Cloud Speicher DSGVO-Konformität
26. November 2019

Cloud Speicher OneDrive, Google Drive und Dropbox – ist DSGVO-Konformität ausreichender Datenschutz?

Kaum jemand konnte sich der E-Mail-Flutwelle erwehren, die uns kurz vor dem 25. Mai 2018 ereilt hat. Die meisten Dienste – ob beruflich oder privat genutzt – schickten eine Benachrichtigung darüber, dass das Unternehmen nun auch DSGVO-konform sei. Ein unnötiger Service, schließlich muss Kunden auch nicht erklärt werden, dass man nicht Steuern hinterzogen oder keinen Insiderhandel betrieben hat. 

Nun ist es ruhig geworden um das Thema. Die Frage stellt sich: Ist jetzt alles gut? Sind Verbraucher, Anwender und Nutzer nun sicher? Sind unsere persönlichen Daten jetzt endlich außer Reichweite von Hackern? Vor allem bei den Big Playern wie Microsoft und Google stellt sich die Frage, ob die Dienste nun bedenkenlos genutzt werden können. Die aktualisierten Datenschutzerklärungen, die – seien wir ehrlich – kaum einer gelesen hat, vermitteln zumindest diesen Eindruck. 

Google, Microsoft, Dropbox und Co. sind nun offensichtlich so abgesichert, dass sie ihre Dienste weiterhin in Europa, im Wirkungsbereich der DSGVO, anbieten können. Doch wie ist das nun: Sind die Daten komplett sicher oder haben diese Anbieter nur die Verantwortung so umverteilt, dass sie selbst vor Klagen geschützt sind?

Besonders relevant ist das natürlich für sensible Firmendaten. Wir haben uns die Datenschutzerklärungen und Sicherheitsvorkehrungen der drei großen Cloud-Anbieter Google, Microsoft und Dropbox angesehen. Im Folgenden erklären wir, wovor Dropbox Business, Google Drive in der GSuite und OneDrive for Business die Unternehmensdaten ihrer Kunden schützen und wovor nicht.

Datenschutzmaßnahmen von Dropbox Business, OneDrive for Business und GoogleDrive in der GSuite im Vergleich

Mittlerweile haben alle großen Cloud-Anbieter technisch ausgereifte Lösungen mit ähnlichen Sicherheitsvorkehrungen im Angebot. Alle haben Maßnahmen implementiert, um Business Continuity zu gewährleisten. Die Server sind so gut abgesichert, dass es unwahrscheinlich ist, dass Daten aufgrund von technischen Defekten oder Umwelteinflüssen verloren gehen. Wenn es um Verschlüsselung und Zugriffsbegrenzung geht, haben die Anbieter ein sehr ähnliches Setup, das sie auch bei Neuerungen schnell dem der Konkurrenz anpassen. Wenn Google beispielsweise laut eigener Aussage als erstes Perfect Forward Secrecy einführt, ziehen Dropbox und die anderen Firmen ziemlich schnell nach. Sehen wir uns an, wodurch sich die beliebtesten Cloud-Anbieter für Unternehmensdaten unterscheiden.

Datennutzung: Was rechnen die Cloud-Provider ab: Euro, Dollar oder Daten?

Um sich darüber klar zu werden, ob man den großen Cloud-Anbietern Unternehmensdaten anvertrauen will, lohnt es sich, deren unterschiedliche Geschäftsmodelle anzusehen, um den Zweck hinter verschiedenen Angeboten zu erkennen.
Unter dem Stichwort Datennutzung finden Sie – sortiert nach Cloud-Speicheranbieter – die Angaben zur Verwendung von Nutzerdateien durch die verschiedenen Anbieter.

Infrastruktur und Rechenzentren der Cloud-Anbieter

Unter dem Stichwort Infrastruktur und Rechenzentren geben wir einen Ein- und Überblick, über die Sicherheitsvorkehrungen der drei großen Cloud-Anbieter und verlinken Quellen zum Weiterlesen.

Verschlüsselung in der Dropbox, bei Google Drive und OneDrive

Microsoft, Google und Dropbox haben ein ähnliches Setup bei der Verschlüsselung von Cloud-Daten. Alle verschlüsseln die ruhenden Daten (die auf den Servern abgelegt sind; engl. data-at-rest) mit AES mit 256-Bit. Dies entspricht dem aktuellen Stand der Technik, da es derzeit die sicherste Art ist, Daten zu verschlüsseln. 

Während der Datenübertragung (engl. data-in-transit) wird bei jedem der drei überprüften Anbieter Dropbox, Google Drive und OneDrive SSL/TLS-Verschlüsselung verwendet, was ebenfalls derzeit die beste Lösung nach Stand der Technik ist. 

Unter dem Stichwort Schlüsselverwaltung und Verschlüsselung klären wir, wie die verschiedenen Anbieter die Verschlüsselung aufsetzen und die Schlüssel verwalten.

OneDrive und OneDrive for Business

OneDrive ist der Cloud-Speicherdienst von Microsoft. Durch die Nutzung von Microsoft-Diensten wie Skype, Office 365 und E-Mail-Adressen, die auf @outlook.com enden erhält man automatisch 5GB Speicherplatz bei OneDrive. Die Variante OneDrive for Business ist für die gewerbliche Nutzung in Teams vorgesehen.

Datennutzung

Microsoft gibt in seinem Privacy Statement unumwunden zu, dass die Daten, die in OneDrive gespeichert sind, zu Analysezwecken durchsucht werden: „Microsoft verwendet die Daten, die wir erfassen, um Ihnen umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. (…) Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für unsere Belegschaft sowie zur Entwicklung.“ Quelle: privacy.microsoft.com/de-de/privacystatement

Infrastruktur und Rechenzentren

Die Daten, die in der OneDrive-Cloud abgelegt sind, werden in mindestens zwei Verschiedenen Rechenzentren abgespeichert. Die beiden Server-Standorte sind dabei stets mehrere hundert Kilometer entfernt, um die Daten auch bei großen Katastrophen wie Erdbeben zuverlässig verfügbar zu halten.

Der Schutz vor Angriffen, die durch Personen durchgeführt werden könnten, sieht laut Microsoft wie folgt aus: „Only a limited number of essential personnel can gain access to datacenters. Their identities are verified with multiple factors of authentication including smart cards and biometrics. There are on-premises security officers, motion sensors, and video surveillance. Intrusion detection alerts monitor anomalous activity.“ Quelle: support.office.com/en-ie/article/how-onedrive-safeguards-your-data-in-the-cloud-23c6ea94-3608-48d7-8bf0-80e142edd1e1

Schlüsselverwaltung und Verschlüsselung

Hier grenzt sich die Microsoft-Cloud von Google Drive und Dropbox ab. OneDrive verwendet nämlich zusätzlich zu AES mit 256-Bit Festplattenverschlüsselung mithilfe von BitLocker-Laufwerksverschlüsselung.

Für Unternehmen dürfte auch relevant sein, dass man die eigenen Schlüssel in Microsofts Azure Key Vault sichern kann. „Mithilfe einer Office 365-Funktion mit dem Namen service encryption with Customer Key (Dienstverschlüsselung mit Kundenschlüssel) können Sie Ihre eigenen Verschlüsselungsschlüssel in Azure Key Vault hochladen, die zur Verschlüsselung Ihrer Daten im Ruhezustand in Azure-Rechenzentren verwendet werden.“ Alle Informationen dazu, finden Sie hier: docs.microsoft.com/de-de/office365/securitycompliance/controlling-your-data-using-customer-key

Diese Lösung zur Schlüsselverwaltung ist technisch gut ausgereift und schützt Schlüssel vor Angriffen von außen. Doch ein zentrales Problem bleibt bestehen: Azure ist genau wie OneDrive ein Microsoft-Produkt, theoretisch kann Microsoft also dort auf die Schlüssel zugreifen, beispielsweise wenn Daten an Behörden herausgegeben werden müssen. Dieses Problem besteht auch bei Google und Dropbox.

Google Drive

Google Drive ist die Cloud für Privatanwender, Google Drive in der G Suite ist für die gewerbliche Nutzung durch Unternehmen ausgelegt.

Datennutzung

Wenn Sie Ihre privaten Bilder bei Google Drive speichern, werden Ihre Dateien höchstwahrscheinlich verwendet, um beispielsweise die Bilderkennungssoftware von Google zu trainieren. Das Stichwort lautet Machine Learning. In der Privacy Policy von Google heißt es dazu: „Wir nutzen die im Rahmen unserer bestehenden Dienste erhobenen Daten zur Entwicklung neuer Dienste. Beispielsweise halfen uns Erkenntnisse darüber, wie Personen Fotos in Picasa, der ersten Foto-App von Google, organisiert haben, bei der Entwicklung von Google Fotos.“ Quelle: policies.google.com/privacy?hl=de#infocollect

Oft werden die Daten auch zu Werbezwecken analysiert. Anhand der Daten kann ein besonders feingranulares Werbeprofil von Nutzern erstellt werden, um die richtigen Produkte zur richtigen Zeit am richtigen Ort anbieten zu können.
Besonders bei den kostenlosen Cloud-Speichern muss man sich darüber im Klaren sein, dass man den Speicher mit seinen Daten bezahlt und dass diese also auch verwendet werden. Dieses Recht räumt sich Google Drive ohne große Umschweife in seinen Datenschutzbestimmungen ein: „Wir erheben Daten, um allen unseren Nutzern bessere Dienste zur Verfügung zu stellen – von der Feststellung grundlegender Informationen wie zum Beispiel Ihrer Sprache bis hin zu komplexeren Fragen wie zum Beispiel Werbung, die Sie besonders nützlich finden, den Personen, mit denen Sie online am häufigsten zu tun haben, oder den YouTube-Videos, die Sie interessant finden.“ Quelle: policies.google.com/privacy?hl=de

Infrastruktur und Rechenzentren

Google betont, dass alle Server und jegliche Hardware von Google selbst kommen. So sollen bestmögliche Sicherheitsstandards und Kontrollen umgesetzt werden. In einem englischsprachigen Whitepaper gibt es außerdem nähere Informationen über die verschiedenen Sicherheitsschichten der Google-Infrastruktur. Unter anderem wird aufgeführt, wie Google die Geräte der Mitarbeiter schützt, dass diese nicht für Angriffe von außen benutzt werden können, oder wie gezielten Phishing-Angriffen auf Google-Mitarbeiter entgegengewirkt wird.

Ein Auszug aus dem Whitepaper: „We make a heavy investment in protecting our employees’ devices and credentials from compromise and also in monitoring activity to discover potential compromises or illicit insider activity. This is a critical part of our investment in ensuring that our infrastructure is operated safely.

Ähnlich wie bei OneDrive wird betont, dass der Zugriff der Mitarbeiter auf die Server und Daten so stark wie möglich minimiert wird. Google geht noch einen Schritt weiter und nennt als Ziel die vollständige Automatisierung von Prozessen, was den Zugriff durch Menschen irgendwann überflüssig machen würde.

Schlüsselverwaltung und Verschlüsselung

Zusätzlich zur OneDrive SSL/TLS-Verschlüsselung bei der Datenübertragung gibt es einen weiteren Schutzmechanismus, den Google, laut eigener Aussage, zuerst eingeführt hat:  Perfect Forward Secrecy (PFS). PFS sorgt dafür, dass private SSL-Schlüssel nicht für Sitzungen verwendet werden können, die in der Vergangenheit liegen. Dieses Verfahren bietet Schutz für den Fall, dass ein privater SSL-Schlüssel in falsche Hände gerät. Dieser lässt sich dann nämlich nicht für die Entschlüsselung von Datenverkehr nutzen, der zu einem früheren Zeitpunkt stattfand.

Google bietet ebenfalls den eigenen Key Management Service (KMS) für die Schlüsselverwaltung: „Files or data structures with customer-created content written by G Suite are subdivided into chunks, each of which is encrypted with its own chunk data encryption key (“chunk key”). Each chunk key is encrypted by another key known as the wrapping key, which is managed by a Google-wide key management service (KMS).“ Quelle: cloud.google.com/security/infrastructure/design/resources/google_infrastructure_whitepaper_fa.pdf

Durch die Verwendung eines eigenen KMS hat Google theoretisch die Möglichkeit, auf die Schlüssel zuzugreifen und somit auch die Möglichkeit, die abgelegten Dateien auszulesen.

Dropbox

Dropbox ist das Urgestein der Cloud-Speicheranbieter. Seit 2007 bietet das US-Amerikanische Unternehmen Online-Speicherplatz an. Seit 2011 steht der Dienst unter dem Namen Dropbox für Teams auch für Unternehmen zur Verfügung.

Datennutzung

Dateien, die bei Dropbox Business liegen, werden laut Dropbox Business-Vereinbarung (Quelle: dropbox.com/de/privacy#business_agreement) nicht ausgewertet, sondern nur für die Funktionalität des Dienstes genutzt. Dropbox weist allerdings darauf hin, dass alle verfügbaren Metadaten analysiert und verarbeitet werden. Dabei geht es dem Unternehmen stets um die Verbesserung der Nutzererfahrung.

Bei Dropbox für die private Nutzung werden die abgelegten Daten jedoch für weitere Zwecke wie Werbung und Verbesserung der Dienste genutzt. Der Unterschied wird deutlich dadurch, dass es eine Datenschutzrichtlinie gibt, die für alle Nutzer gilt und eine Business-Vereinbarung, die nur für Business-Kunden gilt. Business-Daten werden also weniger ausgewertet, als private Daten. Auf die Daten zugreifen kann Dropbox jedoch bei beiden Angeboten.

Infrastruktur und Rechenzentrum

Dropbox bietet ebenfalls ein Whitepaper über die Sicherheit bei Dropbox Business an, in dem beispielsweise beschrieben wird, wie einmal im Jahr die Business-Continuity auf die Probe gestellt und auf Schwachstellen geprüft wird, um im Ernstfall vorbereitet zu sein.

Die Daten von Dropbox-Kunden werden in Rechenzentren von Drittanbietern in den USA gespeichert (Quelle: https://www.dropbox.com/de/business/trust/security/architecture). Diese Drittanbieter sind für die physikalische Serversicherheit zuständig, doch die Sicherheitsvorkehrungen werden einmal im Jahr von Dropbox getestet. 

Ab einer Firmengröße von 250 Nutzern haben Unternehmen die Möglichkeit, ihre Daten ausschließlich in europäischen Rechenzentren speichern zu lassen. Diese liegen dann bei Amazon Web Services in Frankfurt. Dateien und Metadaten werden auf getrennten Servern gespeichert.

Schlüsselverwaltung

Dropbox erklärt, dass die Verschlüsselungsschlüssel dezentral gespeichert werden:

Die Key Management-Infrastruktur wurde mit betrieblichen, technischen und verfahrenstechnischen Sicherheitsmaßnahmen mit sehr begrenztem Direktzugriff auf Schlüssel entwickelt. Die Schlüssel werden dezentral an verteilten Standorten generiert, ausgetauscht und gespeichert.“ Quelle: dropbox.com/de/business/trust/security/architecture

Ein Zugriff auf die dezentral gespeicherten Schlüssel durch Dropbox selbst ist jederzeit möglich. Somit sind die abgelegten Dateien durch Dropbox auslesbar.

Wovor Daten in der Cloud nicht geschützt sind

Dass die Cloud-Anbieter aufgrund ihres technischen Setups auf die in der Cloud gespeicherten Daten zugreifen können, ist kein Geheimnis. Sie verschlüsseln die Nutzerdaten zwar während der Übertragung und im ruhenden Zustand, doch sie werden nicht durchgängig Ende-zu-Ende-verschlüsselt und sind dadurch im entschlüsselten Zustand beim Anbieter verfügbar. Wenn Regierungen die Herausgabe von Daten fordern, ist das bei Microsoft, Google, Dropbox und Co. kein Problem. Selbst wenn die Daten verschlüsselt sind, kann der Anbieter darauf zugreifen, da er selbst die Daten verschlüsselt und sie aus diesem Grund folglich auch wieder entschlüsseln kann. Durch Gesetze wie bspw. den CLOUD Act in den USA müssen die Anbieter auch gegen ihren Willen Nutzerdaten herausgeben. 

Ideal ist deshalb die Trennung von Verschlüsselung und Speicher. Ein Profi für Servermanagement und Synchronisation (der Cloud-Anbieter) kümmert sich um den Speicher und die Verfügbarkeit der Daten. Ein unabhängiger Profi für Verschlüsselung kümmert sich um Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard. So erhalten Sie das Beste aus zwei Welten und die volle Kontrolle.

Mit Zero-Knowledge-Verschlüsselung bleiben die Verschlüsselungsschlüssel entweder auf dem Gerät des Nutzers oder sie werden, wenn eine Übertragung nötig ist, verschlüsselt, bevor sie an den Verschlüsselungsanbieter geschickt werden. So kann der Verschlüsselungs-Anbieter die Schlüssel nicht benutzen, um an Nutzerdaten heranzukommen. Selbst bei Behördenanfragen ist der Anbieter nicht in der Lage, Daten oder Schlüssel herauszugeben. Die Daten erreichen die Cloud niemals im unverschlüsselten Zustand, wodurch der Cloud-Anbieter ebenfalls keine Möglichkeit hat, auf die Daten zuzugreifen.

Werden Sie aktiv und gestalten Sie Ihre DSGVO-Konformität selbst

Alle drei großen Clouds bieten Verschlüsselung nach Stand der Technik und können deshalb Ihren Service auch nach Inkrafttreten der DSGVO in Europa anbieten. Ob das tatsächlich eine ausreichende technische und organisatorische Maßnahme (TOM) im Sinne der DSGVO ist, darüber lässt sich streiten. Wir sagen nein, denn die Verhinderung des Zugriffs von unbefugten Dritten ist nicht einwandfrei gewährleistet. Erst mit Zero-Knowledge-Standard ist Ihre Cloud zuverlässig vor allen unbefugten Zugriffen geschützt.

Werden Sie also selbst aktiv und fügen Sie Ihrer Cloud eine weitere Sicherheitsschicht hinzu. Boxcryptor ist für die Nutzung mit Dropbox, Google Drive und OneDrive optimiert und ist sowohl für kleine als auch für große Teams bestens geeignet. Boxcryptor garantiert dabei, dass die Kontrolle über Ihre Unternehmens-Cloud vollständig in Ihren Händen liegt.

Weitere Informationen über das Unternehmen Boxcryptor und deren Produkte finden Sie hier: boxcryptor.com/de/for-teams/

01. Dezember 2019
Compliance-konforme Weihnachtszeit: Was bei Geschenken und Einladungen beachtet werden sollte
28. August 2019
lawpilots Quiz - Testen Sie Ihr Wissen zum Thema Geldwäsche-Prävention

Newsletter abonnieren

Rufen Sie uns an oder schreiben Sie uns:

+49 (0)30 22 18 22 80
[email protected]

Andreas Grau
Relationship Manager & sein Team sind
Mo – Fr von 8:30 – 18:00 Uhr für Sie da.

Abonnieren Sie unseren monatlichen Newsletter (mit Infos zu unseren Schulungen, Fachartikeln und Veranstaltungen). Abmeldelink in jedem Newsletter. Mehr in der Datenschutzerklärung.

Ihre Angaben werden selbstverständlich vertraulich behandelt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.