Herr Schaar, welche Daten gehören in die iCloud und welche nicht?
Ich würde jedem davon abraten, sensible Daten wie Krankheitsakten oder Geschäftsgeheimnisse in die iCloud zu verlagern, wenn man nicht absolut sicher ist, dass die Daten gegen jeden Zugang Dritter geschützt sind. Wer Cloud-Anwendungen nutzt, muss sich im Klaren sein, dass er die unmittelbare Kontrolle über diese Daten verliert. In jedem Fall sollte man sich die Benutzungsbedingungen anschauen. Da gibt es große Unterschiede zwischen Services, vor allem zwischen solchen, für die man etwas bezahlen muss und vermeintlich kostenlosen.
Zur Person
Peter Schaar war von 2003 bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit. Er ist Autor mehrerer Bücher zum Thema Datenschutz und Mitglied der Deutschen Gesellschaft für Informationsfreiheit der Hamburger Datenschutzgesellschaft.
Welche?
Einige Anbieter haben sich verpflichtet, Cloud-Daten nicht für eigenen Zwecke zu verwenden und sie verschlüsselt abzuspeichern. Dafür verlangen sie aber regelmäßig Geld, jedenfalls dann, wenn man sich nicht mit einem bescheidenen Basisangebot zufrieden gibt. Bei kostenlosen Diensten muss man damit rechnen – und das ist auch häufig das Geschäftsmodell – dass diese Informationen durchsucht und verwendet werden, um Profile zu erstellen, etwa für die maßgeschneiderte Zustellung von Werbebotschaften. Auch Kontakte, die in der Cloud abgespeichert sind, können gegebenenfalls ausgewertet werden. So nimmt Google für alle seine Dienste in Anspruch, die Daten zu durchleuchten und für Werbezwecke und zur Weiterentwicklung des Angebots zu verwenden.
Wie sieht das genau aus?
Wie die Daten im Einzelnen personalisiert und ausgewertet werden, behandeln die Unternehmen als Betriebs- und Geschäftsgeheimnis. In den Nutzungsbedingungen findet man dazu nur sehr allgemeine Aussagen. Ich gehe allerdings davon aus, dass die Daten plattformübergreifend zusammengeführt, verknüpft und für die Bildung von Profilen verwendet werden. Angesichts der ungeheuren Verarbeitungskapazitäten, die heute zur Verfügung stehen, ist anzunehmen, dass die Profile nicht etwa in einer statischen Datenbank gehalten, sondern dass sie immer wieder neu errechnet und ihre Ergebnisse quasi in Echtzeit verwendet werden. Nur so ist es etwa möglich, die aktuellen Suchanfragen eines Nutzers für die Zuspielung von vermeintlich passenden Werbebotschaften zu verwenden.
Vor- und Nachteile des Cloud Computing
Wenn ein Unternehmen seine Kundendatenbank nicht im eigenen Rechenzentrum pflegt, sondern einen Online-Dienst wie Salesforce.com nutzt, spart es sich Investitionen in die Infrastruktur. Die Abrechnung erfolgt außerdem zumeist gestaffelt, zum Beispiel nach Nutzerzahl oder Speicherverbrauch. Geschäftskunden erhoffen sich dadurch deutliche Kosteneinsparungen.
Wer Speicherplatz im Netz mietet, kann flexibel auf die Nachfrage reagieren und den Bedarf unkompliziert und schnell erhöhen oder versenken. Wenn beispielsweise ein Startup rasant wächst, fährt es einfach die Kapazitäten hoch. Somit fallen auch niedrige Fixkosten an.
Die Installation auf den eigenen Rechnern entfällt. Damit lässt sich ein neues System äußerst schnell einführen. Auch die Updates bereiten keine Probleme mehr, somit sinkt der Administrationsaufwand. Allerdings lassen sich die Cloud-Dienste in der Regel auch nicht so individuell konfigurieren.
Zur Nutzung der Cloud-Dienste benötigen Mitarbeiter lediglich einen Internetanschluss – unabhängig von ihrem Aufenthaltsort und dem Gerät, das sie nutzen.
Die Daten-Dienstleister werben damit, dass sie sich intensiver mit der IT-Sicherheit beschäftigen als einzelne Nutzer oder Unternehmen. Allerdings sind die Rechenzentren der Cloud-Anbieter aufgrund der großen Datenmenge auch ein attraktives Ziel für Angriffe von Hackern. Zudem ist von außen schwer nachzuvollziehen, ob der Anbieter die Daten ausreichend vor den eigenen Mitarbeitern schützt. Die Auslagerung bedeutet somit einen Kontrollverlust.
Viele Unternehmen sind von ihrem Dienstleister abhängig, weil sie nicht ohne weiteres zu einem anderen Anbieter wechseln können. Das liegt etwa daran, dass sie ihre Systeme aufwendig an die Schnittstellen anpassen müssen. Auch Nutzer haben oft Schwierigkeit, wenn sie mit ihren Daten den Anbieter wechseln wollen. Eine weitere Frage: Was ist, wenn der Betreiber eines Dienstes pleite geht? Erst wenn es Standards gibt, die den Wechsel von einem zum anderen Dienstleister ermöglichen, sinkt die Abhängigkeit.
Nicht nur Anbieter von Cloud-Diensten greifen auf die Daten zu. Wie sicher sind meine Daten in der iCloud vor den Angriffen Dritter?
Es hat in der Vergangenheit durchaus erfolgreiche Hacker-Angriffe auf Cloud-Konten gegeben.
Der bekannteste Fall war sicherlich als Hacker Nacktfotos von Prominenten im September vergangenen Jahres aus der iCloud erbeuteten und veröffentlichten. Wie konnte das passieren?
Die Hacker haben sich wohl den Zugriff nicht über die Apple-Infrastruktur verschafft. Mittlerweile gilt es als relativ sicher, dass sie sich über den iCloud-Browser-Zugang einloggten. Wenn das Passwort und die Kennung eines Nutzers bekannt sind, dann hat im Prinzip jeder Zugriff auf die Cloud-Daten. Das ist ein großes Risiko.
Sicherung durch zusätzliche Hardware
Nutzer können nicht nur über Anwendungen auf dem iPhone oder dem Rechner auf die iCloud zugreifen, sondern sich auch einfach über einen beliebigen Browser einloggen. Wie kamen die Hacker an die Daten?
Wie die Hacker an diese Daten gelangt sind, ist nicht klar. Vermutlich haben die betreffenden Personen unsichere Geräte genutzt oder Geräte, auf denen sich sogenannte Keylogger befanden, die die von ihnen verwendeten Kennungen und Passwörter ausspionieren konnten. Letztlich muss man immer damit rechnen, dass ein Dritter auf die Daten zugreifen kann. Solche Angriffe lassen sich nur verhindern, wenn die Authentifizierung der Nutzer nicht nur durch ein Passwort abgesichert ist, sondern zusätzlich durch Hardware, etwa eine verschlüsselte Keycard. Allerdings gehen solche Sicherheitsmaßnahmen auf Kosten des Komforts bei der Nutzung. Um das Risiko zumindest zu verringern, sollten Nutzer grundsätzliche Regeln beachten.
Nämlich welche?
Sie sollten keine trivialen Passwörter benutzen und sie von Zeit zu Zeit wechseln. Außerdem sollte die Kennung nicht so gewählt werden, dass auch Dritte sie erraten können. Zudem müssen sie die verwendeten Geräte gegen Viren und Trojaner schützen, was insbesondere bei Smartphones nicht ganz einfach ist.
Die Nacktfotos landeten vielfach nicht mit Absicht in der iCloud. Dass sie dort landeten, war eine Folge der automatischen Synchronisation.
Die automatische Synchronisation bringt einen gewissen Komfort mit sich, für all diejenigen, die mehrere Geräte verwenden. So kann man von sämtlichen benutzten Geräten aus Zugriff auf den aktuellen Datenbestand zu haben, vom Notebook genauso wie vom Smartphone.
Aber auch hier sollten sich Nutzer vorher gut überlegen, für welche Anwendungen und welche Geräte sie Cloud-Services nutzen wollen. Vielfach gilt heute: Wer nichts an den Einstellungen ändert, dessen Fotos und andere Daten werden automatisch in die Cloud geladen.
Ich habe den Eindruck, dass die US-Anbieter seitdem sehr viel mehr Wert auf Datenschutz legen, zumindest gegen staatliche Zugriffe. Einige Unternehmen bauen etwa Clouds in Europa auf, die dem europäischen Datenschutzrecht unterliegen. Ob das reicht, um sich dem Zugriff der US-Behörden zu entziehen, ist allerdings fraglich.
Inwiefern?
Es gibt anhängige Gerichtsverfahren in den USA. Microsoft ist beispielsweise von einem New Yorker Bundesgericht verurteilt worden, Daten, die auf einem Server in Irland gespeichert sind, an die US-Behörden herauszugeben. Das muss allerdings noch höchstrichterlich bestätigt werden.
Was sind die Alternativen zu amerikanischen Cloud-Anbietern wie Apple?
Es gibt europäische Angebote, die in puncto Datenschutz vorbildlich sind, zum Beispiel Doc Wallet von der Post AG oder den niederländischen Dienst Ixquick. Die garantieren ein hohes Maß an Sicherheit. Auch Dienste von 1&1 und der Deutschen Telekom betreiben ihre Server in Deutschland und deshalb ist es für ausländische Geheimdienste zumindest schwieriger, auf dort gespeicherte Daten zuzugreifen. Hundertprozentig vertrauen sollte man im Internet allerdings sowieso keinem Dienst.