- 5. April 2012 | Volker Scheidemann | Security Blog
Apple, gerade erst zur wertvollsten Firma der Welt gekürt, legt pünktlich zu Ostern den Nutzern der iCloud ein Kuckucks-i ins Nest.
Dass Sorge um die Datensicherheit der Grund Nummer eins ist, warum Unternehmen noch nicht viel häufiger die Vorteile des Cloud Computings nutzen, ist vermutlich inzwischen allgemein bekannt. Daher ist es nicht verwunderlich, dass die Anbieter von Cloud-Services fieberhaft daran arbeiten, den Nutzern Sicherheitslösungen für Ihre Leistungen mit zu verkaufen. Dumm nur, wenn sich diese als nicht tragfähig erweisen. Vor allem Anbieter, deren Kerngeschäft nicht die IT-Security ist, glänzen häufig mit Angeboten, deren Fassade bei genauerem Hinsehen ganz schnell zu bröckeln beginnt. Jüngstes Beispiel: Apple und die iCloud.
Verschlüsselung ist gut – den Schlüssel dazu selbst behalten ist besser
Apple bietet mit der iCloud seinen Nutzern die Möglichkeit, Daten kostenlos auf Apple-Servern zu speichern und diese von überall her abzurufen. Und nicht nur das, Apple wirbt auch damit, dass diese Daten dort verschlüsselt abgelegt werden. So weit, so gut.
Bei genauerem Studium der Nutzungsbedingungen wird man jedoch stutzig, deuten einige Formulierungen doch darauf hin, dass da möglicherweise doch ein Hintertürchen besteht. Wir lesen dort: „Sie erklären sich damit einverstanden, dass Apple, ohne Ihnen gegenüber zu haften, auf Ihre Kontoinformationen und Ihre Inhalte zugreifen, diese nutzen, aufbewahren und/oder an Strafverfolgungsbehörden, andere Behörden und/oder sonstige Dritte weitergeben darf, wenn Apple der Meinung ist, dass dies vernünftigerweise erforderlich oder angemessen ist, wenn dies gesetzlich vorgeschrieben ist oder wenn Apple einen hinreichenden Grund zu der Annahme hat, dass ein solcher Zugriff, eine solche Nutzung, Offenlegung oder Aufbewahrung angemessenerweise notwendig ist, …“.
Und genau das bestätigen jetzt Untersuchungen des Fachdienstes „Ars Technica“. Apple besitzt nämlich einen Generalschlüssel zu allen verschlüsselten Daten, die in der iCloud abgelegt werden und gibt diese im Bedarfsfalle, zum Beispiel auf Anordnung staatlicher Autoritäten. Der US Patriot Act lässt grüßen.
Ganz ähnlich verfährt der beliebte Cloud Storage-Dienst Dropbox, wie wir einer Meldung des Portals www.datenschutz.de entnehmen.
Jetzt muss man fairerweise zugeben, dass gerade US Unternehmen unter dem Druck des Patriot Act möglicherweise gezwungen sind, so zu verfahren. Allerdings sollten die Nutzer solcher Dienste zweimal überlegen, ob sie die Versprechen der Anbieter zur Sicherheit ihrer Daten tatsächlich glauben. Gerade bei Verschlüsselung gilt: Verschlüsselung ist nichts, wenn man den Schlüssel aus der Hand gibt! Wirkliche Sicherheit bieten hier nur hybride Lösungsansätze, welche die Schlüsselhoheit beim Anwender belassen. Daher traue keinem Cloud-Anbieter, der verspricht, sich um die Datensicherheit ganz alleine zu kümmern, denn das kann gar nicht funktionieren.
Cloud Security! Tolle Sache! Und ein Zug, auf den jeder gerne aufspringt, egal ob er was davon versteht oder nicht. Beweis siehe oben!
Sehr informativer Beitrag mit tollen Ansichten. Da kann man doch einiges dazu lernen.