Konstenlose Cloud Dienste

[hund555]

Hallo zusammen,

Wie sicher haltet ihr Dienste wie Dropbox, Skydrive, Google Drive?

Ich möchte die Dienste als Backup nutzen.

Jetzt ist die Sache, dass sie den ausgewählten Ordner synchronisieren. D.h. aber wenn jemand meinen Zugang hat und alle Dateien online löscht, wären sie auch automatisch auf meiner Festplatte weg?!

Um das zu vermeiden sollte man derren Software nicht runterladen, damit nichts synchronisiert wird, sondern direkt hochladen, bzw. alles doppelt abspeichern (einmal im synchronisations ordner und einmal im order, welcher nicht synchronisiert wird) ?

Zweite Frage, wenn man derren App auf Tablet installiert, werden die Dateien runtergeladen oder ruft man sie immer online ab?

Vielen Dank

[Crash2001]

Was genau meinst du mit "sicher"?

Sicher gegenüber Hackern?

Sicher, dass nicht NSA / BND deine daraufliegenden Daten analysieren kann?

Sicher gegenüber Verlust durch Hard- oder Softwareschaden?

Ich persönlich würde da definitiv keine sensitiven Daten drauf lagern.

Mittely TrueCrypt verschlüsselte Daten - OK, aber keine Klartextdaten, die irgendwelche Informationen über mich enthalten könnten.

Cloud-Dienste sind in meinen Augen einfach nicht sicher, solange die Hard- und Software nicht in der eigenen Hand verbleibt, sondern ausgelagert wird. Man weiß nie, was eingestellt ist und ob nicht doch irgendwer zusätzlich Zugriff auf deine Daten hat - und sei es physikalisch vor Ort im RZ...

[hund555]

Sicherheitheit gilt für alle deine 3 genannten Punkte.

Ich will vor allem meine Fotos absichern.

Und ich denke meine Dokumente wie Bewerbungsunterlagen, irgendwelche Exelberechnungen bringen NSA und Hackern nicht viel.

Naja ziehe alles hoch, aber ohne Synchronisation modus - das Risiko ist zu hoch, dass dann evtl. alle Daten weg sind.

P.S.: Meine ganzen Firmendaten liegen seit diesem Jahr auch in der Cloud bei Microsoft, ist auch nichts anderes.

[Crash2001]

Nenn mich meinetwegen paranoid, aber private Daten lager ich nunmal unverschlüsselt auch nur privat und nicht in einer Cloud, die von wem anders oder einer Firma betrieben wird.

Da muss nur mal wieder eine Passwortliste bekannt werden, weil irgendjemand Mist gebaut hat und schon kann alles im öffentlichen Netz landen.

[...]P.S.: Meine ganzen Firmendaten liegen seit diesem Jahr auch in der Cloud bei Microsoft, ist auch nichts anderes.

Firmendaten ist Entscheidung der Firma. Wenn die es so wollen, macht mans halt so. Firmendaten haben auch nicht direkt was mit der eigenen Privatsphäre zu tun meist.

Ich bin einfach der Meinung, dass mit den eigenen Daten viel zu lasch umgegangen wird durch die ständige Präsenz des Internets.

Alleine schon wenn man eine Cloud mit einem Smartphone kombiniert, kann man rein theoretisch Bewegungs- und Nutzungsprofile erstellen, die man auswerten kann.

[carstenj]

Hi,

P.S.: Meine ganzen Firmendaten liegen seit diesem Jahr auch in der Cloud bei Microsoft, ist auch nichts anderes.

Die Sicherheits und Überwachungsdiskussionen in den letzten Monaten hast du schon verfolgt? Gerade bei Firmendaten würde ich mir eher ein Datensicherungskonzept überlegen. Damit kannst du dann auch u.U. auf den Stand von gestern um 14:30, was aber jetzt nicht geht, solange du Synchronisierung ausgeschaltet hast.

Und du schaltest das aus, weil du Angst hast dass jemand von deinem geklauten Rechner alles löscht, aber sicherst gleichzeitig dann doch alles in der Cloud? Abgesehen davon, gibt es bei Dropbox auch die Möglichkeit gelöscht Dateien wiederherzustellen.

[pr0gg3r]

Daten gehören in keine Cloud. Weder meine privaten Daten werden da rein geschoben, noch möchte ich, dass zB ein Unternehmen meine Bewerbung bei einem Cloud-Anbieter (womöglich noch außerhalb der EU) speichert. Nur leider kann man darüber nicht immer bestimmen, zB wenn jemand ein Foto mit einem drauf bei Dropbox, Facebook etc. hochläd.

Was ich jedem empfehlen kann: owncloud. Einfach auf einem (V)Server installieren (gibts bereits für ein paar Euro monatlich) installieren und schon hat man seine private-Cloud.

[carstenj]

Hi,

Daten gehören in keine Cloud.

naja, also das muss ja jeder selber entscheiden. Ich nutze das auch, aber wirklich nur für unwichtige Daten. Gehen die verloren oder greift jemand unberechtigt drauf zu: So what? Aber ich weiss, dass das möglich ist, kann den Wert der Daten einschätzen und bin mir somit des Risikos bewusst, was leider auf so manch anderen nicht zutrifft.

[pr0gg3r]

naja, also das muss ja jeder selber entscheiden.

Ich wollte natürlich nur meine Meinung wieder spiegeln, kann ja jeder anders sehen Der Spaß hört dann aber wirklich auf, wenn irgend wer anderes meine Daten in ne Cloud schiebt, was man leider nicht verhindern kann. So werden Nachrichten, Kontakte usw. von Andorid oder iPhone irgendwo zentral gespeichert, dann bieten verschiedene Hersteller Backupmöglichkeiten in ihren Android-Derivaten an (Motorola, Samsung usw.)... Wenn ich jetzt jemandem eine vertrauliche E-Mail sende, wo wird diese überall hingeschoben? Und wer hat alles Zugriff darauf? Das kann ich weder steuern noch kontrollieren, aber darin sehe ich die große Gefahr. Und nein, ich habe nichts zu verbergen, aber ich denke, niemand möchte, dass jemand in sein Haus rein spaziert, dort alles fotografiert und was weiß ich was damit anstellt. Das ist auch garnicht so weit hergeholt, ein Smartphone sagt mindestens genauso viel wie ein Wohnzimmer, Kleiderschrank usw. aus, wenn nicht sogar mehr (wo ist man wann etc.). PS: Nein, ich habe keine Paranoia, auch wenn das öfter mal behauptet wird. Man wird aber in letzter Zeit häufig genug gesehen haben, dass das was technisch möglich ist, auch tatsächlich gemacht wird.

[GoaSkin]

Was die Sicherheit betrifft, hilft eine Verschlüsselung bestenfalls, um zu vermeiden, dass jemand über eine Man-In-The-Middle-Attack an die Daten gelangen kann.

Es ist aber naiv zu glauben, dass man so vermeidet, dass die Daten in die Hände von Geheimdiensten gelangen können oder die Daten für die NSA keine Relevanz haben. Wir wissen seit kurzem, dass sich die NSA für Spiele-Daten des Angry-Bird Spiels interessierte. Das dürfte noch uninteressanter sein, als Bewerbungen und Lebensläufe, ist aber scheinbar für einen Geheimdienst interessant genug. Und für Bewerbungen könnten sich Geheimdienste sogar berechtigterweise interessieren, falls sie sich an Firmen richten, bei denen gegen einen Geschäftsführer oder potenziellen zukünftigen Kollegen ermittelt wird.

Ferner haben Geheimdienste auch ganz andere Möglichkeiten, als nur Datenleitungen zu hacken. u.A. ist es gängige Praxis, Agenten durch perfekt gefälschte Bewerbungen als Mitarbeiter in Unternehmen zu platzieren, die dann heimlich Daten veruntreuen sollen oder auch nur Mitarbeiter zum Verrat von Betriebsgeheimnissen zu bestechen. Dagegen nutzen Verschlüsselungen nichts. Der Provider muss die Daten entschlüsseln, wozu sich in irgendeiner Form auch ein Schlüssel auf dem Server befindet. Abgesehen davon werden Cloud-Lösungen von einem Dienstleister angeboten, der seine Lösung entweder selbst entwickelt hat oder versteht oder etwas eingekauft hat, sodass die Interna Lösung irgendein Software-Hersteller versteht.

Der einzige Trost ist, dass ein Geheimdienst sich nicht um sämtliche Daten kümmern kann. Noch nicht einmal die STASI, bei der ein guter Teil der Bevölkerung "ehrenamtlich" arbeitete, wusste jedes Detail über jeden Bürger.

Ich persönlich traue am ehesten meinem DynDNS-Zugang zu Hause. Ein RaspberryPI mit fast nichts drauf läuft immer. Weitere Rechner schalte ich über Diesen von unterwegs per Wake-On-LAN ein, wenn ich sie brauche und fahre sie anschließend wieder runter. Daten, die ich für viele Jahre aufheben möchte, befinden sich auf externen Festplatten, die ich ca. alle zwei Jahre durch Neue ersetze.

Hostern und Cloud-Anbietern traue ich nicht zu, dass die Daten dort sicher sind. Neben einem Schaden im Rechenzentrum muss man sich fragen, was im Falle einer Insolvenz passiert und wie schnell die Daten verschwunden sind, falls aufgrund von Management-Fehlern der ganze Zugang gelöscht wird. Im Gegenteil: Ich halte es für wichtig, Webseiten bei Hostern nicht ausschließlich dort liegen zu haben.

[Wuwu]

Hostern und Cloud-Anbietern traue ich nicht zu, dass die Daten dort sicher sind. Neben einem Schaden im Rechenzentrum muss man sich fragen, was im Falle einer Insolvenz passiert und wie schnell die Daten verschwunden sind, falls aufgrund von Management-Fehlern der ganze Zugang gelöscht wird. Im Gegenteil: Ich halte es für wichtig, Webseiten bei Hostern nicht ausschließlich dort liegen zu haben.

Verstehe die Argumentation nicht, weshalb sollte das mit lokal gelagert Daten anders aussehen?

[Crash2001]

[...]Wir wissen seit kurzem, dass sich die NSA für Spiele-Daten des Angry-Bird Spiels interessierte. Das dürfte noch uninteressanter sein, als Bewerbungen und Lebensläufe, ist aber scheinbar für einen Geheimdienst interessant genug.[...]

Nunja, laut Spiegel....

[...]Diese Daten reichen vom Modell des Smartphones und der Bildschirmgröße bis hin zu persönlichen Informationen wie dem Alter, dem Geschlecht und dem Aufenthaltsort. Manche Apps teilten demnach sogar die sexuelle Orientierung und spezielle sexuelle Präferenzen der User mit.[...]

Alleine durch den Aufenthaltsort in Verbindung mit der IMEI-Nummer oder der Telefonnummer können ganz einfach Bewegungsprofile erstellt werden. Anhand des Smartphone-Modells können potentielle Sicherheitslücken für weitere mögliche Angriffspunkte auf dem Gerät identifiziert werden. Anhand des Geschlechts, Alters und sexuellen Orientierung könnten Modelle für eine Anwerbung oder eine "unbemerkte Befragung" durch einen Agenten herausgefunden werden, falls die entsprechende Person verdächtig ist (z.B. bestimmte Worte in ihren E-Mails auftreten oder sonstige Sachen, nach denen die NSA die Leute klassifiziert in "verdächtig" und "nicht verdächtig").

Verstehe die Argumentation nicht, weshalb sollte das mit lokal gelagert Daten anders aussehen?

• Du hast keinen Vertrag mit der NSA, anhand dessen du Informationen weiterreichen musst - weisst du das von dem Cloud-Anbieter mit Sicherheit? Vor allem noch, wenn er seinen Hauptsitz in den USA hat...
  
• zu Hause weisst du, welche Software du einsetzt und kannst den Rechner mittels einer Firewall oder, wenn du es für nötig hältst, auch anhand eines Intrusion Prevention Systems schützen oder komplett vom Netz getrennt haben. Welchen Schutz der Anbieter vor seinem entsprechenden System hat, weisst du im Normalfall nicht.
  
• Du vergibst deine eigenen Passwörter, die kein anderer weiss. Bei einem Cloud-Anbieter wird dein Passwort (normalerweise gehasht) hinterlegt. Nur kannst du dir wirklich sicher sein, dass es auch wirklich gehasht hinterlegt ist und nicht (vielleicht zusätzlich)
  auch noch unverschlüsselt?
  
• Gerät der Cloud-Hoster in finanzielle Schwierigkeiten (Insolvenz), dann könnten deine Daten von heute auf morgen plötzlich nicht mehr verfügbar sein. Sollte zwar eigentlich nicht so sein, aber die Vergangenheit hat gezeigt, dass Kunden oftmals die letzten sind, die informiert werden. Solltest du also Daten nur dort liegen haben, dann könntest du ein Problem haben.
  
• Das gleiche gilt auch, wenn die Anbindung zum Provider nicht funktioniert oder aber ein Server sich aufhängt und du ganz dringend irgendwelche wichtigen Daten abgreifen willst.
  Klar SOLLTE für so etwas immer ein Backup existieren und dies wird meist auch versprochen. Nur weisst du, ob es auch wirklich existiert? Genauso... weisst du, ob das RZ des Hosters Anbindungen an mehrere Provider über separate Trassen hat, oder könnte ein Bagger das Rechenzentrum mal eben für längere Zeit lahmlegen?
  
• Hinzu kommt noch die Frage, ob du dir wirklich sicher sein kannst, dass deine Daten auf dem Weg zum Cloud-Hoster nicht eingesehen oder irgendwo aufgezeichnet werden.

Ich persönlich würde somit so wenig wie möglich an privaten Daten, als auch an Firmendaten auf entsprechendem Cloud-Anbieter-Space speichern, sondern mir wenn dann meine selbst betriebene Cloud erstellen, bei der ich mir sicher sein kann, dass nicht irgendwer anders die Kontrolle darüber hat.

[Wuwu]

Du hast keinen Vertrag mit der NSA, anhand dessen du Informationen weiterreichen musst - weisst du das von dem Cloud-Anbieter mit Sicherheit? Vor allem noch, wenn er seinen Hauptsitz in den USA hat...

Liegt ein richterlicher Beschluss vor hast Du die Daten auch rauszuruecken, ob da die Polizei, der BND, die NSA oder der Weihnachtsmann ankommt ist egal.

zu Hause weisst du, welche Software du einsetzt und kannst den Rechner mittels einer Firewall oder, wenn du es für nötig hältst, auch anhand eines Intrusion Prevention Systems schützen oder komplett vom Netz getrennt haben. Welchen Schutz der Anbieter vor seinem entsprechenden System hat, weisst du im Normalfall nicht.

Ja das sind technische Mittel, die bisher die NSA extremst abgehalten haben, wenn sie an Daten wollten, den Deutschen Diensten geht bestimmt auch die Muffe vor der Kaspersky Firewall.

Du vergibst deine eigenen Passwörter, die kein anderer weiss. Bei einem Cloud-Anbieter wird dein Passwort (normalerweise gehasht) hinterlegt. Nur kannst du dir wirklich sicher sein, dass es auch wirklich gehasht hinterlegt ist und nicht (vielleicht zusätzlich)

auch noch unverschlüsselt?

Kannst Du Dir wirklich sicher sein, dass der Hash der bei Dir lokal verwendet wird auch sicher ist? Es gibt bereits mehrere Hashverfahren, die sich im Nachhinein als sicherer angehoert haben, als sie wirklich waren.

Gerät der Cloud-Hoster in finanzielle Schwierigkeiten (Insolvenz), dann könnten deine Daten von heute auf morgen plötzlich nicht mehr verfügbar sein. Sollte zwar eigentlich nicht so sein, aber die Vergangenheit hat gezeigt, dass Kunden oftmals die letzten sind, die informiert werden. Solltest du also Daten nur dort liegen haben, dann könntest du ein Problem haben.

Und das unterscheidet sich von der Insolvenz der lokalen Firma genau wie?

Das gleiche gilt auch, wenn die Anbindung zum Provider nicht funktioniert oder aber ein Server sich aufhängt und du ganz dringend irgendwelche wichtigen Daten abgreifen willst.

Klar SOLLTE für so etwas immer ein Backup existieren und dies wird meist auch versprochen. Nur weisst du, ob es auch wirklich existiert? Genauso... weisst du, ob das RZ des Hosters Anbindungen an mehrere Provider über separate Trassen hat, oder könnte ein Bagger das Rechenzentrum mal eben für längere Zeit lahmlegen?

Und wenn Dein internes Netzwerk zicken machtm Dein lokales Rechenzentrum komplett ausfaellt und Dir lokal alle Server um die Ohren fliegen ist das ein Unterschied zum Cloudanbieter in genau welcher Hinsicht?

Hinzu kommt noch die Frage, ob du dir wirklich sicher sein kannst, dass deine Daten auf dem Weg zum Cloud-Hoster nicht eingesehen oder irgendwo aufgezeichnet werden.

Und Du bist Dir sicher, dass Du keinen Maulwurf in der Firma hast, weil?

-----------------------------------------------------

Deine Argumentation zieht leider einfach nicht, alles was Du am Cloudanbieter schlechtredest, kann Dir genauso gut in der eigenen Firma, auf dem eigenen Gelaende passieren.

Wieviele KMUs kennst Du bitte, die wirklich geographisch getrennte Rechenzentren haben mit getestetem runbook?

Das Problem was Du ansprechen moechtest ist nicht die "Cloud" an sich, sondern eher, dass verdammt viele ITler einfach nach wie vor noch nicht das Konzept vom Single Point of Failure verstanden haben.

[Crash2001]

Liegt ein richterlicher Beschluss vor hast Du die Daten auch rauszuruecken, ob da die Polizei, der BND, die NSA oder der Weihnachtsmann ankommt ist egal.

Aber erst DANN! Darum geht es aber doch gar nicht. es geht darum, dass Daten OHNE DEIN WISSEN eingesehen werden könnten!

Ja das sind technische Mittel, die bisher die NSA extremst abgehalten haben, wenn sie an Daten wollten, den Deutschen Diensten geht bestimmt auch die Muffe vor der Kaspersky Firewall.

Kannst du dir deinen Sarkasmus bitte EINMAL sparen?!?

Wer sagt denn, dass die "private Cloud" überhaupt öffentlich konnektierbar sein muss. Reicht ja auch lokal oder eventuell per VPN-Einwahl. Wer es dann nicht weiß, kommt gar nicht erst auf die Idee, dass da was wäre.

Was IDS/IPS-Systeme sind ist dir anscheinend absolut nicht klar. Genauso auch das Sandboxprinzip...

Kannst Du Dir wirklich sicher sein, dass der Hash der bei Dir lokal verwendet wird auch sicher ist? Es gibt bereits mehrere Hashverfahren, die sich im Nachhinein als sicherer angehoert haben, als sie wirklich waren.

Natürlich kann man sich dessen nie 100% sicher sein. Dennoch muss der Key erst einmal gehackt werden anstatt dass er eventuell irgendwo im Klartext vorliegt und einfach abgelesen oder kopiert werden kann.

Und das unterscheidet sich von der Insolvenz der lokalen Firma genau wie?

Dass wenn die eigene Firma insolvent geht, man SELBER Einfluss darauf hat, wie lange das entsprechende System läuft, so dass man die Daten problemlos auch auf einer Festplatte oder sonstwas noch sichern kann, bevor das System abgeschaltet wird.

Und wenn Dein internes Netzwerk zicken machtm Dein lokales Rechenzentrum komplett ausfaellt und Dir lokal alle Server um die Ohren fliegen ist das ein Unterschied zum Cloudanbieter in genau welcher Hinsicht?

Dann liegt das alles in DEINER EIGENEN Verantwortung und dein Netzwerk- und/oder Serveradmin hat *******e gebaut.

Nur gibt es einen wichtigen Unterschied. LOKAL muss man nicht übers WAN gehen und somit ist die Anbindung für die lokalen Aufgaben komplett egal. Um auf die Daten der "lokalen und privaten Cloud" zu kommen wäre nur der Cloud-Server und ein Kabel notwendig. Wo bei einer öffentlichen Cloud der Server steht, kommt man selber nicht dran.

Und Du bist Dir sicher, dass Du keinen Maulwurf in der Firma hast, weil?

In MEINER Firma habe ich definitiv keinen Maulwurf, denn das ist eine 1-Mann-Firma.

Ansonsten gibt es natürlich immer die Möglichkeit, immer Gegenargumente u.s.w., aber Fakt ist einfach, dass wenn man so etwas selber betreibt keine fremden Firmen Zugriff (weder per Netzwerk, noch per physikalischem Zugriff auf die Hardware) haben. Ob man einen Maulwurf hat oder nicht, ist eine komplett andere Sache.

Deine Argumentation zieht leider einfach nicht, alles was Du am Cloudanbieter schlechtredest, kann Dir genauso gut in der eigenen Firma, auf dem eigenen Gelaende passieren.

Und du hast noch immer nicht verstanden, worauf ich hinauswill. Bei externen Dienstleistern gibst du die Kontrolle ab an eine externe Firma. Du hast im Normalfall keinerlei Einsicht darüber, wo die Server wie stehen (von Werbebroschüren oder eigenem Rackspace mal abgesehen), wer alles Zugang dazu hat, ob Subdienstleister beauftragt sind, wie das Netzwerk verläuft, ob entsprechende Schutzsysteme (IDS/IPS, Firewall, Authentifizierungssysteme, NAC) vorhanden sind. Diese Faktoren hat man lokal einfach nicht, weil man es selber absichern und entsprechende Zugangsberechtigungen u.s.w. einrichten kann.

Wieviele KMUs kennst Du bitte, die wirklich geographisch getrennte Rechenzentren haben mit getestetem runbook?

Man braucht keine geographisch getrennten Rechenzentren, sondern es reicht vollkommen aus, wenn regelmässig gesichert und die Sicherung an einem anderen Ort gelagert wird (feuerfester Tresor in einem anderen Gebäude z.B.)

Das Problem was Du ansprechen moechtest ist nicht die "Cloud" an sich, sondern eher, dass verdammt viele ITler einfach nach wie vor noch nicht das Konzept vom Single Point of Failure verstanden haben.

Nein, sondern dass man bei der Auslagerung von Diensten an externe Dienstleister einen Teil der Kontrolle abgibt und darauf vertrauen muss, dass sie so sichern wie sie es versprechen, ihr Netzwerk so abgesichert ist, wie sie es verprechen, die Zugänge alle so vergeben sind, dass niemand unberechtigtes physikalisch oder per Netz an deine Daten ran kommt, u.s.w. ...

Klar sind die Single Points of Failure auch ein Problem - das eigentliche Problem ist jedoch, dass man dem entsprechenden Unternehmen vertrauen muss, wenn man bei ihm (eventuell für die eigene Firma hochsensible Daten oder für eine Privatperson ganz einfach Privatsachen, die keinen anderen etwas angehen) die Daten in der Cloud speichert. Und genau da sehe ich in der aktuellen Situation (vor allem bei den ganzen Skandalen um die NSA und den GHBQ (?) ) das Manko. Weisst du, ob die Firma nicht eventuell auch die Cloud deiner direkten Konkurrenz betreibt? Kennst du die Mitarbeiter des Cloud-Anbieters überhaupt bzw. weißt wie viele Leute mit "deiner Cloud" dort dann zu tun haben, bzw. wie viele Leute die Berechtigung haben, darauf zuzugreifen?

Meiner Meinung nach gehst du da einfach zu vertrauenswürdig und naiv ran.

Unter dem Motto: "Die machen das beruflichen - die sind so kompetent und vertrauenswürdig, dass ich ihnen meine Daten problemlos anvertrauen kann ohne befürchten zu müssen, dass irgendetwas davon die Cloud verlässt".

[Wuwu]

Kannst du dir deinen Sarkasmus bitte EINMAL sparen?!?

Wer sagt denn, dass die "private Cloud" überhaupt öffentlich konnektierbar sein muss. Reicht ja auch lokal oder eventuell per VPN-Einwahl. Wer es dann nicht weiß, kommt gar nicht erst auf die Idee, dass da was wäre.

Was IDS/IPS-Systeme sind ist dir anscheinend absolut nicht klar. Genauso auch das Sandboxprinzip...

Wie soll man das bei solchen Vorlagen bitte? Getrennte Systeme vom Netz? Wie hat sich Stuxnet gleich nochmal verbreitet?

IDS/IPS ... Ja wann wurde gleich nochmal klar welchen Umfang die Abhoergeschichte neulich hatte? Stimmt war ein IDS System, was da Alarm geschlagen hat und die IPS haben bestimmt auch alles brav abgeblockt und alles ist nur ein Hoax, gell.

Solche Systeme sind eventuell eine zusaetzlicher Schutzwall aber doch bitte kein Argument.

In MEINER Firma habe ich definitiv keinen Maulwurf, denn das ist eine 1-Mann-Firma.

Nein, sondern dass man bei der Auslagerung von Diensten an externe Dienstleister einen Teil der Kontrolle abgibt und darauf vertrauen muss, dass sie so sichern wie sie es versprechen, ihr Netzwerk so abgesichert ist, wie sie es verprechen, die Zugänge alle so vergeben sind, dass niemand unberechtigtes physikalisch oder per Netz an deine Daten ran kommt, u.s.w. ...

Und genau das ist Dein Problem, es ist schoen fuer Dich, dass Du alleine arbeiten kannst, den meisten Firmen geht es nicht so, wie handhabst Du den Externenschutz eigentlich in Deinem anderen Gebaeude? Oder bist Du permanent ueberall anwesend? Du magst es nicht als extern deklarieren, aber Zugriff haben sowie Du die Daten nicht permanent in Deiner eigenen Tasche traegst eigentlich immer andere.

Du gibst also quasi IMMER Kontrolle ab.

Man braucht keine geographisch getrennten Rechenzentren, sondern es reicht vollkommen aus, wenn regelmässig gesichert und die Sicherung an einem anderen Ort gelagert wird (feuerfester Tresor in einem anderen Gebäude z.B.)

Das sagste mal jemanden der extrem duenne RPO und RTO hat, Backup ist weiss Gott nicht ueberall eine Loesung, 5 Minuten Ausfall kosten teilweise Millionen und mehr.

Meiner Meinung nach gehst du da einfach zu vertrauenswürdig und naiv ran.

Nein ich gehe da recht pragmatisch ran, dass wer an die Firmendaten wirklich will auch 100% drankommen wird, Industriespionagie von Geheimdiensten ist jetzt auch nichts wirklich neues. Ob die Daten da in Deinem Netz drin sind oder woanders gelagert werden ist absolut zweitrangig, im Worst Case ruppen Sie Deiner Frau die Fussnaegel einzeln aus, waehrend Du zuschaust als Erholung zwischen der Folter bis Du Passwoerter und Keys freigibst, wenn es jemand wirlkich eindringlich moechte, da kann es nochmals Dein Netzwerk sein wie es moechte.

Ich heisse keineswegs gut, dass firmenkritische Daten komplett in der Cloud als einziger Speicherort gehalten werden, womoeglich noch unverschluesselt. Die komplette Verteufelung zur Nutzung und vernuenftigem Umgang dieser Moeglichkeit ist aber genauso falsch und die Paranoia-Argumentation bricht jedes mal in sich selbst zusammen, Daten sind NIE(!) sicher, ausser Du hast Sie nur in Deinem Kopf und keinerlei Selbsterhaltungstrieb und Empathieempfinden.

Unter dem Motto: "Die machen das beruflichen - die sind so kompetent und vertrauenswürdig, dass ich ihnen meine Daten problemlos anvertrauen kann ohne befürchten zu müssen, dass irgendetwas davon die Cloud verlässt".

Ich habe sowohl den Mittelstand in Niederbayern erleben duerfen als auch die interne IT diverser Fortune 500 Unternehmen.

Es ist schoen, dass Du offenbar alles Securitywissen der Welt zu haben scheinst, um Dich so perfekt wie moeglich gegen jeglichen Angriffvektor schuetzen zu koennen, aber glaubs mir das ist nichts was Du verallgemeinern solltest.

Allein was man an Passwoertern teilweise bei Kunden sieht (ja dort sieht man durchaus Kennwoerter im Klartext), die Ahnung haben sollten oder wie mit SSL Zertifikaten umgegangen wird, laesst einem kalt den Ruecken runterlaufen.

Ich will garnicht wissen wieviele Memory Dumps diverse OS Hersteller taeglich gesand bekommen, aus denen Du ZIG administrative Kennwoerter im Klartext bekommst.

Bearbeitet 18. Februar 2014 von Wuwu

[Crash2001]

Wie soll man das bei solchen Vorlagen bitte? Getrennte Systeme vom Netz? Wie hat sich Stuxnet gleich nochmal verbreitet?

Übers interne LAN - ja. Nur es muss ja erst einmal ein Rechner infiziert sein. Über Datenträger hat es sich eher nicht verbreitet, sondern über Hintertüren / Bugs von diversen Betriebssystemen. Und was willst du mir jetzt damit sagen?

IDS/IPS ... Ja wann wurde gleich nochmal klar welchen Umfang die Abhoergeschichte neulich hatte? Stimmt war ein IDS System, was da Alarm geschlagen hat und die IPS haben bestimmt auch alles brav abgeblockt und alles ist nur ein Hoax, gell.

Solche Systeme sind eventuell eine zusaetzlicher Schutzwall aber doch bitte kein Argument.

Kommt wohl immer drauf an, wie gut alles konfiguriert ist, und ob sie überhaupt scharfgeschaltet sind, oder ob es nur einen theoretischen Schutz gibt, der durch Fehlkonfiguration zunichte gemacht wird. Leider ist es halt meist so, dass die Leute lieber den bequemeren Weg gehen, als den sichereren und dadurch entsprechende Regeln aufgeweicht werden.

Und genau das ist Dein Problem, es ist schoen fuer Dich, dass Du alleine arbeiten kannst, den meisten Firmen geht es nicht so, wie handhabst Du den Externenschutz eigentlich in Deinem anderen Gebaeude? Oder bist Du permanent ueberall anwesend? Du magst es nicht als extern deklarieren, aber Zugriff haben sowie Du die Daten nicht permanent in Deiner eigenen Tasche traegst eigentlich immer andere.

Ääähm ja is klar.... überall laufen fiese Agenten rum, die, sobald du das eine Gebäude verlässt sofort in alle Firmen gleichzeitig und unbemerkt einbrechen, genau wissen, wo sie nach was suchen müssen, jede Alarmanlage knacken können unbemerkt, jeden Safe aufbekommen und sich auch mit allen Computersystemen auskennen und jegliche Passwörter hacken können. :upps:

Die MÖGLICHKEIT, dass jemand wo einbricht und unbemerkt Daten stiehlt ist natürlich gegeben. Die Frage ist nur, wie wahrscheinlich dies ist. Kommt natürlich auf die Firma an und was ihr Business ist, aber bei kleineren Firmen ist die Wahrscheinlichkeit nicht gerade sehr hoch. Wohl einiges unwahrscheinlicher, als Opfer eines Hackerangriffes zu werden, wenn man eine Cloud von einem öffentlichen Anbieter nutzt, da dort noch zig andere Kunden ihre Daten liegen haben und sich der Angriff darauf somit doch einiges mehr lohnt.

P.S.: Die beste Alarmanlage ist noch immer ein Hund...

Du gibst also quasi IMMER Kontrolle ab.

Es kommt nicht darauf an, OB man die Kontrolle abgibt, sondern an WEN. Bei seinen eigenen Mitarbeitern besteht zumindest die Mglichkeit, dass man sie kennt. Bei externen Dienstleistern, deren RZ irgendwo anders ist, eher nicht.

Das sagste mal jemanden der extrem duenne RPO und RTO hat, Backup ist weiss Gott nicht ueberall eine Loesung, 5 Minuten Ausfall kosten teilweise Millionen und mehr.

... bei KMUs ... nee ist klar... du hüpfst munter von einem Extrem zum anderen, wie es dir gerade besser in den Plan passt.

Bei einem Unternehmen mit vielleicht 50 Angestellten fallen erstens meist gar nicht so viele Daten an, dass 5 Minuten relevant wären, noch haben sie nur in den seltensten Fällen mit derartigen Beträgen zu tun.

Bei irgendwelchen Konzernen sieht das anders aus - aber diese haben normalerweise auch europaweit verteilte (oftmals eigene) Rechenzentren.

Nein ich gehe da recht pragmatisch ran, dass wer an die Firmendaten wirklich will auch 100% drankommen wird, Industriespionagie von Geheimdiensten ist jetzt auch nichts wirklich neues. Ob die Daten da in Deinem Netz drin sind oder woanders gelagert werden ist absolut zweitrangig, im Worst Case ruppen Sie Deiner Frau die Fussnaegel einzeln aus, waehrend Du zuschaust als Erholung zwischen der Folter bis Du Passwoerter und Keys freigibst, wenn es jemand wirlkich eindringlich moechte, da kann es nochmals Dein Netzwerk sein wie es moechte.

Ich habe nie behauptet, dass es nicht fast immer trotzdem möglich wäre an irgendwelche Daten dranzukommen, nur der Aufwand steigt halt dafür. Und wer irgendwen dafür foltert, dem ist wohl jedes Mittel recht. Nur welche Daten hat bitte ein kleines Unternehmen, die so wichtig sind, dass jemand wen dafür foltern würde? :confused:

Ich heisse keineswegs gut, dass firmenkritische Daten komplett in der Cloud als einziger Speicherort gehalten werden, womoeglich noch unverschluesselt. Die komplette Verteufelung zur Nutzung und vernuenftigem Umgang dieser Moeglichkeit ist aber genauso falsch und die Paranoia-Argumentation bricht jedes mal in sich selbst zusammen, Daten sind NIE(!) sicher, ausser Du hast Sie nur in Deinem Kopf und keinerlei Selbsterhaltungstrieb und Empathieempfinden.

Und schon wieder missinterpretierst du meine Aussagen.

Ich verteufel nicht die generelle Nutzung des technisch möglichen, sondern sehe nur auch die Gefahren dabei und wenn dann sollte man diese Möglichkeiten auch technisch so absichern, dass eine sichere Nutzung möglich ist und zudem die Daten möglichst intern bleiben.

Würden nur einzelne oder nur unwichtige Daten in der Cloud abgelegt - OK. Nur immer mehr dort speichern, damit es von überall zugreifbar ist, steigert einfach das Risiko immens, dass diese Daten abgegriffen werden können. Und zwar nicht nur von NSA & Co, Wirtschaftsspionen oder sonstigem, sondern auch von Hackern, die dann mal eben die Username-Passwort-Listen online für jedermann einsehbar stellen könnten.

[...]Es ist schoen, dass Du offenbar alles Securitywissen der Welt zu haben scheinst, um Dich so perfekt wie moeglich gegen jeglichen Angriffvektor schuetzen zu koennen, aber glaubs mir das ist nichts was Du verallgemeinern solltest.

Und wieder mal vestehst du alles falsch. Ich habe nie behauptet, dass ich der Top-Security-Mensch wäre und alles wüsste. Ich benutze nur meinen gesunden Menschenverstand und versuche dadurch Risiken zu minimieren.

Allein was man an Passwoertern teilweise bei Kunden sieht (ja dort sieht man durchaus Kennwoerter im Klartext), die Ahnung haben sollten oder wie mit SSL Zertifikaten umgegangen wird, laesst einem kalt den Ruecken runterlaufen.

weiß ich selber und das ist auch einer der Gründe, wieso ich auch Dienstleistern nicht einfach so komplett vertraue. Wer weiß schon, welche Passwörter dort so verwendet werden oder ob es sogar ungesicherte Accounts gibt, weil jemand zu faul ist, sich ein Passwort zu merken. Genauso ob private keys auch wirklich gut genug geschützt werden, oder ob sie intern problemlos zugänglich auf einem Server liegen für jeden Mitarbeiter zugänglich.

Du brauchst mir keine Vorträge darüber zu halten. Ich kenne es selber, wie mit Kennwörtern (schau mal in einer großen Firma, bei der das Kennwort alle x Wochen geändert werden muss, an die Monitore oder unter die Arbeitsmappe von 100 Angestellten und du wirst einige Passwörter finden), Zertifikaten (ein öffentliches Zertifikat kostet ja Geld - nehmen wir einfach ein nicht von einer öffentlichen Stelle zertifiziertes, das nichtmals auf den Server ausgestellt ist), Smartcards oder sonstigem sicherheitsrelevanten Kram umgegangen wird. Ganz abgesehen vom dauernden arbeiten als Domain-Admin / root / superuser, obwohl dies gar nicht notwendig ist, fehlenden automatischen Sperrfunktionen, verlasen des PCs für 1-2 Stunden, ohne diesen zu sperren, u.s.w. ...