Diese 5 Fragen sollten Sie Cloud-Storage-Anbietern stellen
Die Datensicherheit bei Cloud Storage ist wichtig für Unternehmen, doch Anbietern gehen oft nicht in Details. Diese Fragen sollten sie stellen, bevor Sie einen Dienst annehmen.
Jeder sollte sich Sorgen machen, Opfer eines Datenverstoßes irgendwo im Internet zu werden. Unternehmen müssen sich aber auch mehr Gedanken darüber machen, wie ihre „vertrauenswürdigen“ Anbieter ihre vertraulichen Daten verwenden, insbesondere was die Dateien betrifft, die dem Speicher eines Cloud-Anbieters anvertraut sind.
Dieser Artikel liefert Hintergrundinformationen zum Thema Cloud Storage und bietet fünf vernünftige Fragen, um Anbieter nach dem Datenschutz bei Cloud Storage zu fragen und wie sie Kundendaten verwenden. Da Dropbox ein bei vielen Lesern bekannter Anbieter ist, verwende ich es als Beispiel, um einige Punkte zum Thema Datenschutz in der Cloud zu veranschaulichen, aber beachten Sie, dass diese Beobachtungen auch für viele andere Anbieter von Cloud-Speicherlösungen gelten, nicht nur für Dropbox.
Typische Datenschutzrichtlinien sind auf Besonderheiten ausgerichtet
Die typische Datenschutzrichtlinie für Cloud-Speicher verwendet oft viele Wörter, um wenig nützliche Informationen zu vermitteln. Die Dropbox-Datenschutzseite bietet 2.000 Detailwörter, ohne einen konkreten Hinweis darauf zu geben, wer Ihre Daten sehen und verwenden darf. Tatsächlich ist ein Großteil der Datenschutzdiskussionen beschäftigt sich damit, wie Dropbox mit Ihren Informationen umgeht, wiederum in den Firmen-Policies wie Cookies, Kontakte und Nutzung enthalten sind.
Aber wie sieht es mit der Sicherheit und dem Datenschutz von Kundendaten aus?
Betrachten wir ein Beispiel dafür, wie die Datenverfügbarkeit funktioniert. Benutzer melden sich mit ihren Benutzer-IDs und Passwörtern bei Dropbox an, vielleicht sogar mit einer mehrstufigen Authentifizierung. Dann entscheiden sie, mit wem sie Dateien über die Dropbox-GUI teilen möchten. An dieser Stelle könnten Benutzer davon ausgehen, dass niemand ihre Dropbox-Dateien ohne ausdrückliche Genehmigung anzeigen kann. Aber sie würden sich irren.
Dropbox berichtete zunächst, dass das Unternehmen von Juli bis Dezember 2018 Inhalte als Reaktion auf 526 Durchsuchungsbefehle bereitstellte. Während Dropbox also 256-Bit Advanced Encryption Standard verwendet, um die gespeicherten Daten zu Verschlüsseln, ist es offensichtlich, dass es auch die Schlüssel enthält. Denn wenn das Unternehmen nicht über die Schlüssel verfügte, wäre es nicht in der Lage, Inhalte als Reaktion auf Durchsuchungsbefehle bereitzustellen.
Wenn nicht anders angegeben, haben die Nutzer das Recht zu erfahren, wie ihre Daten verwendet werden.
Abgesehen von behördlichen Gerichtsbeschlüssen gewähren Dropbox-Nutzer Dropbox eine weit gefächerte Erlaubnis, indem sie die Vereinbarung über die Allgemeinen Geschäftsbedingungen (AGB) akzeptieren. Hier wird erklärt, wie das Unternehmen den Nutzern verschiedene Dienstleistungen wie Dokumentenvorschau und optische Zeichenerkennung anbietet, aber die AGB sagen weiterhin, dass, um diese Funktionen anzubieten, „Dropbox auf ihre Daten zugreift, sie speichert und scannt. Sie geben uns die Erlaubnis, diese Dinge zu tun, und diese Erlaubnis gilt für unsere Partner und vertrauenswürdige Dritte, mit denen wir zusammenarbeiten.“
Die wertvollen und vertraulichen Geschäftsdaten der Kunden sind für Dropbox nur mehr „Dinge“ (engl.: stuff, Dropbox-Terminus). Während ich kein Anwalt bin, würde es scheinen, dass Dropbox fast alles tun könnte, was es will, mit Daten, ohne die AGBs zu verletzen.
Datenschutzfragen an Anbieter von Cloud-Speicherlösungen
Wenn nicht anders angegeben, haben die Nutzer das Recht zu erfahren, wie ihre Daten verwendet werden. Wenn „privat und vertraulich“ nur eine Blase ist, die platzen kann (und soll), dann sollten sich Dropbox und andere Unternehmen darüber im Klaren sein.
Hier sind fünf Fragen, die Sie jedem potenziellen oder aktuellen Anbieter stellen können, um die Privatsphäre und Sicherheit von Cloud-Storage zu gewährleisten. Klare Antworten helfen Ihnen, besser zu verstehen, wie privat und vertraulich Ihre Dateien wirklich sind.
Verschlüsselungscodes: Angenommen, meine Daten sind auf Ihrem Speicher verschlüsselt, wer hat dann Zugriff auf die Verschlüsselungscodes?
Zugriff auf Daten vom technischen Support: Hat der technische Support – Mitarbeiter, Auftragnehmer oder Dritte – Zugriff auf die Dateien, die ich in Ihrem Cloud-Service speichere?
Keyword-Suche: Scannen oder verarbeiten Sie oder ein Dritter meine Dateien? Wenn ja, was geschieht mit den Informationen, die während des Scans erhalten wurden?
Kopien von Daten: Um einen sicheren, redundanten Dienst bereitzustellen, ist es sicher anzunehmen, dass Sie meine Daten an einem anderen Ort oder System sichern oder replizieren? Wenn ja, welche Kontrollen gibt es, um interne Mitarbeiter oder Dritte daran zu hindern, auf diese Kopien meiner Datendateien zuzugreifen?
Audits: Wie überprüfen Sie Ihre eigenen internen Richtlinien in Bezug auf unbefugten internen Zugriff auf Kundendaten?
Speziell für Dropbox konnte ich keine klaren Antworten auf eine dieser Fragen in den verschiedenen Datenschutzseiten, AGBs oder Transparenzseiten finden. Unternehmen sollten sicherstellen, dass sie ihre Recherche durchführen, bevor sie solche Dienste nutzen.
Obwohl nicht besonders bekannt, haben einige Anbieter von Cloud-Speicherlösungen, darunter Tresorit, SpiderOak und pCloud, Zero-Knowledge-Services implementiert. Diese Cloud-Speicheranbieter verschlüsseln die Daten der Kunden, bevor die Dateien ihren PC verlassen. Die Dateien können dann nur noch mit einem Schlüssel entschlüsselt werden, den nur die Kunden haben. In diesem Fall werden alle oben genannten Probleme in einem Zug gelöst.
