Cloud Speicher + TrueCrypt = Sicher?

R

relgeitz

Guest
Hallo zusammen,

ich nutze schon länger Cloud Services wie Dropbox, OneDrive, Yammer oder SharePoint für nicht kritische Daten. Ich fände es aber mittlerweile praktisch meine (privaten) sensiblen Daten immer "dabei" zu haben. Wichtig wäre aber wohl eine sehr sichere Lösung, irgendwie habe ich da wenig Vertrauen. Ich will mir damit auch den Sync der Daten zwischen Laptop und Gaming Rechner sparen. Ich hätte zwar auch ein NAS, das läuft allerdings nur für Backups.

Es soll eine europäische Cloud Lösung kombiniert mit TrueCrypt zum Einsatz kommen. Haltet ihr das für sicher und vertrauenswürdig? Kann man davon ausgehen, dass die Daten dabei nicht ausgelesen werden können, auch nicht vom Betreiber oder von Dritten nach einem Hack? Was wären die Alternativen (ohne Cloud)?

Geplant hätte ich Folgendes:
 
Daten in der Cloud sind nie sicher. Punkt.
Immer wenn Du Daten an einem Ort speicherst, auf den Du physikalisch keinen Zugriff hast (sprich Du kannst die Festplatte nicht anfassen, abstöpseln etcpp) kannst Du die Datensicherheit in die Tonne treten.
 
Das heißt auch mit deutscher/EU Cloud und Verschlüsselung eher nicht? Was wäre eine praktische Alternative?
 
Dein vorhaben ist vertretbar sicher und kann man durchaus so betreiben. Die Aussage "alles was ins Internet hochgeladen wird ist unsicher" ist definitiv quatsch.

EDIT: Nur bei Strato krieg ich Ausschlag... Für ein sicheren Betrieb würde ich mir einen anderen Anbieter suchen. :)
 
JimSim3 schrieb:
Dein vorhaben ist vertretbar sicher und kann man durchaus so betreiben. Die Aussage "alles was ins Internet hochgeladen wird ist unsicher" ist definitiv quatsch.
Zum Vergrößern anklicken....
Nein, diese Aussage ist leider alles andere als Quatsch. Denn du weißt nicht, wie die Betreiber ihre Systeme absichern. Du weißt nicht, wie die Zugänge gesichert sind. Du weißt nicht, wie die einzelnen Anwender ihre Systeme absichern. Du weißt nicht, ob doch noch irgendjemand die Daten per Man-in-the-Middle-Attack abgreift etc. pp.
Sofern man nicht das Zielsystem, auf welchem die Daten abgelegt werden, selber aufgesetzt hat und verwaltet, muss man anderen vertrauen, dass die ihren Job richtig und gut machen. Und das ist, bezogen auf Sicherheit, immer ein Kompromiss.

MfG Jimini
 
Jimini schrieb:
Nein, diese Aussage ist leider alles andere als Quatsch. Denn du weißt nicht, wie die Betreiber ihre Systeme absichern. Du weißt nicht, wie die Zugänge gesichert sind. Du weißt nicht, wie die einzelnen Anwender ihre Systeme absichern. Du weißt nicht, ob doch noch irgendjemand die Daten per Man-in-the-Middle-Attack abgreift etc. pp.
Sofern man nicht das Zielsystem, auf welchem die Daten abgelegt werden, selber aufgesetzt hat und verwaltet, muss man anderen vertrauen, dass die ihren Job richtig und gut machen. Und das ist, bezogen auf Sicherheit, immer ein Kompromiss.

MfG Jimini
Zum Vergrößern anklicken....

Normalerweise stimme ich dir oft zu, in diesem Fall bist du leider komplett falsch... Ich gehe mal auf die einzelnen Punkte ein:

Denn du weißt nicht, wie die Betreiber ihre Systeme absichern.
Zum Vergrößern anklicken....

Stimmt. Ist mir aber in diesem Fall total egal. Die einzigen Daten die der Betreiber in diesem Fall zu Gesicht bekommt sind verschlüsselt. Das schlimmste was passieren kann ist ein gezielter Angriff auf den Container oder das Keyfile um einzelne Bits und Bytes umzudrehen. Damit wäre im schlimmsten Fall der Container beschädigt/nicht mehr zu entschlüsseln, aber du kriegst auf jeden Fall mit, dass da was gedreht wurde und Zugriff auf die Daten erhält der Betreiber nie.

Du weist nicht wie die Zugänge gesichert sind.
Zum Vergrößern anklicken....

Wie beim vorherigen Punkt. Egal. Die beiden Punkte sind ja richtig, wenn man nicht mit verschlüsselten Daten arbeitet, aber in diesem Fall, wo die Daten ausschließlich in das Internet gelangen und nur local entschlüsselt wird: Was soll passieren? Ein Mitarbeiter zieht eine Kopie des Containers die er niemals öffnen kann? Soll er meinetwegen machen... Oder er manipuliert nen Bit, dann ist der Container halt hinüber, davon hat der Mitarbeiter allerdings reichlich wenig... Und das nen Cloud/Online-Speicher kein BackUp ist sollte auch klar sein.

Du weißt nicht, wie die einzelnen Anwender ihre Systeme absichern.
Zum Vergrößern anklicken....

Das weißt du praktisch nie. Und hat jetzt auch rein gar nichts mit der Sicherheit eines Cloud/Internet-Speichers zu tun.

Du weißt nicht, ob doch noch irgendjemand die Daten per Man-in-the-Middle-Attack abgreift etc. pp.
Zum Vergrößern anklicken....

Wie Punkt 1 und 2... Ja und dann? Schlimmstenfalls kann er sie unlesbar machen... Aber warum sollte er? Man könnte sich die Mühe machen MitM-Angriffe komplett unmöglich zu machen, aber in diesem Fall ist das absolut unnötig. Würde man unverschlüsselte Daten senden... okay. Aber hier: nur verschlüsselte (sogar zweimal verschlüsselte) Daten = kein plausibler Angriff auf die Verbindung möglich.

Sofern man nicht das Zielsystem, auf welchem die Daten abgelegt werden, selber aufgesetzt hat und verwaltet, muss man anderen vertrauen, dass die ihren Job richtig und gut machen. Und das ist, bezogen auf Sicherheit, immer ein Kompromiss.
Zum Vergrößern anklicken....

... Ja. Und? Sicherheit ist IMMER ein Kompromiss.

Halten wir fest: Es gibt keine 100% Sicherheit. Nirgends. Was ihr hier verlangt ist komplett ohne Verhältnis zu dem Problem. Es geht hier nicht darum das Nazi-Gold auf nem Strato-Server zu verstecken, sondern mehr oder weniger wichtige sensible Daten auf einem Internet-Speicher verschlüsselt hoch zu laden, dort verschlüsselt zu speichern und sie dann wieder verschlüsselt runter zu laden. Die Verschlüsselung existiert in allen Bereichen, wo soll da ein effektiver Angriff erfolgen? Das die Sicherheit in den Keller geht sobald die Verschlüsselung lokal aufgehoben wird ist klar, das hat aber rein gar nichts mit dem bösen Internet zu tun...

Gehen wir die Schutzziele doch einmal durch:
Vertraulichkeit: Check. Während der Übertragung und auf dem Server kann niemand der nicht das Passwort kennt auf die Daten zugreifen.
Verfügbarkeit: Wesentlich höher kann ne Verfügbarkeit nicht sein... Durch die Verschlüsselung allerdings leichte Abzüge...
Integrität: Check. Durch die Verschlüsselung der Daten kriegste auf jeden fall mit wenn jemand versucht die Daten zu manipulieren.
 
Zuletzt bearbeitet:
Ich fühle mich im Gegensatz zu dir richtig paranoid:huh:

Was passiert wenn du die Seite von Truecrypt aufrufst?
TrueCrypt

Man bekommt eine Schritt für Schritt Anleitung wie wir uns Bitlocker einrichten.
Was sagt uns das?
Die Jungs hatten entweder keinen Bock mehr an dem Programm weiter zu arbeiten
Oder irgendwer hat Sie bezahlt, dass Sie endlich damit aufhören weil man selbst nicht in der Lage war das zu knacken.


Ich tippe irgendwie auf letzteres und wenn das der Fall ist, wurde dem Käufer (wer auch immer das dann ist) sicher ein Weg an die Hand gegeben, um solche Container zu knacken, denkst du nicht?


ich stimme meinen Vorrednern zu.
Alles was mit dem Internet verbunden ist, ist unsicher.
Das gilt sogar für private Homeserver die am WWW hängen.


Es kommt natürlich auch immer darauf an, wie interessant du für etwaige Geheimdienste bist.
Wenn du unauffällig bist, wird sich denke ich niemand die Mühe machen deine Urlaubsfotos zu entschlüsseln.

Sicher ist das WWW meiner Meinung dadurch aber trotzdem nicht.
 
TrueCrypt ist sicher. (Gut vielleicht nicht die neuste Version... mit der kann man aber eh nicht mehr verschlüsseln.) Denn es gab genug Reviews von unabhängigen Experten die TrueCrypt von oben bis unten abgeklopft haben. Sicherer kann eine Software nicht werden. Aber klar ist es am Ende eine Frage des Vertrauens, wie bei jeder Hardware oder Software die du erwirbst. (Oder selbst herstellst... Dann ist es ein Frage des Vertrauens in deine Fähigkeiten). Und man sollte sich der Limitierungen der Software bewusst sein. TrueCrypt bspw. wird ausgehebelt sobald ein Angreifer lokal Admin-rechte erlangt, sonst aber sehr solide. Für das Szenario hier also vollkommen ausreichend...

Ich persönlich traue der alten Version von TrueCrypt. Gleichzeitig ist für mich der Einsatz von TrueCrypt nur in den wenigsten Fällen sinnvoll. Hier gibt es allerdings tatsächlich einen der wenigen Fälle in denen TrueCrypt tatsächlich funktioniert.
 
Ok und das weißt du alles bitte woher?
Wenn eine Gesellschaft dazu in der Lage ist kleine Entwickler einfach zu schlucken bzw verschwinden zu lassen und auf unsichere Systeme weiterleiten, dann haben solche Gesellschaften auch die Möglichkeit "unabhängige Experten" zu bestechen.
Denn JEDER ist käuflich!

Die Knotenpunkte des WWW in Frankfurt galten auch schon immer als "sicher", bis man auf einmal von der NSA "bearbeitete"Netzwerktechnik von Cisco gefunden hat.

Ich denke wenn ein Geheimdienst an deine verschlüsselten Daten rankommen will, dann kommen die da ran, egal wie.


Wie wahrscheinlich das ist, dass man sich wie gesagt ausgerechnet für DEINE privaten Daten die Mühe macht, kann und werde ich nicht beurteilen.
Ich denke aber die Tendenz geht gegen Null.
 
Weil Kryptographie kein Hexenwerk ist, sondern Mathematik. Es ist schlichtweg nicht möglich AES (richtig implementiert) mit einem sinnvollem Aufwand zu knacken. Die Algorithmen die in TrueCrypt verwendet werden entsprechen den entwickelten Algorithmen. Das lässt sich, solange man die mathematischen Grundlagen der Algorithmen kennt leicht überprüfen. TrueCrypt wird seit Jahren von Wissenschaftlern immer wieder zerlegt und angegriffen um mögliche Schwachstellen zu finden. Wenn du darauf nicht vertraust kannst du auch gleich alle elektronischen Geräte die du hast in die Tonne treten.

Hier geht's doch nicht um Geheimdienste. Hier geht's darum das jemand auf seine persönlichen Daten von unterwegs zugreifen will und sich vor Zugriffen durch den Betreiber schützen will. Und da ist ein verschlüsselter Container ein absolut legitimes Mittel und völlig ausreichend. Wenn es ein Geheimdienst auf deine wichtigen sensiblen Daten abgesehen hat, dann kriegen sie die. Zur Not wirst du halt in irgendeine Zelle gesperrt bis du das Passwort raus rückst. Aber bis dahin sind verschlüsselte Container im Internet auch sicher gegenüber dem Zugriff von Geheimdiensten - solange der Algorithmus richtig implementiert wurde. Das ist zugegebener maßen nicht immer der Fall, aber die Wahrscheinlichkeit das TrueCrypt die Algorithmen falsch implementiert hat sind so gering... und die alternative "Daten auf einer externen Festplatte mit sich rum schleppen" genauso anfällig für einen etwaigen Angriff, dass ich mich lieber für die komfortablere Lösung entscheide und Daten verschlüsselt in die Cloud schicke.

Nur das mit dem Keyfile... Theoretisch kann man das so machen wie der OP das hier vorhat. Nur geht dann natürlich der Vorteil des Keyfiles flöten. Das Keyfile würde ich tatsächlich eher auf nen USB-Stick packen... Aber im Endeffekt ist das auch egal...
 
@TE: Ich mache es so, dass ich immer einen großen Stick bei mir habe am Schlüsselbund, die wichtigen Dateien sind mit TrueCrypt verschlüsselt. Sicherer geht es meiner Meinung nach nicht, häng den Stick am Besten an den Gürtel, dann kannst du den auch nicht verlieren. Vorteil ist, dass du deine Daten auch offline hast :)
 
S754 schrieb:
@TE: Ich mache es so, dass ich immer einen großen Stick bei mir habe am Schlüsselbund, die wichtigen Dateien sind mit TrueCrypt verschlüsselt. Sicherer geht es meiner Meinung nach nicht, häng den Stick am Besten an den Gürtel, dann kannst du den auch nicht verlieren. Vorteil ist, dass du deine Daten auch offline hast :)
Zum Vergrößern anklicken....

Genau so mache ich das auch...ist auch schneller als eine onlinecloud.
 
Wenns denn mal mit TC 7.1a richtig verschlüsselt ist, ists egal ob Stick oder Cloud:)
 
Zuletzt bearbeitet:
S754 schrieb:
@TE: Ich mache es so, dass ich immer einen großen Stick bei mir habe am Schlüsselbund, die wichtigen Dateien sind mit TrueCrypt verschlüsselt. Sicherer geht es meiner Meinung nach nicht, häng den Stick am Besten an den Gürtel, dann kannst du den auch nicht verlieren. Vorteil ist, dass du deine Daten auch offline hast :)
Zum Vergrößern anklicken....

Mache ich auch so.
 
Wow so viel Interesse an meinem Problem und eine interessante Diskussion noch dazu :)

Ich muss dazu sagen, dass ich TrueCrypt schon vertrauen. Wenn jemand den Algorithmus durch Bestechung der TC-Crew bewerkstelligen wollte, hätte er das unauffälliger gemacht. Gerade der Hinweis auf Bitlocker ist sehr seltsam, unauffälliger wäre es gewesen, TrueCrypt normal weiterlaufen zu lassen und dabei noch Hintertürchen einzubauen.

Geheimdienste sehen es meisten nicht mehr auf die Einzelperson ab, wohl auch nicht auf meine Kreditkartendaten - die bekommen sie einfacher direkt von der Bank. Das Problem von Geheimdiensten wie der NSA ist weniger, dass sie es auf mich persönlich abgesehen haben, sondern mehr die Metadaten im Bezug auf die Masse. z.B. zufällig gleichzeitig am gleichen Urlaubsort genächtigt wie Osama Bin Laden? Schon ist man verdächtig :devil:

Es geht mir eher darum, dass wenn jemand meinen Zugang hackt (Social Reengineering, Scamming etc.) oder der Betreiber doch meint nicht nur seriöse Mitarbeiter zu haben, will ich das meine Daten geschützt sind (z.B. Identitätsdiebstahl). Ich achte sehr auf Sicherheit, da bin ich beruflich vorbelastet, privat hat man aber leider nicht den nötigen Einfluss (z.B. vertraglich).

Ich wähle auch deswegen eine EU Cloud, weil es mir wahrscheinlich nicht mehr an Sicherheit bringt, aber wenn etwas passiert in Richtung Datenschutz, habe ich zumindest eine freundlichere Rechtslage. OneDrive und Co. sind für alles andere absolut ausreichend. Aber für meine Bankdaten, persönliche Dokumente, Identitätsnachweise etc. darf es schon was Sichereres sein.

@JimSim warum meinst, dass der Keyfile Vorteil flöten geht, wenn ich ihn in einer anderen Cloud speichere? Ich hab da eher Angst, das der Keyfile korrupt wird, wenn irgendein Speichervorgang beim Cloudhoster durchgeführt wird.
 
Bankdaten, Identitätsnachweise gehören in die Brieftasche

persönliche Dokumente zu Hause im Schreibtisch unter Verschluss

Digitalisieren für den aktuellen Gebrauch ok, aber Speichern ?

Nein Danke
 
Das macht, das Backup wesentlich leichter, mein privates Backup besteht aus 4 Schichten inklusive Geo Loc Backup etwas abseits der Zivilisation - außerdem kann so mein Notfallpacket, dass Kopien aller wichtigen Dokumente enthält wesentlich effizienter generieren.
 
JimSim3: ich habe mir deine Argumente durchgelesen - grundsätzlich hast du Recht. TrueCrypt ist bzw. war ein sehr vertrauenswürdiges Stück Software. Und moderne Verschlüsselungsalgorithmen sind in der Regel mit heutigen Möglichkeiten nur mit extrem unverhältnismäßigem Aufwand knackbar. Das Problem bei so gut wie jeder Lösung, welche irgendwie auf Verschlüsselung setzt, ist aber die Implementation. Meines Wissens erfolgen Angriffe auf verschlüsselte Daten daher meistens indirekt, indem man also nicht versucht, die Verschlüsselung zu knacken, sondern irgendwie an das Passwort zu kommen - die Erfolgswahrscheinlichkeit ist hier deutlich höher.
Daher auch mein Einwand in puncto "andere User", "Absicherung durch die Betreiber" etc.: die Anzahl der Angriffsvektoren nimmt bei einer Cloud-Lösung stark zu.

Natürlich gilt, dass eine solche Lösung verhältnismäßig sicher ist. Ob einem das für die Speicherung persönlicher Daten ausreicht, muss jeder für sich selbst entscheiden. Ich persönlich mache es so, dass ich meine sensibelsten Daten - meine Zugangsdaten für verschiedene Dienste - für den Fall der Fälle auf einem Blatt Papier aufgeschrieben habe, welches versteckt irgendwo liegt. Das ist natürlich nicht ganz so bequem wie eine "überall verfügbar"-Lösung, aber in puncto Bequemlichkeit muss man, wenn man es halbwegs sicher haben will, ohnehin Abstriche machen.

MfG Jimini
 
Ich nutze auch Cloud Services mit TrueCrypt. Ich sehe dabei auch keinen Grund wieso eine Firma sich so in Unkosten stürzen sollte, nur um ein paar Bilder oder Dokumente einsehen zu können. :D
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

Sandolo
Datensicherung Windows 11 23H2
Antworten
4
Aufrufe
10K
Sandolo
Sandolo
detestabel
Wo lohnt sich ein eventueller Cloudspeicher als Notfallbackup ?
Antworten
6
Aufrufe
5K
detestabel
detestabel
Q
Gesucht: Cloud mit Synchronisation für Dateienbearbeitung
Antworten
6
Aufrufe
568
WeltbesterGabbyJay
WeltbesterGabbyJay
Aeton
Test FORM Smart Swim Goggles (smarte AR-Schwimmbrille)
Antworten
0
Aufrufe
1K
Aeton
Aeton
Goldkat
Streaming Software wie "Shadow" mit eigener Hardware?
Antworten
4
Aufrufe
669
warawarawiiu
warawarawiiu
Oben Unten
Zurück