Cloud-Datenschutz: Na, dann verschlüssele ich eben …

[English]So mancher Zeitgenosse sorgt sich um die Sicherheit und Vertraulichkeit seiner Daten, wenn diese in die Cloud wandern. Oft gehörter Ratschlag: Dann verschlüssele ich eben, und bin sicher, dass keiner an meine Daten heran kommt. Kleiner Abriss zum Thema, um den Anhängern dieser Theorie möglicherweise diesen 'Zahn zu ziehen'. Denn mir sind gerade zwei 'verstörende' Puzzleteile vor die Füße gefallen.


Anzeige

Ein kurzer Rückblick

Die Cloud ist ja in aller Munde und breit in Benutzung. Allerdings heißt Cloud auch, dass die Daten theoretisch für Jeden erreichbar sind, wenn diese ungeschützt in der Cloud liegen. Zeit, etwas zum Schutz der Daten zu übernehmen? Mal schnell schauen, was mir da so ad hoc einfällt.

Idee 1: Cloud-Inhalte vor Fehlkonfigurationen schützen

So richtig gut kommt es dann, wenn ein Elasticsearch-Server, ein AWS S3-Bucket oder eine Datenbank in der Cloud offen und ohne Kennwortschutz per Internet erreichbar ist. Solche Fehlkonfigurierungen kommen immer wieder vor und lassen sich in meinen Augen nie verhindern. Im privaten Bereich gibt es dann die Fälle, wo Freigaben von Online-Speichern durch Dritte nutzbar werden (Freigabelink irrtümlich gepostet u.w.w.). Da könnte doch eine Verschlüsselung der Daten helfen.

Idee 2: Cloud-Inhalte vor Inhalts-Scans schützen

Das zweite Problem ist die Vertraulichkeit der Dateien, die die Leute in die Cloud hochladen. Stichwort ist 'Inhalts-Scan' aller Dateien durch Anbieter, deren Dienstleister oder Dritte. Es gibt ja den kolportierten Bonmot, dass es US-Unternehmen zur Aufgabe gemacht wurde, auch Inhalte von Online-Speichern auf Dokumente, die Geschäftsgeheimnisse enthalten, zu scannen und dann die Erkenntnisse über Geheimdienste den betreffenden US-Firmen bereitgestellt werden.

Und es gibt den Scan der Dateien wie Bilder auf unerlaubte Inhalte. Ich hatte ja gerade zwei Beiträge Microsoft-Kontensperrungen und die OneDrive 'Nacktfotos' und Wenn der Degoo Bot dein Benutzerkonto schließt … hier im Blog. Da könnte man ja mal mit Verschlüsselung gegenhalten, sollen die sich doch die Zähne an ausbeißen.

Verschlüsselung von Dateien in der Cloud

Mal abseits der Vorstellung, dass sich die Verschlüsselungen möglicherweise durch Geheimdienste über gezielt eingebrachte Schwachstellen knacken lassen, gibt es noch einen praktischen Haken. Die Cloud-Anbieter machen – zumindest bei privaten Dateien – die 'Türe zu', wenn Dateien verschlüsselt werden. Hier mal zwei Infosplitter.

OneDrive: Verschlüsselte Dateien sind Ransomware

Im Artikel Microsoft-Kontensperrungen und die OneDrive 'Nacktfotos'  hatte ich bereits kurz auf das Thema hingewiesen. Die Tage bin ich auf den Forenbeitrag OneDrive recognizes the crypted files as RansomWare with new Vault7 in der Cryptomator-Community gestoßen.

Cryptomator ist eine freie Software zur cloud-optimierten verschlüsselten Speicherung von Dateien. Diese können dann mit einem Cloud-Anbieter wie Dropbox synchronisiert werden, ohne dass der Anbieter die Daten im Klartext lesen kann.

Ein Cryptomator-Nutzer beschreibt im Forum ganz plastisch seine Erfahrungen mit OneDrive und verschlüsselten Dateien.

Hi,

I've been doing some tests with the new Vault7 version and uploaded lots of files to Microsoft OneDrive. I constantly get automated mails from them that the files I've uploaded are possibly due to RansomWare as they look encrypted. Here's the mail text in German though:


Anzeichen von Ransomware erkannt.

Hallo,

Office365 verfügt über branchenführende Datenschutztechnologie, die nach Cyberangriffen auf Ihre Dateien Ausschau hält. Ihr OneDrive-Konto hat vor Kurzem begonnen, Anzeichen für verdächtige Aktivitäten zu zeigen. Wir haben 133 Dateien gefunden, die von einem Ransomware-Angriff betroffen zu sein scheinen.

Ransomware ist eine Art bösartiger Software, die darauf ausgelegt ist, den Zugriff auf Ihre Dateien so lange zu blockieren, bis Sie Geld bezahlen.

Besuchen Sie OneDrive.com binnen 30 Tagen nach dem Angriff, um:

  • Verdächtige Dateien zu überprüfen und zu bestätigen, dass sie kompromittiert wurden
  • Ransomware von Ihren Geräten zu entfernen
  • Ihre Dateien auf OneDrive wiederherzustellen

Sie können Ihre Dateien auf OneDrive nur 30 Tage lang ab deren Kompromittierung wiederherstellen. Wenn Sie die kompromittierten Dateien nicht innerhalb von 30 Tagen ab dem Ransomware-Angriff wiederherstellen, können sie nicht mehr wiederhergestellt werden.

Fall von astrein aus der Reserve gelockt? Die von Boxcryptor auf OneDrive verschlüsselten Dateien werden beim Hochladen als Ransomware eingestuft und nach 30 Tagen gelöscht. Gut, innerhalb der 30 Tage kann der Betroffene reagieren – gibt aber sicher genügend Kandidaten, die das verschwitzen. Verschlüsselung einfach ausgehebelt? Oder ist es ein doofer Bug, der irgendwann behoben wird? Könnte schwierig werden, denn reihenweise Verschlüsselung ist ja ein Merkmal von Ransomware. Möglicherweise sitzt da ein Filter: 'Alarm und Trigger, sobald x verschlüsselte Dateien gefunden werden'. Der Fall zeigt, dass die Dateien in der Cloud nicht sicher sind, egal ob Bug oder Vorsatz oder bloß ungeschickter Filterwert.


Anzeige

Mag Google nix Verschlüsseltes?

Ich habe es nicht verifiziert -kippe aber mal eine zweite Information hier im Blog ein. Auf meinen Artikel Wenn der Degoo Bot dein Benutzerkonto schließt … hier im Blog gab es den Ratschlag, 'verschlüsselte Dateien für die Cloud zu nutzen'. Ein Leser antwortete mit folgendem Kommentar:

Zitat: Für die Zukunft immer den Tipp beherzigen: Wenn man schon die Cloud eines Anbieters nutzen "muss", dann ausschließlich verschlüsselte Dateien oder Ordner hochladen.

Wenn das denn erlaubt ist. Ich habe vor ein paar Jahren mal versucht, jemandem ein verschlüsseltes 7Z-Archiv mit vertraulichen Daten auf sein GMail-Konto zu schicken. Der Google Mailer Daemon meldete daraufhin, dass die Email nicht zugestellt wurde, da es nicht möglich gewesen wäre, die angehängte Datei zu öffnen und auf Malware zu scannen. Soviel zum Thema Privatsphäre bei Google. Dient natürlich nur dem Schutz des Kunden.

Sind alles nur Informationssplitter und es kann sich um Einzelfälle oder Bugs handeln. Daher stelle ich es mal hier ein und frage generell nach euren diesbezüglichen Erfahrungen.

Ähnliche Artikel:
Microsoft-Kontensperrungen und die OneDrive 'Nacktfotos'
Wenn der Degoo Bot dein Benutzerkonto schließt …
Auch Microsoft macht den Porno-Scan
Microsoft, OneDrive, Inhaltsscans und 'Porno-Petze'
Cloud Hopper: 'Chinesen' hacken erfolgreich IBM, HPE und Co.
Microsoft gewährt den US-Geheimdiensten Zugriff auf Bankdaten von Indern
iCloud doch nicht sicher? Tool soll Backups laden können
Windows 10: Gratulation zum Big Brother-Award
Neues NSA-Leak–Material auf offenem AWS-Server gefunden
Schwedens größtes Datenleck: Strafe 7.320 Euro
14 Millionen Verizon-Kundendaten offen auf Server
Brisante Pentagon-Dateien auf Amazon-Server gefunden
Schleift TiSA Datenschutz, IT-Sicherheit und Netzneutralität?
CIA sponsort Social Media und Data-Mining-Unternehmen
Süffisant: OneDrive, Google Drive und Safer Internet Day
Microsoft, Office, Dropbox, OneDive, NSA …
Daten aus Europa sicher vor US-Behördenzugriffen?
NSA nutzt Heardbleed-Sicherheitslücke seit Jahren!
Microsoft im Nachrichten-Fokus: Umstrukturierung, NSA & Co.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit Cloud, Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

22 Antworten zu Cloud-Datenschutz: Na, dann verschlüssele ich eben …

  1. Dat Bundesferkel sagt:

    Boah, das ist ernsthaft eine Dreistigkeit und man stellt sich die Frage: Kann man überhaupt noch ernsthaft in Erwägung ziehen eine Cloud eines Dienstleisters zu nutzen?

    Ich meine, geschäftlich ist das ja eh ausgeschlossen, wenn man bspw. die DSGVO (GDPR) einhalten möchte / muß. Da können die Cloud-Anbieter noch so viele Märchen schreiben, es bleibt inkompatibel.

    Aber hey, Google ist doch wenigstens so nett und verweigert dann gleich die Annahme. Spätestens jetzt sollte jedem Normaldenkenden doch klar sein, das Konstrukt nicht zu nutzen. Okay, die ganz schweren Fälle werden vermutlich aus Bequemlichkeit dann die Verschlüsselung rückgängig machen und es unverschlüsselt hochladen… das ist dann die Generation WhatsApp.

  2. Ralf sagt:

    Also wir haben Kunden, deren Backup-Programme AES verschlüsselte Datenblöcke auf Onedrive speichern und dort gibt es keine Probs. Ich vermute, Cryptomator wird eher auf Grund seiner Arbeitsweise angemeckert. Wenn ich das richtig im Kopf habe, werden dort ganze Dateien on the fly verschlüsselt, statt das blockweise zu machen.

  3. Sordon sagt:

    Hallo Herr Born,
    ich lese ihren Blog sehr gern, aber hier muss ich mal "einschreiten". Sie schreiben im obigen Artikel:
    Die von Boxcryptor auf OneDrive verschlüsselten Dateien werden beim Hochladen als Ransomware eingestuft und nach 30 Tagen gelöscht.
    Das stimmt so gar nicht. Nicht die hochgeladenen Daten werden als Ransomware eingestuft, sondern Office 365 / OneDrive vermutet, dass auf das Gerät des Nutzers ein Ransomware-Angriff stattgefunden hat und daher eine größere Menge an verschlüsselten Daten hochgeladen wurde. Diese Daten werden auch mitnichten nach 30 Tagen gelöscht, sondern nach 30 Tagen läuft die Zeit ab, in der die ursprünglichen Daten aus dem Papierkorb bzw. über den Versionsverlauf wieder gerettet werden könnten. Daher ist das ein Hinweis im Sinne des Kunden. Wenn der Kunde aber nichts macht, dann bleiben die verschlüsselten Daten so wie sie sind und werden auch nicht gelöscht.
    Ich selbst habe sehr viele verschlüsselte Daten in meinem OneDrive und noch nie ein Problem damit gehabt, dass diese gelöscht wurden o.ä.
    PS: Nein, ich bin kein Angestellter von Microsoft, sondern "einfacher" Anwender

    • Günter Born sagt:

      Danke für die Ergänzung. Wo der Unterschied zwischen gelöscht und in den Papierkorb geschoben, aber nicht mehr restaurierbar ist, erschließt sich mir nicht. Unter dem Strich bleibt: Wenn ich verschlüssele, kann es mich treffen – und dann sehe ich alt aus. Für mich als schnellen Leser stellt es sich so dar: Hallo, ich habe da einen Datenträger, da kannst Du drauf speichern – kann natürlich sein, dass nach deinen Speicherversuchen die Daten danach weg sind.' Wer würde so einen Datenträger zum Speichern nutzen?

      • Niels sagt:

        Hallo,

        ich denke das ist anders gemeint:

        Sie haben eine Datei auf OneDrive (unverschlüsselt), nun installieren Sie eine Software die Ihre Daten verschlüsselt, worauf der OneDrive Client Sie in neuer Variante hochlädt.
        Nach dem Upload erkennt das MS Antimalwaresystem das eine vormals "lesbare" Datei nun nicht mehr nutzbar ist (also exakt dem Verhalten was z.B. bei Emotet häufig ersichtlich ist).
        Daraufhin erhält der Nutzer die Meldung das ein Ransomware Befall vermutet wird. Microsoft behält nach der neuen Syncronisierung die Orignale, unverschlüsselte Datei, noch für 30 Tage, so dass der User im Falle eine echten Infektion diese entsprechend für 30 Tage wieder herstellen kann. Die verschlüsselte Datei wird, so wie ich Sordons Aussage interpretiere, nicht von Microsoft gelöscht.

      • Bernhard Diener sagt:

        @Günter und Sordon:
        Nirgendwo steht, dass die Dateien gelöscht werden oder in den Papierkorb verschoben werden. Sie bleiben, wo sie sind. Günter, wenn Du selbst nie Clouddrives mit verschlüsselten Dateien nutzt, dann bitte genauer recherchieren, denn das schürt sonst ggf. Flameposts hier. Microsoft legt nahe, wie Sordon schon sagt, dass die Dateien, die sie für verschlüsselt halten, 30 Tage wieder aus Vorversionen hergestellt werden können (sofern diese je unverschlüsselt dort lagen), das ist alles.
        Bei Googledrive sieht das mit Sicherheit nicht anders aus.

        • Ärgere das Böse! sagt:

          Probiers aus und melde dich in 35 Tagen wieder.

        • Thomas K sagt:

          Kann ich bestätigen, die Meldung bekomme ich auch regelmässig, wenn von mir über Dritt-Software verschlüsselte Dateien hochgeladen werden.

          Der "Randsomeware"-Schutz von Onedrive besteht darin, dass veränderte Dateien 30 Tage lang wiederhergestellt werden können. Nicht mehr, nicht weniger. Die verschlüsselten Dateien selbst werden nicht angegriffen.

  4. Onkel Hotte sagt:

    Ich habe habe einen Cryptomator Container auf OneDrive und bisher nie eine Mails von MS desbezüglich bekommen. Auch mit Boxcryptor vorher keine Probleme gehabt.

    Microsoft hat aber meine ganzen mit Bocryptor verschlüssselten Dateien in meinem O365 Account OneDrive gelöscht. Entweder war es weil ich den Account für $5 auf ebay gekauft hatte und das nicht so rechtens war oder weil ich zusätzlich noch die Dateinamen habe verschlüsseln lassen. Da dachten die vielleicht wirklich die wären Ransomwareverschlüsselt. Hatte aber nie eine Mail dazu bekommen.

  5. Hannes sagt:

    Ich verschlüssele meine Daten auf OneDrive seit Jahren mit Cryptomator. Bisher gab es nie Probleme.

  6. Knusper sagt:

    Ich arbeite mit Leuten zusammen, welche auf Cloud und Verschlüsselung angewiesen sind. (ja, so etwas gibt es)
    Langsam triften hier einige Dinge in Richtung VT ab….

  7. Spawny sagt:

    Moin!
    Also ich habe auch verschlüsselte Daten auf Onedrive liegen…
    Falls mal so eine Lösch-Drohung kommen sollte, weiche ich bzgl. DR auf das NAS eines Bekannten aus, und der Bekannte auf meinen Speicher.
    Falls mal die Bude abbrennt, was man natürlich nicht hofft…
    Von daher…immer cool bleiben..

  8. Norbert Send sagt:

    Bei all den Cloudangeboten kann man nie sicher sein, ob die darauf gespeicherten Daten nicht missbraucht werden. Eine wesentlich bessere Lösung ist die Verwendung einer eigenen Cloud. "Owncloud" ermöglicht das recht einfach. Man braucht nur einen Server zu mieten, darauf das System – am besten mit eigener Webpage – zu installieren und dann mit Clients auf den eigenen Computern darauf zuzugreifen. Das System funktioniert hervorragend. Speichert man nun ausschliesslich nur lokal verschlüsselte Daten in der eigenen Cloud, befindet man sich auf einer sehr sicheren Seite.

    Ich kann jedenfalls nur empfehlen, sich "Owncloud" einmal genauer anzusehen.

    • Dat Bundesferkel sagt:

      ownCloud oder Nextcloud, wenn Du aber die Server im Internet mietest, hast Du dasselbe Dilemma, wie bei den anderen Anbietern auch – ohne Ausnahme.

      Man kann diese Server aber auch problemlos selber hosten. Die Guides sind, mit etwas Einlesearbeit, auch für Laien verständlich. Es geht sogar ohne Business-Tarif und statischen Adressen, allerdings dank heute üblichem gesharetem IPv4 sollte man sich definitiv mit IPv6 befassen, denn DSLite erlaubt keine serverseitigen Dienste (das CGNAT kann Pakete nicht an den richtigen Endverbraucher durchleiten).

      Ein Business-Tarif bei VF kostet mit statischer IPv4 etwa 65 Euronen im Monat. 50 Mb im Upload und 1 Gbit Down. Das genügt schon für eine eigene Cloud, wenn man nicht ständig HDD Backups "transferiert".

      Als Server-Plattform kann man so ziemlich alles nutzen… ausrangierte x86 Rechner oder 'n schicken Raspberry Pi 4 mit 8 GB RAM? Virtuelle Maschine geht ebenso gut.

  9. Uwe sagt:

    Mal was angemerkt: Herr X hat einen Save, der ist gut gesichert. Der Hersteller garantiert, dass selbst mit schwerster Technik das Ding 5h standhält. Diebe werden das Ding nicht im Haus knacken können, aber das Ding klauen und dann knacken, geht. Was will ich damit sagen? Wenn chiffrierte Daten lokal liegen, muss ein Dieb da erst ran, bevor er einen Angriff fahren könnte. Liegt eine chiffrierte Datei in einer Cloud, kann diese dort kopiert werden u in Ruhe der Angriff gefahren werden. No Cloud!

  10. Wolfgang Schneider sagt:

    Wenn ich eine verschlüsselte Datei verschicke liegt sie aller-höchstens
    2 Tage auf OneDrive. Bekomme ich ne Mail vom Spezi, dass er geladen hat,
    wird die Datei von mir auf OneDrive sofort gelöscht.

    Wie schon erwähnt, in eine Cloud speicher ich nicht, in keine. Dafür
    gibt es heimische Festplatten.

    Beste Grüße,
    Wolfgang
    Euch @llen, weiterhin gute Gesundheit!

  11. Holger sagt:

    Habe seit ein paar Tagen mit Cyberduck (Cryptomator und Boxcryptor inkl. verschlüsseltem Dateinamen) experimentiert und OneDrive macht nun auch Probleme.
    Die Desktop-App will Dateien umbenennen, was aber nicht funktioniert.
    Also dachte ich, dass ich auf onedrive.live.com weiter komme. Aber da hänge ich in einer "Anzeichen von Ransomware erkannt" Meldung fest.
    Man kann die nicht wegklicken, sondern muss Erste Schritte starten.
    Daraufhin will Microsoft mich verifizieren und hat mir angeblich einen Code per E-Mail gesendet. Diese Mail kam aber nie an (trotz mehrerer Versuche).

    Mit externen Apps kann ich noch auf die Daten zugreifen. Weiß aber nicht, wo das Problem von MS bzw OneDrive ist. OneDrive meint nur "wir können Dateien automatisch reparieren". Aber zum einen gibt es ja nichts zum reparieren und zum anderen funktioniert das nicht.

    • Holger sagt:

      Ich habe nun doch noch eine Mail erhalten und konnte die Ransomware-Meldung deaktivieren. Das muss man zweimal bestätigen. Danach hat auch der Desktop-Client nichts mehr beanstandet.
      Das Ganze kann sicherlich in seltenen Fällen helfen. Aber wenn die Daten schon gecrypted in die Cloud gelangen (und vorher nicht vorhanden waren), dann ist der Automatismus, der bei der Analyse verwendet wird, stark verbesserungswürdig.

      Ich hatte übrigens zwei Warnmeldungen mit folgendem Betreff erhalten:
      AKTION ERFORDERLICH: Anzeichen von Ransomware erkannt.
      und 3 Tage später
      LETZTE ERINNERUNG: Anzeichen von Ransomware erkannt.

      Und jetzt noch einmal eine neue E-Mail mit Betreff
      How was your ransomware recovery experience?
      "Wir fragen nach, nachdem Sie OneDrive verwendet haben, um nach einem Ransomware-Angriff Dateien wiederherzustellen."
      Und das, obwohl ich mitteilte, dass es keine kompromitierten Daten seien.
      Und wenn man an der Umfrage teilnehmen will, dann erhält man nur die Fehlermeldung "Sorry, this survey is not currently active."
      Das ist Microsoft (powered by Qualtrics)!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.