Schlagwort: ULD

Kategorien
News

ULD veröffentlicht Datenschutzrechtliche Anforderungen an Cloud Computing Services

In einem Paper hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Informationen veröffentlicht, an die sich Cloud Anbieter und Nutzer orientieren sollten, um dem deutschen und europäischen Datenschutzrecht zu entsprechen.

Basis ist das EU-Datenschutzrecht

Das Paper basiert auf einem Dokument der Article 29 Dara Protection Working Party am 01. Juli 2012, aus dem das ULD die wichtigsten Themen herausgezogen hat, um damit Cloud Computing auch nach geltendem Datenschutz anzubieten und zu nutzen.

Cloud Computing ist Outsourcing

Nach dem ULD verhält sich das Cloud Computing datenschutzrechtlich wie das klassische Outsourcing. Ein Nutzer greift auf einen Cloud Service zu, wodurch der Anbieter zum Auftragnehmer werde. Das ULD bezeichnet den Anwender in diesem Zusammenhang auch als „datenschutzrechtlich verantwortliche Stelle“, der es nicht erlaubt sei Verträge einzugehen, die nicht dem Datenschutz entsprechen. Zudem steht der Anbieter in der Pflicht, dem Anwender über mögliche Sub-Anbieter und Orte zu informieren, wo personenbezogene Daten gespeichert oder verarbeitet werden.

Vorsicht vor nicht EU-Ländern und Safe-Harbor

Sollen personenbezogene Daten in nicht EU-Ländern übertragen und dort verarbeitet werden, ist das nur zulässig, wenn Standardvertragsklauseln genutzt werden. Darüber hinaus sollte sich ein Nutzer niemals auf das Safe-Harbor Abkommen verlassen, da ein Anbieter sich damit lediglich selbst zertifiziert und dies somit nicht aussagekräftig ist. Vielmehr sollte der Nutzer die Zertifizierung und sämtliche Rahmenbedingungen selbst prüfen.

Kategorien
News

Hey Fraunhofer, das ULD bestätigt hohe Sicherheit des TeamDrive Cloud Storage

Wie wir uns erinnern, hat das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter die Lösung vom deutschen Anbieter TeamDrive, in Frage gestellt. Das Brisante daran ist, dass TeamDrive vom Unabhängigen Landeszentrum für Datenschutz (ULD), das dem bekannten Datenschützer Thilo Weichert unterstellt ist, als sicher zertifiziert wurde. Neben einer offiziellen Stellungnahme von TeamDrive Geschäftsführer Volker Oboda hatte sich ebenfalls CloudSafe CEO Roberto Valerio via Kommentar zu den Vorwürfen von Fraunhofer geäußert. Beide vertreten die Meinung, dass Fraunhofer diese Studie nur dazu nutzen wird, um demnächst einen eigenen Cloud Storage auf den Markt zu bringen, was ebenfalls mein erster Gedanke war, als ich von der Studie gehört hatte.

In einer heutigen Stellungnahme erklären das ULD sowie die technischen und rechtlichen Gutachter, dass an der Zertifizierung zum Datenschutzgütesiegel festgehalten wird. TeamDrive erfüllt somit weiterhin die hohen Sicherheitsanforderungen, die zur Erteilung des Datenschutzgütesiegel erforderlich sind. Das ULD und die Gutachter begrüßen die ausführliche Studie von Fraunhofer SIT. Sie gibt wertvolle Hinweise zu Schwachpunkten von Cloud-Diensten.

Bezüglich des zertifizierten Produkts „TeamDrive 2.4“ weisen die Gutachter Rechtsanwalt Stefan Hansen-Oest und der IT-Sachverständige, Andreas Bethke die Kritikpunkte, die zur Abwertung von TeamDrive geführt haben, zurück. In Ihrer Stellungnahme erläutern sie, dass die in TeamDrive verwendete Transportverschlüsselung eine starke Kombination aus bekannten, sicheren, symmetrischen und asymmetrischen Verschlüsselungsverfahren ist.

„Das „Kerckhoffs’sche Prinzip“ hat seine Berechtigung, sofern ein Anbieter die Sicherheit seines Systems nur mit der Geheimhaltung der „Verschlüsselungsmethode“ und nicht nur auf die Geheimhaltung des Schlüssels begründet. Eine Verschlüsselung wird aber nicht dadurch unsicher, dass der Verschlüsselungsalgorithmus nur einer begrenzten Anzahl von Personen wie z.B. Sachverstän digen oder Zertifizierungsstellen zugänglich gemacht wird. Entscheidend ist, dass der Verschlüsselungsalgorithmus als sicher bewertet werden kann. Und das war im Hinblick auf TeamDrive der Fall.“, so Rechtsanwalt Hansen-Oest.

Nach Auffassung der Gutachter hat das Fraunhofer Institut TeamDrive unberechtigt falsch bewertet. In der Fraunhofer Studie wurden die Serverlösungen von TeamDrive für Privat Clouds oder auf eigenen Server vollkommen verschwiegen. Mit den TeamDrive Enterprise Hosting Servern haben Unternehmen die volle Kontrolle über alle Daten und deren Sicherheit.

TeamDrive bleibt damit die einzige Lösung, die Storage in der Cloud in Zusammenhang mit dem deutschen Datenschutzgütesiegel anbietet.

Kategorien
News

Fraunhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive?

In einem Paper stellt das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter das vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) zertifizierte TeamDrive in Frage. Gründe für das Ergebnis sind technische Probleme und eine schlechte Nutzung der Angebote. Nach eigenen Angaben habe es Fraunhofer sogar geschafft über Suchmaschinen an sensible Daten zu gelangen.

Innerhalb der Studie, die vom Sommer 2011 bis Januar 2012 stattfand, wurden die Cloud Storage Services von Mozy, Dropbox, Cloudme, Crashplan, Ubuntu One, Wuala und Teamdrive betrachtet und insbesondere die Bereiche Datenverschlüsselung und Kommunikation untersucht.

Die Kritikpunkte

CloudMe

Ist für eine große Anzahl von Angriffen offen. Dazu gehören die Aufzählung von Benutzernamen, der Versand unerwünschter E-Mails, Cross-Side Request Forgery Angriffe sowie die Übernahme des Accounts und Incrimination Attacks.

CrashPlan

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich, einzelne Installationen zu entfernen.

Dropbox

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Es wird keine Client-seitige Verschlüsselung unterstützt. Es ist unklar, wie die Daten miteinander geteilt werden (die Art), wenn Nicht Dropbox Nutzer eingebunden werden.

Mozy

Verschlüsselt Dateien, aber nicht die Dateinamen. Die Deduplizierung über mehrere Benutzer hinweg ist nicht ausreichend gesichert. Zudem wird die Deduplizierung über mehrere Benutzer hinweg nicht sicher verwaltet. Weiterhin können schwache Passwörter verwendet werden, ohne das darauf hingewiesen wird.

TeamDrive

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich bereits aktivierte Geräte wieder zu entfernen. Wenn Nutzer aus Bereichen entfernt wurden, wird der kryptographische Schlüssel weiterhin verwendet, um diesen Bereich zu verschlüsseln. Anfangs wurde das Zurücksetzen des Passworts über eine einfache HTTP Verbindung ohne Verschlüsselung vorgenommen. Nach einem Hinweis durch Frauenhofer, hat das TeamDrive diesen Missstand umgehend beseitigt.

Ubuntu One

Verfügt über keine Verschlüsselung.

Wuala

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Die Verschlüsselung schützt nicht vor Angreifern, die Zugriff auf die unverschlüsselten Dateien haben. URLs die mit Nicht-Kunden geteilt werden enthalten den Benutzernamen.

Die Kritik an TeamDrive ist brisant

Insbesondere die Kritik an TeamDrive ist brisant. Denn der Cloud Storage aus Hamburg, der sich speziell an Unternehmen richtet, wurde vom ULD Schleswig-Holstein, das unserem wohl bekanntesten Datenschützer Thilo Weichert unterstellt ist, zertifiziert.

In einer ersten Stellungnahme von Sven Thomsen via Twitter wird das ULD die Ergebnisse der Studie nun zunächst prüfen. Von TeamDrive habe ich nach einer ersten Anfrage dazu bisher noch keine Reaktion erhalten.

UPDATE: Stellungnahme von Volker Oboda – Geschäftsführer TeamDrive

Ich habe von Volker Oboda, Geschäftsführer von TeamDrive, eben eine Stellungnahme zu den Vorwürfen von Fraunhofer erhalten:

„TeamDrive wurde insgesamt ja sachlich und korrekt dargestellt, aber es wurde lediglich der Cloud Storage Teil bewertet und die einzigartigen On-Premise Lösungen und die freie Serverwahl wurden vollständig verschwiegen. Es gab eigentlich nur eine Abwertung bei TeamDrive die aber völlig subjektiv aus der Luft gegriffen ist. Die Abwertung und Kritik von TeamDrive betrifft die eigenen Authentifizierungsalgorithmen (kein SSL/TLS) die nicht offen gelegt sind. Das solche Methoden nicht unsicher sind, wurde uns durch externe Audits durch das ULD und Gutachter bestätigt. Insofern ist die Abwertung ungerechtfertigt. Weiterhin waren zu dem Zeitpunkt unsere SmartPhone Clients für Android und iOS noch nicht lieferbar. Mit dem jetzigen Software Release TeamDrive 3 haben wir die Public/Private Key Verschlüsselung in RSA-2048 ausgetauscht und damit noch einmal erhöht. Auf Kundenanforderung könnten wir technisch auch auf eine HTTPS Übertragung in die TeamDrive Cloud umstellen. Das ist aber aus Sicherheitsgründen nicht relevant und führt nur zu einer höheren Belastung der Serversysteme. Deshalb haben wir uns dagegen entschieden.

Die weiteren einzigartigen Designmerkmale von TeamDrive (USPs) wie die freie Serverwahl und komplette „On Premise“ Lösungen wurden in dem Gutachten überhaupt nicht erwähnt. Nach unserer Recherche dient das Dokument dem Fraunhofer Institut als Grundlage eigene Technologie zu entwickeln die den bestehenden Lösungen Wettbewerb bieten sollen.

Volker spricht einen Punkt an, der exakt meiner ersten Reaktion entsprach, als ich von den Fraunhofer Vorwürfen auf dem MIT-Blog gelesen hatte. Ich sehe es ebenfalls so, dass Frauenhofer diese Studie als reinen Selbstzweck veröffentlicht hat, um eigene (Sicherheits)-Lösungen zu vermarkten.

Zudem weist Volker darauf hin, dass das ULD und weitere Gutachter die eigenen Authentifizierungsalgorithmen von TeamDrive nicht für sicherheitskritisch halten.

Weitere Informationen und die Ergebnisse der Studie gibt es hier.

PS: Wer Angst um seine Daten hat und trotzdem Cloud Storage Services nutzen möchte, der sollte sich mal Boxcryptor anschauen, dieser verschlüsselt die Daten für Dropbox und Google Drive.

Kategorien
Services

TeamDrive: Dropbox für Unternehmen

Viele (deutsche) Unternehmen scheuen die Nutzung von Dropbox aus sicherheits- und datenschutzrechtlichen Bedenken. Dennoch besteht das Interesse, von überall aus auf die Unternehmensdaten zugreifen zu können und verteilt zu kollaborieren.

Wer Dropbox meiden möchte, für den kann TeamDrive aus Hamburg eine mögliche Lösung bieten. TeamDrive stellt einen Cloud Storage inkl. Kollaborations- und Synchronisationsfunktionen bereit, der sich neben privaten Nutzern verstärkt auf Unternehmen konzentriert. Das zeigen die Funktionen rund um den Service.

Teamdrive ist Dropbox für Unternehmen

Synchronisation über mehrere Betriebssysteme

Wie andere moderne Cloud Storage Angebote ermöglicht auch TeamDrive die Synchronisation aller Daten über mehrere Betriebssysteme hinweg, darunter Windows, Mac und Linux. Das bedeutet, dass das Hinzufügen einer Datei oder das Ändern an einer Datei automatisch mit allen Betriebssystemen abgeglichen wird, die den TeamDrive Verbund angehören. Mobile Clients für Android und iPhone/ iPad haben die finalen Tests durchlaufen und warten auf die Freigabe im Apple App Store. Diese wird für den März erwartet.

TeamDrive synchronisiert zwischen mehreren Betriebssystemen

Kollaboration und Rechteverwaltung

Der eigentliche Benefit von TeamDrive gegenüber Dropbox besteht allerdings beim Thema Zusammenarbeit und hier in Punkto Rechteverwaltung. Selbstverständlich bietet Dropbox die Möglichkeit Daten via Freigaben zu teilen. Aber diese Funktion ist wahrlich nicht geeignet für die Nutzung im Unternehmen.

So ermöglicht TeamDrive bspw. das Erstellen von Arbeitsgruppen. Dabei stellt ein zu sychronisierender Ordner eine einzelne Arbeitsgruppe dar. Das Einladen bzw. Hinzufügen weiterer Gruppenmitglieder funktioniert, wie von Dropbox bekannt, per E-Mail Adresse. Bei der Rechteverwaltung unterscheidet TeamDrive dann zwischen vier Status, die einem Gruppenmitglied zugeordnet werden können. Download only, bedeutet, dass ein Gruppenmitglied Daten lediglich herunterladen aber nicht hochladen darf. Read/Write ermöglicht dem Mitglied das vollständige Bearbeiten von Dateien. Als Superuser darf ein Benutzer Dateien bearbeiten und weitere Gruppenmitglieder einladen sowie als Administrator Gruppenmitglieder und Dateien vollständig vom Server löschen.

Neben der Rechteverwaltung verfügt TeamDrive zudem über eine Versionsverwaltung, mit der Änderungen an Dokumenten und Dateien von anderen Gruppenmitgliedern nachvollzogen werden können. Zudem kann auf ältere Versionsstände der Dokumente zugegriffen werden.

TeamDrive verfügt über eine integrierte Versionsverwaltung

Sicherheit, Verschlüsselung und Datenschutzgütesiegel des ULD

TeamDrive verschlüsselt die Daten vor der Übertragung vom lokalen Rechner zum Server mit dem AES-256 Algorithmus. Zudem wird für jeden Ordner ein eigener AES-256 symmetrischer Schlüssel erzeugt.

Darüber hinaus wurde TeamDrive vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD), u.a. bekannt durch Thilo Weichert, überprüft und mit dem Datenschutzgütesiegel ausgezeichnet. Im Rahmen der Rezertifizierung 2011 und der Nutzung der Amazon Cloud hat das ULD folgende Aussage getroffen:

TeamDrive hat alle möglichen Maßnahmen aus technischer und vertraglicher Sicht getroffen um personenbezogene Daten gegen unberechtigten Zugriff zu schützen. Aufgrund der besonderen rechtlichen Situation bei der Nutzung des Internets und der Amazon-Cloud kann zurzeit aber nicht ausgeschlossen werden, dass US-Sicherheitsbehörden theoretisch Zugriff auf personenbezogene Daten zur Laufzeit des Systems erhalten könnten. Dies betrifft jedoch allenfalls Ihre Anmeldedaten wie Nutzername und Email-Adresse.

Speicherorte

TeamDrive kann in zwei unterschiedlichen Varianten genutzt werden. Die Erste besteht in der typischen Nutzung als Cloud Storage Service via TeamDrive Cloud, wo die Daten auf den Servern (Amazon S3) von TeamDrive gespeichert werden.

Die zweite Variante ist der Einsatz eines TeamDrive Servers im eigenen Rechenzentrum. Dazu steht zum einen der TeamDrive Personal Server, für kleine Unternehmen sowie der TeamDrive Enterprise Server für Großunternehmen bereit.

Kosten

TeamDrive bietet drei unterschiedliche Angebote: TeamDrive Free (kostenlos), TeamDrive Personal (29,99 EUR pro Jahr) und TeamDrive Professional (5,99 EUR pro Monat bzw. 59,99 EUR pro Jahr). Bei allen sind standardmäßig 2 GB kostenloser Speicherplatz beinhaltet. Wer mehr haben möchte muss zusätzlich zahlen.

So kostet eine Speicherplatzerweiterung um

  • 10 GB = 5,99 EUR pro Monat bzw. 59,99 EUR pro Jahr
  • 25 GB = 14,95 EUR pro Monat bzw. 149,50 EUR pro Jahr
  • 50 GB = 29,90 EUR pro Monat bzw. 299,00 EUR pro Jahr

Fazit

Ein Blick auf die Funktionen zeigt, dass TeamDrive für den Unternehmenseinsatz gedacht ist. Neben den typischen Dropbox Funktionen beinhaltet der Dienst zudem Möglichkeiten zur Versionskontrolle und vor allem der Rechteverwaltung, die für Unternehmen unerlässlich sind. Zudem wurde TeamDrive mit dem Datenschutzgütesiegel des ULD ausgezeichnet, dass derzeit die größte Aussagekraft von allen auf dem Markt befindlichen Gütesiegeln in Bezug auf den Datenschutz hat.