Das sind die Gefahren bei der Nutzung von kostenlosen Cloud-Diensten

Für viele Startups führt der Weg kaum an Cloud-Diensten vorbei, denn viele Anbieter bieten eine kostenlose Option an, die gerade für junge Unternehmen attraktiv ist. Tools wie Google Drive, Dropbox, OneDrive und Co. liefern zwar Mehrwert, doch es gibt auch einiges zu beachten.

Die Cloud ist auch nur jemand anderes Computer

Letztendlich werden Daten einfach ausgelagert. Das betrifft alles vom Word-Dokument bis hin zur Kundendatenbank. Ein gravierenderes Problem ist eines, dem sich die meisten Unternehmen erst bewusstwerden, wenn es zu spät ist: Sind die Daten einmal hochgeladen, kann man sie nie wieder zurückholen. Denn was der Cloud-Dienst letztendlich mit ihnen anstellt, kann keiner prüfen. Eine Löschgarantie? Gibt es nicht, auch wenn einige Anbieter das versprechen. Und wer sagt, dass der kleine Cloud-Service nicht beim Nachbar im Keller auf einer NAS-Festplatte läuft? Das Beispiel mag absurd erscheinen, verdeutlicht aber das Problem: Letztendlich ist es nicht möglich zu prüfen, wo die Daten landen und wer die Server eigentlich betreibt.

Viele Anbieter brüsten sich mit einer starken Verschlüsselung der Daten. Leider nutzlos, wenn der Anbieter den Schlüssel kennt. Letztendlich kann er die Daten komplett einsehen, verändern und auch weitergeben. Zum Beispiel an Geheimdienste, welche an Daten von innovativen Unternehmen immer Interesse haben. Klingt nach James Bond? Schön wäre es, doch das ist leider bereits die Realität.

Was junge Unternehmen tun können

Gegen viele dieser Punkte kann man sich jedoch wehren. Besonders, wenn es sich um Online-Dateispeicher handelt. Denn für viele dieser Dienste existieren Verschlüsselungsprogramme, die die fehlende Verschlüsselung nachrüsten. Hier spricht man dann von einer End-to-End Verschlüsselung, da von Endgerät zu Endgerät verschlüsselt wird. So hat der Provider keine Möglichkeit, die Dateien einzusehen. Zusätzlich sollte bei jedem Cloud-Angebot die dahinterstehende Firma geprüft werden. Wo ist diese angemeldet, wie vertrauenswürdig scheint sie und gibt es Anzeichen, wo die Server stehen und bei wem sie gemietet sind? Denn wenn der Cloud-Dienst offline ist, steht das Unternehmen oft ohne seine Daten da. Und Garantien über ein SLA (Service-Level-Agreement) sind bei kostenlosen Diensten die Ausnahme. Das heißt, dass der Cloud-Provider meist keinerlei Garantien gibt, ob das Tool nicht doch ausfällt.

Cloud-Services, die nicht mit Dateien arbeiten, lassen sich meist nicht mit Tools verschlüsseln, man muss also auf den Anbieter vertrauen. Doch besonders bei diesen Applikationen sind oft Daten der Kunden im Spiel. Diese sind personenbezogen und damit durch die DSGVO geschützt. Startups sollten hier also trotz kostenlosem Angebot auf eine Auftragsdatenverarbeitungsvereinbarung pochen, da es andernfalls für Datenverluste belangt werden kann.

Zusammenfassend kann man jungen Unternehmen also folgende Ratschläge mit an die Hand geben:

Es prüfe, wer sich bindet: Wer ist der Betreiber des Dienstes, wo sitzt er?
Wo stehen die Server? Gibt es Garantien wie Datenhaltung in der EU?
Dateien vor dem Upload verschlüsseln. Programme wie Boxcryptor oder Cryptomator sind einfach und oft umsonst oder günstig, keine Ausreden!
Auch bei kostenlosen Angeboten auf eine Auftragsdatenverarbeitungsvereinbarung pochen, sonst kann es im Schadensfall teuer werden – und schlechte PR ist garantiert.
Gibt es ein SLA (Service-Level-Agreement)? Wie ist die Uptime des Dienstes? Gibt es bereits Erfahrungsberichte über längere Zeit?

Auch die Cloud ist kein „free lunch“ in Sachen Security

Besonders auf fremden System gelten die üblichen Spielregeln der IT-Security: Jeder Dienst sollte ein eigenes Passwort haben. Da immer wieder Passwortdatenbanken gestohlen werden, sollte man bei wichtigen Services keine Passwörter mehrfach verwenden. Daher empfiehlt sich ein Passwort-Manager. Beim Ausscheiden eines Mitarbeiters muss dessen Konto auf allen Diensten deaktiviert werden. Hierbei hilft eine Liste, die aufführt, welche Services wofür genutzt werden. Diese kann auch gleich zum Datenverarbeitungsregister erweitert werden, denn laut DSGVO müssen Unternehmen auch dokumentieren, an wen sie Nutzerdaten weitergeben. So schlägt man zwei Fliegen mit einer Klappe.

Beim Einsatz von Cloud-Diensten ist also Vorsicht geboten

Ein gesundes Misstrauen gegenüber dem Anbieter sollte mit Sicherungsmaßnahmen, wie der Verschlüsselung von Inhalten und einer Dokumentation, kombiniert werden.

Roman Leuprecht

Roman Leuprecht ist Gründer und technischer Leiter bei Uniki. Bereits während seinem Informatik-Studium arbeitete er als Linux Admin und Full-Stack-Developer. Sein Fachwissen im Bereich IT-Sicherheit und Netzwerktechnik machten ihn zu einem Verfechter von Privatsphäre und sicherer IT, was ihn 2016 dazu veranlasste, mit Matthias Bollwein die Uniki GmbH zu gründen. Dort verfolgt er das Ziel, Datenaustausch und Online-Zusammenarbeit für kleine Unternehmen maximal sicher und spielend einfach zu machen.

KOSTENLOSER NEWSLETTER

Erhalten Sie regelmäßig die neuesten Updates der internationalen Startup-Szene!

X