22.11.2013

Die eigene Cloud - oder doch nicht? Leserbrief zum WZ-Artikel 16.11.13

Letzten Samstag war ein Artikel in der WZ, den ich für sehr fragwürdig halte: dort wird die Einrichtung einer eigenen Cloud im Internet besprochen.

Allerdings wird nicht genauer erklärt, warum man eine eigene Cloudsoftware einrichten sollte. Einen Server bei einem Rechenzentrum mieten, nur für den eigenen Kalender? Halte ich für übertrieben.

Sollen dort in der "eigenen Cloud" die Urlaubsbilder sicher gespeichert werden? Cloud ist die falsche Lösung, da verwendet man Backups oder ein NAS oder beides.

Leserbrief zum Artikel "Die eigene Cloud" WZ 16.11.2013

Der Artikel beschreibt, wie man sich selbst einen Server mit "Cloud"-Funktion einrichtet. Im Ansatz ist die Idee natürlich löblich, die Kontrolle über die eigenen Daten zu behalten. Die "Cloud" dient dazu, dass man von überall her auf seine eigenen Daten zugreifen kann, ob nun zuhause, im Büro oder unterwegs mit dem Smartphone.

Die zwei prinzipiellen Möglichkeiten, so eine "eigene Cloud" zu realisieren, sind allerdings beide nur mit großer Vorsicht genießbar, deshalb halte ich den Artikel bei weitem für zu ungenau und zu einseitig positiv.

Im Lichte der Details, die nach und nach über die diversen Geheimdienste und ihre Abhöraktivitäten ans Licht kommen, wäre die erste Überlegung nämlich nicht das "wie" - realisiere ich meine Cloud mit dem heimischen Gerät, miete ich einen V-Server oder ein richtiges "Blech" im Rechenzentrum eines Dienstleisters, sondern zunächst mal - "ob" und wenn ja, "wofür" ich so etwas wirklich so dringend benötige.

Die "eigene Cloud" begründet der Artikel eben genau mit der Datensicherheit, die bei Anbietern wie Dropbox, Box, Google, Microsoft etc. nicht gewährleistet ist, weil die Rechenzentren in den USA liegen und damit natürlich der amerikanischen Rechtsprechung unterliegen, die sehr hemdsärmelig mit Datenschutz umgeht (Patriot Act, Gag order, usw.).

Andererseits sind die Enthüllungen mittlerweile so schockierend, dass man eigentlich nichts und niemandem mehr trauen darf. Glaubwürdige Berichte beschreiben, dass die USA gezielt Schwachstellen in Standardisierungen von Verschlüsselungsalgorithmen einschleusen ließen, und die übliche Verschlüsselungstechnik für WWW, nämlich das SSL (das "s" in "https"), ist zwar mathematisch sicher, wird aber dadurch angreifbar, dass es auf dem Vertrauen in Signaturstellen beruht. Leider sind alle großen Signaturstellen (Verisign usw.) in den USA beheimatet, und es ist mehr als plausibel, dass sie durch rechtliche Anordnungen gezwungen werden können, die Basis-Signaturschlüssel ("root CA") auszuliefern. Mit diesem Besitz ist es möglich, sich in verschlüsselte Verbindungen einzuklinken und insbesondere beiden Parteien vorzugaukeln, dass ihre Verbindung sicher ist.

Es ist also zu vermuten, dass auch verschlüsselte Verbindungen abgehört werden können, und da die Telekom nicht am Datenaustausch des DE-CIX in Frankfurt teilnimmt, laufen vermutlich sehr viele Datenverbindungen unnötig durch ausländische Netze, die fröhlich abgehört werden. Aber nicht nur das, eventuell wird auch am DE-CIX direkt abgehört, genauso wie der englische Geheimdienst an den Landestellen der Seekabel in England und Zypern die Daten abschnorchelt. Mittlerweile heißt es ja auch, dass der BND sich vom englischen Geheimdienst helfen ließ, Gesetze so umzuinterpretieren, dass effektiv jeglicher Datenverkehr als "ausländisch" betrachtet wird und abgehört werden darf.

Im Grund kann man also festhalten: nur Daten, die den eigenen Rechner nicht verlassen, sind sichere Daten.

Wenn es denn unbedingt eine eigene Cloud sein muss, schlage ich einen gemieteten Server mit Linux oder BSD vor (keinen virtuellen, auch wenn das monatlich etwas teurer kommt, und ganz bestimmt keinen Windows-Server). Auf keinen Fall sollte eine Cloudsoftware auf dem Rechner oder Router zuhause laufen und eine Verbindung ins Internet geöffnet werden. Ich denke, dass die allermeisten Privatpersonen nicht in der Lage sind, sich gegen Hackereinbrüche zu schützen oder überhaupt zu erkennen. Dazu tragen leider auch Sicherheitslücken und absichtliche Hintertüren in Routern bei, über die die Fachpresse regelmäßig berichtet.

Wenn die Cloud "nur" dazu dienen soll, die eigenen Daten vor Verlust oder Zerstörung zu schützen, flapsig gesagt also eine sichere Ablage für die Urlaubsbilder gesucht wird, ist ein sicheres Speichergerät mit redundanten Festplatten die bessere Lösung (ein NAS-Gerät mit 2 bis 4 Festplatten im RAID), und immer 1 bis 3 Generationen Sicherungen der Daten an verschiedenen Stellen aufbewahren (externe Festplatten z.B.). Für diesen Zweck ist eine "eigene Cloud" zwar eine Lösung, aber nicht für dieses Problem.