Sicherheit

So verschlüsselt man Daten in der Cloud

Von Michael Spehr
 - 13:35

Nicht immer ist die Cloud der sicherste Speicherplatz. Das hatten wir vor einigen Wochen am Beispiel der Verschlüsselungstrojaner erklärt. Doch für viele Anwendungen und Dienste kommt man um den Speicher in der Wolke nicht mehr herum. Wer auf seine Bestände an unterschiedlichen Orten regelmäßig zugreifen muss, ist mit einem Cloud-System und seiner automatischen Synchronisierung der Dateien bestens bedient. Doch ein Vorbehalt bleibt: Man will private Daten wie die Steuererklärung, Kopien von Ausweisen oder Kontoauszüge nicht zu einem Dienst hochladen, der womöglich irgendwann in die Hände von Hackern fällt. Auch Ermittlungsbehörden oder Nachrichtendienste könnten sich bedienen. Nicht nur, wenn die Daten im Ausland liegen.

Also muss verschlüsselt werden. Der Kennwortschutz von Word oder Excel reicht dazu nicht aus. Besonders bequem ist ein Verfahren, das im Hintergrund läuft: automatisch alles Hochgeladene verschlüsseln und beim Laden aufs Gerät wieder entschlüsseln. Wenn das ordentlich gemacht wird, spricht nichts dagegen. Aber die Software muss auf allen Geräten laufen, die in Verbindung mit der eigenen Cloud eingesetzt werden. Und sie wird wahrscheinlich nicht beim Streaming von Musik- oder Videodateien sowie im Einsatz des automatischen Foto-Uploads auf dem Smartphone funktionieren. Gegebenenfalls verschlüsselt man also nur ausgewählte Ordner mit privaten Dokumenten.

Grünen Pünktchen für verschlüsselte Daten

Der bekannteste Spezialist für solche Aufgaben ist die deutsche Software Boxcryptor. Sie lässt sich eingeschränkt gratis nutzen, für einen sinnvollen Einsatz bezahlt man als Privatperson 36 Euro im Jahr. Die App läuft wie jene des Cloud-Speichers fortwährend im Hintergrund. Man wählt einen oder mehrere Ordner für die Verschlüsselung, und alles, was fortan in diesem landet, wird selbsttätig verschlüsselt. Das Dateianhängsel ändert sich, zusätzlich wird ein „bc“ hinter die Dateinamenserweiterung des Originals gehängt, und verschlüsselte Dateien sind mit einem grünen Pünktchen markiert.

Boxcryptor wirft hinsichtlich der Bedienung keine Fragen auf und läuft unter Windows, auf dem Mac, auf iPhone und iPad sowie den Androiden. Das eigene Boxcryptor-Konto verlangt Zugriff auf den Cloud-Dienst, und hier werden mehr als 20 verschiedene Angebote wie Dropbox, Onedrive, iCloud Drive und weitere unterstützt. Die Ver- und Entschlüsselung arbeitet lokal. Das bedeutet: Der Hersteller von Boxcryptor und der Anbieter des Cloud-Speichers können die verschlüsselten Dateien nicht entschlüsseln. Das Kennwort des Anwenders wird nicht an die Server von Boxcryptor übertragen. Der Quellcode der App liegt allerdings nicht offen. Man muss also den Programmierern vertrauen, dass das eigene Kennwort wirklich nie an Boxcryptor geschickt wird.

Ein offenes Verschlüsselungssystem, das von vielen kritischen Augen geprüft werden kann, ist Veracrypt. Es ist der Nachfolger von Truecrypt, das viele Jahre als Referenz dieser Software-Gattung galt. Bis urplötzlich seine Programmierer 2014 verkündeten, das Projekt nicht weiterzuverfolgen. Truecrypt hatte zu diesem Zeitpunkt die erste Phase eines Sicherheits-Audits mit positiven Ergebnissen abgeschlossen. Der Grund für den Rückzug ist bis heute rätselhaft.

Veracrypt steht gratis für Windows und den Mac zur Verfügung. Der Mac benötigt zusätzlich noch die Fuse-Dateisystemerweiterung, die ebenfalls gratis ist. Veracrypt arbeitet wie Truecrypt als Datentresor. Das Funktionsprinzip an sich ist einfach: Ein Teil der Festplatte wird zu einem Datentresor gemacht. Ist er geöffnet, sieht man die hineingelegten Inhalte, unverschlüsselt. Ist er geschlossen, sind alle Inhalte hinter seinen dicken Wänden uneinsehbar versteckt. Zum Öffnen wird der Tresor in das Laufwerkssystem des Rechners eingebunden, er ist also in Apples Finder wie eine Mini-Festplatte oder ein USB-Stick erkennbar und hat unter Windows einen Laufwerks-Kennbuchstaben. Veracrypt ist für das Öffnen und Schließen des Tresors zuständig, es läuft nicht permanent im Hintergrund. Der Tresor heißt in der Fachsprache Container, und er wird eingehangen, „gemounted“.

Container lieber nicht zu groß wählen

Der von Veracrypt verschlüsselte Container kann nahezu überall auf dem Rechner liegen, im Musik-Ordner, auf dem Desktop oder eben in der Cloud. Die Größe und der Name des Containers sind frei wählbar, ebenso gibt es ungezählte Raffinessen für die sichere Verschlüsselung. Unterschiedliche Krypto-Verfahren stehen zur Auswahl und weitere Extras. Anfangs folge man einfach den Standardvorgaben. Den Container sollte man nicht zu groß wählen, wenn er als Cloud-Tresor fungieren soll. Denn bei jeder noch so kleinen Änderung der eigenen Dateien muss der komplette Container neu in die Cloud hochgeladen werden. Im Unterschied zu einer dateibasierten Verschlüsselung kann es zudem Probleme geben, weil nicht unbedingt jede Änderung sofort geschrieben, also in die Cloud hochgeladen wird. Wer sodann vergisst, vor dem Herunterfahren des Rechners den Container auszuhängen, verliert gegebenenfalls die Arbeit der letzten Stunden. Wird der Container beschädigt, sind alle darinliegenden Dateien verloren. Und schließlich: Kennwortverlust bedeutet ebenfalls Datenverlust.

Countdown – der politische Newsletter der F.A.Z.
Sprinter – der politische und wirtschaftliche Newsletter der FAZ.

Werktags um 6.30 Uhr ordnen unsere Autoren die wichtigsten Themen des Tages ein. Relevant, aktuell und unterhaltsam.

Jetzt abonnieren

Man muss also vorsichtig sein, aber der Gewinn besteht in einem sehr sicheren System, das selbst von Nachrichtendiensten nur dann zu hacken sein dürfte, wenn sie Inhalte auf anderen Wegen „ausleiten“ können, etwa mit einem vorab auf dem Gerät installierten Staatstrojaner. Sonst bleibt nicht viel, jedenfalls, wenn man für den Container ein hinreichend langes und komplexes Kennwort wählt. Wenn Datenspione in den Besitz des Rechners kommen, können sie natürlich über kurz oder lang ermitteln, ob auf ihm Veracrypt oder Truecrypt aktiv waren, die Spuren in der Registry und anderen Abteilungen von Windows kann man nicht ohne weiteres verwischen.

Die Entschlüsselung wird nicht gelingen, aber in einigen Ländern wie Großbritannien können Strafverfolgungsbehörden die Herausgabe von Passwörtern und Krypto-Schlüsseln unter Androhung einer langjährigen Haftstrafe erzwingen. Um für solche Fälle gerüstet zu sein, gibt es seit Truecrypt das Konzept der glaubhaften Abstreitbarkeit. Die Idee: Man versteckt einen weiteren Container in einem verschlüsselten Container. Im Fall der Fälle gibt man das Kennwort des äußeren Containers heraus, dort liegen einige Alibi-Daten, während die wirklich wichtigen Unterlagen in einem weiteren Container versteckt sind, welcher den freien Speicherplatz des ersten Containers ausnutzt. Dieses Matrjoschka-Prinzip verschachtelter geschützter Container ist sehr aufwendig, bietet aber höchstmöglichen Schutz.

Nutzerfreundlichkeit und Sicherheit passen noch nicht zusammen, das ist wieder einmal die Erkenntnis. Boxcryptor oder Veracrypt sind jedoch wichtige Schritte hin zu einer Infrastruktur der Zukunft, für die Verschlüsselung höchste Priorität besitzt.

Quelle: F.A.S.
Michael Spehr
Redakteur im Ressort „Technik und Motor“.
FacebookTwitterGoogle+
  Zur Startseite
Ähnliche ThemenVerschlüsselungMacExcelDropboxiPadiPhone