
|---|---|---|---|---|---|---|---|---|
|
Zielgruppe? |
Community-Ausgabe für Privatpersonen; Subskription für Unternehmen mit mindestens 50 Mitarbeitern |
Privatpersonen und Unternehmen |
Spideroak One: Privatpersonen; Spideroak Groups und Spideroak Enterprise: Teams und Unternehmen |
Vorrangig Unternehmen, kostenloser Zugang für Privatpersonen |
Google Drive: Privatpersonen; Google Cloud Platform: Unternehmen, Entwickler |
Vorwiegend Unternehmen, aber auch Privatpersonen und Teams |
Privatpersonen; Goodsync Enterprise: Unternehmen |
Privatpersonen, Selbständige, kleine Unternehmen |
|
Von Linux aus nutzbar? |
Linux- und Android-Client |
Webinterface, webbasierte Konsole, Kommandozeilentools, SDK |
Linux- und Android-Client |
Linux-Client |
Webinterface |
Linux-Client (Beta) |
Kommandozeile |
Kommandozeile |
|
Synchronisiert der Dienst nur geänderte Teile einer großen Datei (Block-Level- oder Delta Sync)? |
nein (Anbieter denkt über eine Implementierung nach) |
ja, über Storage Gateway Service |
ja |
nein (Dateien werden immer vollständige versioniert, komprimiert und verschlüsselt in der Cloud gespeichert.) |
Cloud Storage ist eine Object-Storage-Lösung, Delta-Funktionalität lässt sich über Composite Objects selbst implementieren. |
nein (in Arbeit) |
ja, über das GSTP-Protokoll |
k.A. |
|
Wenn ja, über welche Protokolle? |
nein |
eigenes Protokoll |
Rsync-artig |
nein |
nein |
nein |
eigenes Protokoll (GSTP) |
Nur die Backup-App für Synology nutzt Rsync, die Versionsverwaltung Git |
Zero Knowledge
Speicherdienste verschlüsseln Daten oft nur auf dem Weg zum Server mittels SSL. Der Whistleblower Eduard Snowden gilt als Experte in Sachen sichere Datenhaltung in der Cloud. Sein Credo lautet, nur Diensten mit Zero-Knowledge zu vertrauen und solche, die diese Funktion nicht anbieten, gar nicht erst in Erwägung zu ziehen. Als “Nichtwisser” sind in diesem Fall neben den potenziellen Zugriffen von Geheimdiensten und übelmeinenden Zeitgenossen hauptsächlich die Cloudanbieter und die dort beschäftigten Admins gemeint. Die sollen trotz ihrer Rechte und Befugnisse auf den Speicherservern nicht in der Lage sein, die dort liegenden Daten auszulesen. Um dieses Zero-Knowledge zu erreichen, gilt es, die Daten schon vor dem Upload in die Cloud zu ver- und nach dem Download wieder zu entschlüsseln. Der Kasten “Zero Knowledge” bietet einen Überblick.
Ansatzweise
Clouddienste sind in der Regel mit Clients bestückt, die der Anwender auf seinem Rechner installiert. Für die Speicherdienste gibt es meist Produkte von Drittanbietern, die fehlende Funktionalitäten nachrüsten. Dazu zählen in Sachen Verschlüsselung die freien Tools Cryptomator [1] und Panbox [2], (siehe Artikel Cloud-Beherrscher).
Owncloud
Einen Sonderfall bildet Owncloud [3]. Kunden mit dem Wunsch nach Zero-Knowledge-Features können einen eigenen Owncloud-Server betreiben, der die gewünschte Verschlüsselung bietet. Daten eines Owncloud-Servers lassen sich nach Angaben der Macher auch komplett verschlüsselt als individuelle Files etwa auf Amazon S3 ablegen, was automatisiert und ohne Funktionseinschränkung funktioniere. Die Owncloud-Macher weisen aber auf Einschränkungen durch die Verschlüsselung hin. So entfalle das gemeinsame Editieren von Dokumenten.
Amazon AWS
Der amerikanische Anbieter betont die Kompatibilität seiner Web Services [4], die über REST-ful Webservices, eine webbasierte Konsole, Kommandozeilen-Utilities sowie Software Development Kits (SDKs) für die meisten Programmiersprachen und auf Desktop-, Server- und mobilen Plattformen nutzbar seien. AWS unterstütze zahlreiche Verschlüsselungs-Maßnahmen für die Verschlüsselung von Daten bei der Speicherung und bei der Übertragung. Dabei setze man auf offene, Betriebssystem-unabhängige Standards wie AES, SSH und TLS. Über das Kommandozeileninterface und die SDKs halte man zudem Funktionen vor, die die Nutzung von clientbasierter und server-basierter Verschlüsselung vereinfachen.
Spideroak
Der amerikanische Dienstleister Spideroak [5] hat sich schon durch die Empfehlung von Edward Snowden seine Zero-Knowledge-Meriten verdient. Der Dienst verschlüsselt Daten bevor sie sich auf den Weg machen, und in umgekehrter Richtung erfolgt die Entschlüsselung ebenfalls wieder clientseitig. Unterwegs sind die Daten SSL-verschlüsselt. Dateinamen, Dateigröße und Erstellungszeit stecken laut Spideroak ebenfalls in diesem verschlüsselten Container und sind nur für den Nutzer sichtbar. Das nötige private Passwort bleibe ausschließlich beim Nutzer und gelange nicht mit in die Übertragungskette.
Die Businessangebote heißen Spideroak Groups und Spideroak Enterprise. Die Enterprise-Version lässt sich auch auf eigenen Maschinen hosten. Die Management Console (Abbildung 1), die als virtuelle Appliance unter Ubuntu läuft, ist der Schlüssel zur Verwaltung der Enterprise-Version. Mit der Enterprise-Version bekommt der Administrator des Kunden dann Zugriff auf die Dateiverwaltung.
Abbildung 1: Die Managementkonsole von Spideroak.
Teamdrive
Das Zero-Knowledge-Design bezeichnet der Softwarehersteller aus Hamburg als die Grundlage für sein Produkt. Clients sind für Linux, Windows und Mac OS X verfügbar. Der neue Linux-Client 4 soll noch im Laufe des Februars erscheinen. Er wird auf ein HTML-5-Nutzerinterface setzen. Funktional unterscheiden sich die Clients nicht.
Bei Teamdrive [6] komme für jeden Speicherort ein eigener AES-256-Schlüssel zum Einsatz, der auf dem Client verbleibe. Eine Integration in Umgebungen mit Active Directory oder LDAP sei ebenfalls möglich. Die Teamdrive-Lösung kann sich mit dem Datenschutzsiegel des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein schmücken. Das Siegel bestätige, dass Teamdrive für Berufsdatengeheimnisträger wie Ärzte oder Rechtsanwälte geeignet sei.
Google Cloud Platform
Google bietet seine Cloud Platform [7] für Unternehmen und Entwickler an. Alle Cloud-Platform-Produkte sind laut Anbieter auch unter Linux einsetzbar. Das Google Cloud SDK [8] funktioniere mit gängigen Linuxen. Bei der Verschlüsselung müssen die Nutzer teilweise selbst Hand anlegen. Alle Daten, die mit dem Kommandozeilentool Gsutil übertragen werden, das Teil des SDK ist, seien per HTTPS verschlüsselt. Auf der Serverseite werden dann alle Daten verschlüsselt. Zusätzlich ließen sich Daten mit einer beliebigen Software vor der Übertragung verschlüsseln.
Tresorit
Der Anbieter Tresorit [9] aus der Schweiz stellt für Linux-Nutzer eine Betaversion des Client zur Verfügung. Sie biete fast den vollen Funktionsumfang, im ersten Halbjahr 2016 sollen alle Features für Linux verfügbar sein. Der Webclient für Browser biete mit Zero-Knowledge-Verschlüsselung das gleiche hohe Niveau an Sicherheit. Die Verschlüsselung erfolge mit jeweils zufällig generierten, symmetrischen 256-Bit-Schlüsseln. Das Administrations-Center für die Verwaltung mehrerer Nutzer sei ebenfalls sowohl vom Browser als auch der Linux-Anwendung aus erreichbar. Die Zero-Knowledge-Verschlüsselung bringt allerdings Einschränkungen bei der Block-Level-Synchronisation. Bei der eingesetzten Verschlüsselungsmethode müsse auch bei kleinen Änderung die gesamte Datei erneut verschlüsselt und hochgeladen werden.
Goodsync
Der Anbieter Goodsync [10] setzt bei der Nutzung unter Linux auf die Kommandozeile, was dem ein oder anderen schon zu mühsam sein dürfte. Dafür sei Zero-Knowledge -Verschlüsselung möglich. Mit Truecrypt Containern kommt der Dienst ebenfalls klar.
Strato Hidrive
Der Speicherdienst Hidrive [11] von Strato lässt sich unter Linux ohne Treiber und Zusatzsoftware als Mount einbinden, etwa über SMB oder Webdav, heißt es vom Anbieter. Wollen Linuxer weitere Protokolle wie FTP, FTPS, SCP, SFTP, Rsync, Cifs und Git einsetzen, gilt es, ein Protokollpaket zu buchen. Für die Verschlüsselung müssen Kunden Programme wie Veracrypt, Cryptsync oder Boxcryptor nutzen.
Zero Knowledge
Das Linux-Magazin fragte die Anbieter aus Tabelle 1 ebenfalls nach einer Zero-Knowledge-Option. Zurück kamen zum Teil sehr ausführliche Antworten. Goodsync, Tresorit, Teamdrive und Spideroak antworteten mit einem klaren Ja, die Funktion sei von Beginn an eingebaut (Spideroak) und Grundlage des Dienstes (Tresorit, Teamdrive). Bei Owncloud kann der Kunde bei Bedarf den Server selbst betreiben und die Daten auf dem Transportweg verschlüsseln. Ende-zu-Ende-Verschlüsselung sei hingegen beim gemeinsamen Bearbeiten von Dokumenten oder Anti-Viren-Scans nur schwer zu realisieren. Amazon verweist auf den Cloud-HSM-Dienst https://aws.amazon.com/cloudhsm/ und die Möglichkeit, Daten vor dem Upload über den S3-Client zu verschlüsseln. Auch Google verweist auf die Möglichkeit, Daten im Voraus zu verschlüsseln.
Infos
- Cryptomator: https://cryptomator.org
- Panbox: http://www.sirrix.de/content/pages/Panbox.htm
- Owncloud: https://owncloud.org
- Amazon AWS:https://aws.amazon.com/de/cloud/
- Spideroak: https://spideroak.com
- Teamdrive:https://www.teamdrive.com/de/
- Google Cloud Plattform:https://cloud.google.com
- Google Cloud SDK: https://cloud.google.com/sdk/
- Tresorit: https://tresorit.com
- Goodsync: http://www.goodsync.com
- Strato Hidrive: https://www.strato.de
