Tech

Hacker erklärt, wie ihr eure privaten Daten sicher im Netz speichert

Eine Hand schließt sich um eine Wolke

Unterwäsche-Selfies, Nacktbilder, Sexvideos: Im Jahr 2014 wurden im Netz dutzende Aufnahmen von Prominenten verbreitet. Sie hatten das Bildmaterial in der Cloud gespeichert und dachten, dort ist es sicher. Dabei ist die Cloud kein heiliger, himmlischer Ort für eure Daten – es sind ganz profane Server von Firmen.

Fast alle vertrauen diese fremden Servern private Daten an. Der Google-Kalender synchronisiert eure Termine und WhatsApp euer Adressbuch; in der Dropbox liegen die Fotos aus euren Strandurlauben der vergangenen Jahre. Doch wer außer euren Freunden kann noch sehen und lesen, was ihr Dropbox, Google Drive oder iCloud anvertraut habt? Immer wieder gibt es Berichte von Sicherheitslücken und Ermittlern, die versuchen, Cloud-Speicher zu knacken, selbst wenn sich die Konzerne dagegen wehren.

Videos by VICE

Linus Neumann sucht, findet und behebt Sicherheitslücken. Er ist einer der Sprecher des Chaos Computer Club und macht einen Podcast über Netzpolitik. Im Gespräch mit Motherboard erklärt er, wie ihr eure Daten im Internet speichert und sie vor neugierigen Blicken schützt.

Motherboard: Speicherst du deine Daten überhaupt noch im Internet – oder weißt du als Hacker einfach zu viel über Schwachstellen?

Linus Neumann: Das kommt darauf an, was “im Internet” heißt. Es ist ja schwer, heute noch Rechner zu finden, die nicht am Internet hängen. Ich habe zu oft von Datenschutzverletzungen, Hacks und “gesetzlichen Zugriffen” durch Dritte gehört, als dass ich in einer Cloud noch Daten speichern würde, die irgendwie kritisch sind. Für einiges betreibe ich meine eigenen Server und für anderes eine verschlüsselte Speicherung in Cloud-Diensten. Aber vieles bleibt lokal auf meinen Geräten.

Könntest du auf Cloud-Dienste komplett verzichten?

Nein, leider kommen wir ja heute nicht mehr darum herum, diese Dienste zu nutzen. Unsere Smartphones laden oft automatisch unsere Fotos in irgendeine Cloud, andauernd bekommt man irgendwelche Dropbox-Links zugesendet.

Wenn ich nun bei Dropbox, iCloud oder Google Drive meine Daten ablege und mit niemandem teile: Wer kann die außer mir noch sehen?

Wenn du Daten in der Cloud speicherst, liegen sie auf anderen Festplatten von anderen Computern, die anderen Leuten gehören. Oft wird behauptet, sie seien dort verschlüsselt. Das gilt aber meist nur für Dritte, denn wenn du dich einloggst, bekommst du die unverschlüsselte Datei. Das heißt: Der Cloud-Anbieter kann genauso darauf zugreifen, sonst könntest du sie ja nicht ohne zusätzliche Entschlüsselung herunterladen.


Ebenfalls auf Motherboard: Die besten Momente der Hacking-Geschichte – Samy Kamkar legt Myspace lahm


Heißt das, Google, Apple, Dropbox und die anderen können sich einfach alle meine Fotos anschauen?

Ob in die Dateien auch reingeschaut wird, ist immer so eine Frage: Wieso sollte zum Beispiel Google sich ausgerechnet für deine Dateien interessieren? Da sitzt natürlich kein Mensch und durchforstet die. Das macht wenn überhaupt ein Algorithmus. Erst kürzlich wurde bekannt, dass Google zum Beispiel bestimmte unliebsame Inhalte automatisch löschen lässt.

Noch dazu hat die Europäische Kommission ein neues Anti-Terror-Paket vorgestellt. In dem befindet sich ein Gesetzentwurf, der fordert, dass Polizeibehörden innerhalb von sechs Stunden an die Dateien kommen sollen, wenn es die Eile gebietet.

Wenn auch nicht gleich ein Mensch deine Dateien durchwühlt: Dadurch, dass du sie woanders hingibst, verlierst du dauerhaft die Kontrolle. Du kannst nie sicher sein, wie oft sie kopiert werden, ob sie wirklich gelöscht werden, wenn du es möchtest, und wer noch darauf zugreifen kann.

Wie neu ist das überhaupt, dass die Polizei an meine Daten ran möchte? Durch die Snowden-Enthüllungen wurde ja bekannt, dass viele große US-Tech-Firmen sowieso mit ihren Geheimdiensten kooperieren.

Ich glaube, lokale Geheimdienste und Strafverfolger haben bei Cloud-Anbietern sehr gute Chancen. Mich würde es ehrlich gesagt wundern, wenn Anbieter nicht zumindest den lokalen Geheimdiensten und Strafverfolgern Zugriff geben würden, wenn sie danach fragen. Bevor Strafverfolger Daten bekommen muss das noch ein Richter genehmigen. Die Geheimdienste dagegen wollen sich aber nicht in die Karten schauen lassen und haben lieber gleich Vollzugriff auf Nutzerdaten. Es ranken sich viele Gerüchte darum, wie einfach sie es damit haben und wie oft sie das ausnutzen. Wie erfolgreich sie dabei sind, weiß ich aber nicht.

Das Fiese ist: Selbst wenn du deine Daten aus der Cloud löschst, kannst du dir nicht sicher sein, ob sie nicht trotzdem noch für Geheimdienste aufbewahrt werden. So etwas ist auch im von der EU geplanten Anti-Terror-Paket vorgesehen. Umso attraktiver wird es, sich einfach mal eine eigene Festplatte zu kaufen.

Wird mir eigentlich gezielt Werbung gezeigt, weil die Konzerne meine Daten in der Cloud durchsucht haben? Ich könnte ja zum Beispiel Werbung für billige Flüge angezeigt bekommen, wenn ich häufig Urlaubsfotos in die Cloud lade?

Bisher ist mir der Missbrauch von hochgeladenen Bildern und Dokumenten zu Werbezwecken noch nicht bekannt. Üblicherweise wird es aber als “Feature” verkauft, wenn unsere Daten von Konzernen verarbeitet werden. Ich denke da zum Beispiel an Google Docs oder Office 365, wo ganze Bürosoftware in die Cloud gewandert sind. Die Cloud ist dann nicht mehr nur plumper Speicher, sondern liefert zugleich die Bedienoberfläche, mit der ich die Daten erstelle. Das ist nicht nur für Nutzer bequem, sondern auch für Konzerne. Sie müssen dann nicht mehr irgendwelche Dateiformate analysieren, die Nutzer hochladen, sondern wissen genau, was sie bekommen.

Wie kann ich meine Daten in der Cloud denn so verschlüsseln, dass der Anbieter sie nicht mehr sehen kann? Bei E-Mails geht das ja zum Beispiel mit PGP.

Nach genau diesem Prinzip kannst du auch deine Daten speichern, zum Beispiel bei Dropbox: Du verschlüsselst sie zuerst auf deinem Computer und lädst dann die verschlüsselte Datei hoch. Dafür gibt es eine Reihe an Open-Source-Programmen wie EncFS, aber auch kommerzielle Angebote, die auch auf verschiedenen Betriebssystemen und mobil funktionieren. Nachdem du das einmal eingerichtet hast, funktioniert alles wie gehabt. Du brauchst also keine Angst zu haben, dass das im Alltag umständlich wäre.

Natürlich musst du mit den verschlüsselten Daten auf ein paar Features verzichten: Wenn du so eine Datei einer anderen Person freigibst, kann sie damit nichts anfangen – aber genau das ist ja auch Sinn der Sache.

Wenn ich selbst verschlüssele, erfahren die Cloud-Anbieter also nichts über mich?

Nicht ganz, allein damit bist du nicht alle Sorgen los: Mit der Verschlüsselung schützt du zwar die Inhalte deiner Dateien, es fallen aber noch jede Menge Metadaten an. Zum Beispiel:

Wann sind welche deiner Geräte angeschaltet? Sie synchronisieren sich ja im Hintergrund ständig mit der Cloud. Von welchen IP-Adressen greifst du auf die Daten zu? Welche Daten bearbeitest du wann?

Selbst wenn du sogar die Dateinamen unkenntlich machst, hinterlässt du noch jede Menge Datenspuren. Letztlich musst du selbst wissen, ob das bei all dem Tracking, dem wir ausgesetzt sind, noch einen signifikanten Unterschied macht.

Könnte sich nicht jeder einfach eine eigene Cloud bauen, in die keiner mehr reinschauen kann?

Ja, es gibt sehr schöne Lösungen für eigene Clouds, die für den Heimgebrauch mehr als ausreichend sind. Ich kenne viele Leute, die zum Beispiel mit ihrer eigenen Cloud Kalender synchronisieren, Fotos teilen und unterwegs Musik streamen.

Die Einrichtung ist kinderleicht. Wer keine Terabytes durch die Gegend schieben möchte, kommt mit einem Raspberry Pi, zwei großen USB-Sticks und einer Software wie Nextcloud oder ownCloud schon weit. Einen zweiten USB-Stick sollte man mit einplanen, falls einer mal kaputt geht.

Nextcloud: Raspberry Pi, Festplatte, Kabel
Das Material für die eigene Cloud: Festplatte, Minicomputer und ein paar Kabel | Bild: flickr | Christine und Hagen Graf | CC BY 2.0

Bei einer Heim-Cloud funktionieren auch die Uploads und Downloads viel schneller, jedenfalls wenn man zuhause ist. Fortgeschrittene können noch die Speicher des Raspberry-Servers und ihre hochgeladenen Daten verschlüsseln.

Abraten würde ich von fertig konfigurierten Geräten und Online-Festplatten aus dem Elektro-Markt oder Discounter. Bei denen dauert es oft nicht lange, bis haarsträubende Sicherheitslücken bekannt werden – und die werden oft nicht vom Hersteller behoben.

Bin ich mit so einer Heim-Cloud wirklich komplett auf der sicheren Seite?

Eine Heimcloud ist auf jeden Fall die beste Lösung, um deine Daten vor den Blicken der Unternehmen zu schützen. Doch wenn du alles selber machst, liegt auch mehr Risiko in deinen Händen. Große Cloud-Anbieter beschäftigen Profis , um Hacker draußen zu halten und deine Daten zu schützen. Sie bieten 2-Faktor-Authentifizierung und speichern Daten in mehreren Rechenzentren, falls mal etwas schiefläuft. Das wirst du in Eigenregie nicht so leicht erreichen.

Aber die Open-Source-Community entwickelt die Cloud-Software ständig weiter. Wenn Nutzer für ihre Heim-Cloud also brav Updates machen, auf ordentliche lange Passwörter achten und regelmäßig Backups anfertigen, tun sie alles, was in ihrer Macht steht – und es macht Spaß!

Allen, denen so eine Heim-Cloud doch zu kompliziert ist, rate ich: Fangt einfach mal mit der Verschlüsselung eurer Cloud-Daten an – und vergesst nicht, ein sicheres Passwort anzulegen!

Folgt Anna auf Twitter und Motherboard auf Facebook , Instagram , Snapchat und Twitter