Sicherer Cloud Storage mit Wuala und BoxCryptor

17.06.2012

cloud.pngEinen USB hat man meist nicht immer dabei. Wenn doch, dann ist genau diese eine Datei nicht drauf oder nicht auf dem aktuellsten Bearbeitungsstand. Und wie kann ich Dateien mit anderen Leuten teilen, ohne selbst ständig online zu sein?

Genau auf diese Fragen haben die großen Cloud Anbieter eine Lösung - den Cloud Storage. Die großen OS Anbieter offerieren ihn (iCloud, Windows Azure), bei Amazon gibt es S3 und um die Gunst der Privatanwender buhlen gleich mehrere: egal ob Dropbox, OwnCloud, SugarSync oder Wuala.

Was muss ich beachten?
Nun habe ich mich also für die Cloud entschieden, muss ich noch etwas außer dem Preis und dem Speicherplatz beachten? Ja, ich benötige Clients für mein Smartphone, meinen Desktop PC und ein Webinterface sollte es auch geben. Aber Moment, war da nicht noch etwas?

Sicherer Cloud Storage?
Es lässt sich darüber streiten, ob Cloud Storage wirklich sicher ist. Über die Frage, was ist “sicher”, lässt sich ja auch wunderbar sinnieren - dennoch kommen mir spontan folgende Fragen auf:

  • Wer betreibt den Cloud Storage?
  • Wie sieht das Geschäftsmodell dieses Anbieters aus?
  • Befinden sich die Server in Europa oder weltweit?
  • Werden die der Daten lokal oder in der Cloud verschlüsselt?
  • Oder lieber doch die eigene Cloud beim Hoster meiner Wahl?
  • Wie werden die lokalen Daten auf dem Dateisystem geschützt?

Durch den Patriot Act der USA haben amerikanische Regierungsbehörden nahezu unbegrenzten Zugriff auf jegliche Cloud Storage Daten. Auch andere Personen können grundsätzlich auf die Daten zugreifen, zum Beispiel die Administratoren des Anbieters oder Hacker.

Was auch immer man will und versucht, man kann eigentlich nur Kompromisse eingehen. Dennoch gibt es einige Cloud Anbieter, die mit der Verschlüsselung der Daten werben. Welche Algorithmen dabei eingesetzt werden, erfährt man bei den wenigsten. Wie diese implementiert sind fast nie? Wer Zugriff auf die Rechenzentren hat und ob es einen Masterkey gibt, tja … und wenn man sich das selbst schon fragt, kann man 95% der Anbieter vergessen.

Wuala
Wuala ist ein Online-Speicher der beiden Schweizer Unternehmen Caleido AG und LaCie, dessen Technologie größtenteils an der ETH Zürich erforscht und entwickelt wurde.

Wuala wirbt selbst mit einer lokalen 128-Bit-AES Verschlüsselung. Dass heißt also, dass die Daten nie unverschlüsselt über das Internet an Wuala gesendet werden. Zudem werden keine Passwortinformationen über das Internet versandt, oder auf einem zentralen Server abgelegt. Für die Authentifizierung der Benutzer wird der RSA-Algorithmus mit 2048 Bit Schlüssellänge verwendet.

Das dabei verwendete Cryptree Verfahren und weitere Details beschreibt das Dokument “Cryptree: A Folder Tree Structure for Cryptographic File Systems” der Distributed Computing Group der ETH Zürich.

BoxCryptor
BoxCryptor ist eine Entwicklung der Augsburger Firma Secomba GmbH, hinter der die Investoren Jan Hichert (Gründer des Karlsruher Firewall Spezialisten Astaro), Markus Hennig und Gert Hansen stehen.

BoxCryptor verschlüsselt die Daten transparent für den Benutzer und den eingesetzten Cloud Storage mit 256-Bit-AES. Weitere Details dazu befinden sich im Knowledge Base Artikel von BoxCryptor.

In der kostenlosen Variante steht dem Nutzer jeweils nur ein verschlüsselter Ordner zur Verfügung, einzelne Dateien können mittlerweile nahezu beliebig groß sein. Leider werden in der freien Version die Dateinamen nicht mit verschlüsselt, so lassen sie wieder Rückschlüsse auf den verschlüsselten Inhalt ziehen.

Andere Anbieter
Neben BoxCryptor gibt es auch noch andere gute Anbieter. Jedoch bieten nicht alle den Komfort oder die passenden mobile App an, so dass ich sie zu diesem Zeitpunkt nicht betrachtet habe. Aber zumindest möchte ich unbedingt TrueCrypt und Cloudfogger erwähnt haben.

Fazit - eine sichere Kombination
Für mich ergibt die Kombination aus Wuala und BoxCryptor einen sehr sicheren Cloud Storage, wenn man folgende Randbedingungen beachtet:

  • alle eingesetzten Kennwörter sollten hinreichend komplex sein*
  • die lokalen Daten sollten ebenfalls verschlüsselt sein (FileVault 2 oder EFS)
  • Smartphones und Desktops PCs sollten einen kennwortgeschützten Zugang haben

* Eine Mindestlänge von 8 Zeichen mit mindestens einem Groß- und Kleinbuchstaben, einem Sonderzeichen bzw. einer Zahl. Kennwörter wie “Test123!” sind dennoch denkbar ungünstig.

Die Fakten der Kombination aus Wuala und BoxCryptor sprechen also für sich:

  • die Server für den Cloud Storage stehen alle in der Schweiz bzw. in Frankreich
  • die zur Kryptographie verwendeten Algorithmen entsprechen allgemeinen Standards (AES)
  • das Maß an gebotenem Komfort ist mehr als akzeptabel
  • Apps für alle gängigen Devices bzw. Betriebssysteme
  • beide Unternehmen vermitteln einen seriösen Eindruck

Für mich also die momentan beste Lösung, nicht perfekt aber OK. Dennoch gilt: existentiell wichtige Daten gehören niemals in die Cloud!

Schlafe mein Mac, schlaf ein... »
« social network integration for Flatpress or any other blog by using static buttons (without javascript)