Praxisbericht
/ 28. Mai 2021

Datenschutzeinstellungen bei Cloud-Speichern

Im Idealfall bieten Unternehmen ihren Beschäftigten einen zentralen Cloud-Speicher an. Es gibt einige deutsche Anbieter, bei denen zumindest sichergestellt ist, dass die Daten in deutschen oder europäischen Rechenzentren gespeichert werden. Aber auch hier spielen zusätzlich erweiterte Datenschutzeinstellungen eine Rolle.

Dropbox, OneDrive (for Business), Google Drive und Apple iCloud haben aus Datenschutzsicht alle miteinander das gleiche Problem: Sie haben ihren Sitz in den USA.

Serverstandort sicherstellen und überprüfen

Um diesen kritischen Punkt auszuräumen, sollten Unternehmen Anbieter auswählen, die Serverstandorte in Deutschland oder Europa betreiben. Der Anbieter der Wahl sollte darüber hinaus seinen Sitz in der Europäischen Union haben, nicht nur hier eine Niederlassung betreiben.

Wer auf Nummer sicher gehen will, setzt auf europäische Unternehmen, die europäische Rechenzentren betreiben und zudem eine ISO-27001-Zertifizierung haben. Das Zertifikat weist jedoch nur nach, dass der Clouddienst Prozesse etabliert hat, um die IT-Sicherheit zu gewährleisten. Eine Zertifizierung nach der Datenschutz-Grundverordnung wird man derzeit leider noch vergeblich suchen.

Für den professionellen Einsatz ist TeamDrive eine bekannte Lösung, die die Daten in deutschen Rechenzentren speichert. TeamDrive ist zertifiziert vom Unabhängigen Datenschutzzentrum Schleswig-Holstein (ULD) und hat das EuroPriSe-Gütesiegel, jedoch keine ISO-Zertifizierung. Weitere bekannte Anbieter sind MagentaCLOUD, Strato und Ionos. Letztere sind ISO-27001-zertifiziert. Natürlich gibt es noch weitere Lösungen und Anbieter. Die Einstellungsmöglichkeiten zum Datenschutz gelten jedoch grundsätzlich auch für andere Speicher.

Zusätzlich kann es sinnvoll sein, die personenbezogenen Daten vorher mit Tools zu verschlüsseln. Auch diese Vorgehensweise zeigen wir in diesem Beitrag.

Datenschutz als Auswahlkriterium nutzen

Selbst wenn ein Cloudspeicher-Anbieter seine Rechenzentren in Deutschland oder Europa betreibt, bedeutet das nicht automatisch, dass alle Datenschutz-Funktionen optimal sind. Daher heißt es, sich auf jeden Fall vor der Verwendung eines Datenspeichers immer bei den Anbietern über die Sicherheitsfunktionen zu informieren.

Das gilt, gleich ob nun ein Unternehmen einen zentralen Cloudspeicher anbieten möchte oder ob die Beschäftigten bei kleinen Betrieben etwa im Homeoffice auf der Suche nach einer solchen Möglichkeit sind. Auch wer privat einen Cloudspeicher benötigt, sollte sich Gedanken über die Sicherheitsfunktionen machen.

Sicherheitsoptionen prüfen

Bevor ein Cloudspeicher produktiv zum Einsatz kommt, sollten sich Unternehmen bzw. Anwenderinnen und Anwender die Sicherheitsoptionen genauer anschauen. Nahezu alle Cloudspeicher haben ein Einstellungsmenü, in dem sich Sicherheitsoptionen anpassen lassen. Besonders wichtig ist an dieser Stelle die Zwei-Faktor-Authentifizierung.

Zentral: Die Zwei-Faktor-Authentifizierung

Kennt ein Angreifer das Passwort eines Kontos, kann er ohne die zweite Anmeldemethode nicht auf den Cloudspeicher zugreifen. Bei der zweiten Anmeldemethode ist ein zusätzliches Kennwort notwendig, das der Anbieter meistens per SMS verschickt oder in kostenlosen Apps erzeugt. Cloudspeicher, die diesen Schutz immer noch nicht anbieten, sollten zumindest nicht für den professionellen Austausch personenbezogener Daten zum Einsatz kommen.

Beim Vergleich der Anbieter fällt z.B. schnell auf, dass die MagentaCLOUD nur sehr wenige Sicherheitsoptionen bietet und keine Zwei-Faktor-Authentifizierung. Die MagentaCLOUD (https://cloud.telekom-dienste.de) ist daher nicht ideal für den dauerhaften Einsatz im professionellen Umfeld. Ansonsten bieten mittlerweile nahezu alle Cloud-Speicher eine Multi-Faktor- bzw. Zwei-Faktor-Authentifizierung.

Hier müssen Anwender aber darauf achten, dass sie diese Funktion in den Einstellungen des Kontos aktivieren. Automatisch ist dieser Schutz bei keinem Anbieter aktiv!

Besser professionelle Tarife verwenden

Wer Cloud-Lösungen im professionellen Umfeld einsetzen möchte, sollte die Business-Tarife der Anbieter nutzen. Sie bieten deutlich mehr Sicherheitsfunktionen wie eine bessere Verschlüsselung, eine sichere Zusammenarbeit von Teams sowie Zertifizierungen und oft deutlich mehr Speicherplatz.

Ende-zu-Ende-Verschlüsselung

Wichtig ist v.a. die Ende-zu-Ende-Verschlüsselung. Sie stellt sicher, dass die Daten zwischen den Endgeräten und der Speicherung vollständig verschlüsselt bleiben. Diese Funktionen stehen bei Tarifen für Privatanwender in den meisten Fällen nicht zur Verfügung.

Bekannte Beispiele sind Strato Hi-Drive (www.strato.de/cloud-speicher/hidrive-business) oder IONOS HiDrive (www.ionos.de/office-loesungen/hidrive-cloud-speicher). Der Speicher ist v.a. für kleine Teams sinnvoll, steht allerdings nicht kostenlos zur Verfügung. Strato, Web.de, GMX und Ionos gehören zu United Internet. Daher bieten die professionellen HiDrive-Cloudspeicher bei Ionos und Strato nahezu identische Sicherheitsoptionen. Die Anbieter speichern die Daten in deutschen Rechenzentren.

Daten zusätzlich verschlüsseln

Möchten Anwenderinnen und Anwender personenbezogene und v.a. besonders sensible Daten in der Cloud speichern, ist es erforderlich, diese Daten zusätzlich zu schützen. Hierbei helfen Tools wie

Die Verschlüsselungstools werden auf den Rechnern der Anwender installiert. Sie verschlüsseln die Daten vor dem Upload in den Cloudspeicher. Der Zugriff auf die Daten ist nur mit diesen Tools möglich, die wieder für die Entschlüsselung sorgen. Damit geben die Verschlüsselungstools die Sicherheit, dass ohne diese Zusatztools kein Zugriff auf die Daten möglich ist, auch wenn Angreifer das Cloudkonto hacken sollten.

Ein weiterer Vorteil: Kostenpflichtige Lösungen wie BoxCryptor ermöglichen es zudem, die Dateien verschlüsselt zu teilen und auf sie mobil zuzugreifen.

Praxis-Tipp
Beschäftigte, die aus dem Homeoffice oder mobil Dateien in der Cloud speichern und mit anderen Anwenderinnen und Anwendern teilen, setzen auf einen Anbieter, der seinen Sitz in der Europäischen Union hat, wenn das Unternehmen selbst keinen solchen Cloudspeicher anbietet.

In allen Fällen ist es sinnvoll, in den Einstellungen des jeweiligen Cloudanbieters die Sicherheitsoptionen aufzurufen und nachzuschärfen. Vor allem die Multifaktor-Authentifizierung ist wichtig, um den Zugriff auf den Cloudspeicher so gut wie möglich zu schützen.

Thomas Joos

+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.