Datensicherheit und NAS Consumer Produkte

Let­ztlich bin ich auf dem Unternehmens­blog der Fir­ma QNAP gelandet. QNAP ist eine Chi­ne­sis­che Fir­ma, welche NAS Sys­teme (Net­work Attached Stor­age) pro­duziert und verkauft.
Das Prob­lem bei diesen Pro­duk­ten ist die Tat­sache, dass Sie um sehr wenig Geld, viel Sicher­heit vor­spie­len. Aber dazu später mehr.

Solche NAS Pro­duk­te, wie diese von QNAP sind sehr beliebt und wer­den von vie­len IT Betreuern emp­fohlen und auch instal­liert.
Das Prob­lem hier ist nur, dass der Schein lei­der trügt. Diese Pro­duk­te sind meist nicht für den pro­fes­sionellen Ein­satz geeignet. Vor allem das, was man in Media Markt und Co. so zu kaufen bekommt ist schlicht ungeeignet Fir­men­dat­en oder sog­ar App­lika­tio­nen ständig auszuführen.

Ein weit­eres Prob­lem sind die Fest­plat­ten. Eine Enter­prise Stor­age hat meist SAS Fest­plat­ten instal­liert. Der Gund ist klar. Diese sind wesentlich schneller als die herkömm­lichen SATA Fest­plat­ten sowie robuster gebaut. Auch kön­nen SAS Fest­plat­ten gle­ichzeit­ig lesen und schreiben, was im Bere­ich NAS doch sehr wichtig ist. Wie auch immer, diese Pro­duk­te unter­stützen unr SATA Fest­plat­ten. Also, wer­den Sie auch nur mit solchen bestückt. Meist ein­fache Desk­top Dri­ves.

Das The­ma Fest­plat­ten kön­nte man noch weit­er­führen. Aber mehr in einem anderen Beitrag.

Nun jedoch zum QNAP Blog. In dis­em Blo­gein­trag mit dem Titel “Nev­er say nev­er to Data loss” geht es in Erster Lin­ie darum dem Kun­den zu erk­lären, dass auch ein QNAP Sys­tem nicht davor schützt. Das wiederum ist für viele Fir­men und Kun­den eine dur­chaus ernüchternde Erken­nt­nis, da man genau das mit dem Erwerb eines solchen Gerätes erre­ichen wollte.

Der Ver­fass­er des Ein­trages geht expliz­it auf die Prob­leme der Syteme von QNAP ein. Beispiel­sweise, dass das Rebuilt bei RAID Lev­el 1 nur bed­ingt funk­tion­iert. Oder dass bei den Con­sumer­pro­duk­ten mit Soft­ware RAID (also so gut wie jedes dieser Teile) der Con­troller nur ein­fach aus­ge­führt ist und … wenn er den Hitze­tod stirbt.. die Dat­en eben weg sind (Man kann die Fest­plat­ten nicht ein­fach in ein bau­gle­ich­es Gerät steck­en… das geht lei­der nicht).

Am Ende des Blo­gein­trages find­et sich noch der nette und wohl auch ehrlich gemeinte Ratschlag, dass man das NAS dann doch wieder in die Cloud sich­ern soll. Denn… man weiss ja nie.

Ich finde diese ehrliche Vorge­hensweise, den Kun­den gle­ich mal zu sagen dass man eben nicht für Daten­sicher­heit ste­ht löblich. Den­noch wer­den diese Teile immer noch zu haufe an Kun­den als ver­mei­dlich­es All­heilmit­tel verkauft. Das ist in Erman­gelung besser­er Ken­nt­nis viel­er IT-Dien­stleis­ter lei­der ein grober Fail.

Faz­it: Wenn Sie Dat­en wirk­lich sich­er haben möcht­en, kom­men Sie um eine Enter­prise Stor­age nicht herum. Diese kön­nen Sie ab rund 10K EUR erwer­ben. Alles andere ist Müll. Oder, Sie gehen gle­ich zum Cloud­provider Ihres Ver­trauens und spe­ich­ern Ihre Dat­en dort. Das ist in jedem Fall die sich­er­ste Wahl.

Europaparlament will Datenaustausch mit den USA stoppen

Die Nachricht schlug ein wie eine Bombe..

Golem hat heute berichtet, dass es wieder mal “Irri­ta­tio­nen” zwoschen dem Europa­parla­ment und den USA gibt.
Hin­ter­grund ist das soge­nan­nte “Pri­va­cy shield”, welch­es ein pen­dant zum europäis­chen Daten­schutz sein soll.

Das Prob­lem ist, dass es die USA eben nicht so genau nimmt mit dem Daten­schutz. Und so gehen die Wogen wieder ein­mal sehr hoch zwis­chen den bei­den Admin­is­tra­tio­nen. Die EU will den (zugegeben) über­bor­den­den Daten­schutz durch­set­zen und die USA wollen Ihren Nachrich­t­en­di­en­sten weit­er erlauben auf exakt diese Dat­en zuzu­greifen.

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+MOTION+B8-2018–0305+0+DOC+XML+V0//DE

Nach den EU-Daten­schützern ver­liert nun auch das Europa­parla­ment die Geduld: Die Daten­vere­in­barung mit den USA soll bald aus­ge­set­zt wer­den, wenn es keinen besseren Daten­schutz gibt.

https://www.golem.de/news/privacy-shield-europaparlament-will-datenaustausch-mit-den-usa-stoppen-1807–135345.html

Nach­dem der Europäis­che Gericht­shof (EuGH) im Okto­ber 2015 das Safe-Har­bor-Abkom­men für ungültig erk­lärt hat­te, war eine Neureglung notwendig gewor­den. Der neue Schild zum Schutz der Pri­vat­sphäre ist eben­so wie sein Vorgänger kein rechtsverbindlich­es Abkom­men, son­dern ein Recht­srah­men, der in diesem Fall auf dem Aus­tausch ver­schieden­er Briefe basiert.

Die neue Daten­schutz­grund­verord­nung (DSGVO) erlaubt die Datenüber­tra­gung in Län­der mit einem “angemesse­nen Schutzniveau” (Artikel 45) oder auf Basis von Stan­dard­daten­schutzk­lauseln (Artikel 46). Hinzu kom­men noch “genehmigte Ver­hal­tensregeln” und ein “genehmigter Zer­ti­fizierungsmech­a­nis­mus”.

Nach dem Skan­dal um die Daten­weit­er­gabe von Face­book an die Analy­se­fir­ma Cam­bridge Ana­lyt­i­ca fordern die Abge­ord­neten eine bessere Überwachung der Daten­schutzvere­in­barung.
Sowohl Face­book als auch Cam­bridge Ana­lyt­i­ca hät­ten den Pri­va­cy Shield genutzt, um den Date­naus­tausch zwis­chen der EU und den USA zu ermöglichen. Bei­de hät­ten sich verpflichtet, die darin fest­ge­hal­te­nen Daten­schutz-Aufla­gen zu erfüllen.

Man wird also sehen, ob es Face­book, Drop­box und Co. auch in Zukun­ft so wie heute oder in geän­dert­er Form am Europäis­chen Markt geben wird. Die Zeichen dafür ste­hen, vor allem auch wegen dem amtieren­den US Präsi­den­ten aber eher schlecht

DSGVO: Warum TLS oder S/MIME nicht funktionieren können

Wir haben von einem unser­er Kun­den heute ein Schreiben von ein­er sehr großen Öster­re­ichis­chen Ver­sicherung mit fol­gen­dem Inhalt erhal­ten:

Sehr geehrte Geschäftspart­ner,

mit 25. Mai 2018 ist die Daten­schutz Grund­verord­nung (DSGVO) in Kraft getreten. Wir bieten all unseren Geschäftspart­nern die Möglichkeit der TLS Ver­schlüs­selung für EMails. Wenn Sie diese auch bei Ihnen aktiviert haben, kön­nen wir auch Infor­ma­tio­nen mit beson­deren Kat­e­gorien von Dat­en (z.B. Gesund­heits­dat­en) per EMailaus­tauschen. Eben­so sind alle EMails die Sie von uns erhal­ten TLS ver­schlüs­selt.

Diese Nachricht ist lei­der nicht nur tech­nisch, son­dern auch rechtlich falsch.

Auf­grund dessen möcht­en wir hier nochmals die Unter­schiede und Prob­leme mit der Nutzung von TLS oder S/MIME aufzeigen:

TLS

Tech­nisch unter­schei­det man bei der E‑Mail-Ver­schlüs­selung die soge­nan­nte Trans­portver­schlüs­selung und die Inhaltsver­schlüs­selung. Bei der Trans­portver­schlüs­selung wer­den Nachricht­en durch einen ver­schlüs­sel­ten Tun­nel geschickt. Beim Absender und Empfänger, und gegebe­nen­falls auch auf den dazwis­chen­liegen­den Knoten, liegen sie jedoch im Klar­text vor und kön­nen mit­ge­le­sen wer­den.

TLS ist ein nicht zwin­gen­des Pro­tokoll. Es ist etwas was zwis­chen Servern vere­in­bart wird. Kann es der jew­eilige Serv­er, dann wird es ver­wen­det. Kann er es nicht, wird das Mail eben herkömm­lich ver­schickt. TLS bietet auf alle Fälle nicht die von der DSGVO geforderte End-End Ver­schlüs­selung und fol­glich ist diese Art der e‑Mail kom­mu­nika­tion als Data breach zu betra­cht­en und somit meldepflichtig.

Faz­it: TLS ist vol­lkom­men ungeeignet um e‑Mails sich­er zu versenden. Es funk­tion­iert schlicht und ein­fach nicht.

S/MIME

Anders ver­hält es sich bei S/MIME.
Hier wer­den nun in großem Stil von Unterne­hen Zer­ti­fikate gekauft. In der Prax­is bedeutet dies, dass fak­tisch jedes Post­fach ein eigenes Zer­ti­fikat instal­iert bekom­men muss. Und das jedes Jahr, da diese Zer­ti­fikate nach einem Jahr erneuert wer­den müssen.
Auch die Kom­mu­nika­tion­spart­ner müssen bevor man Kom­mu­niziert dieses Zer­ti­fikat instal­lieren.
Die Folge ist ein unman­age­bar­er Zer­ti­fikat­ed­schun­gel, der dann noch vom IT Ver­ant­wortlichen gem­anagt wer­den muss.

Nach Erneuerung des Zer­ti­fikats, also nach einem Jahr wird die Sit­u­a­tion noch schwieriger, da ohne das alte Zer­ti­fikat alle alten E‑Mails nicht mehr les­bar sind. Eine e‑Mail Archivierung ist somit fast unmöglich oder nur wenn dann auch das Zer­ti­fikat archiviert wird. Und dies darf nun wieder nich gemein­sam geschehen, da man ja bekan­ntlich nicht Schlüs­sel und Tre­sor nebeneinan­der­stellen sollte…

Inter­es­sant wird die Angele­gen­heit, wenn ein Mitar­beit­er oder auch Kunde / Part­ner, welch­er dieses Zer­ti­fikat instal­liert hat ein Endgerät ver­liert oder es gestohlen wird. Das wäre dann der Super-Gau für das betr­e­f­fende e‑Mail Post­fach, da es wiederum einen Data Breach gäbe.

Faz­it: Der Ein­satz von Zer­ti­fikat­en kann eine DSGVO kon­for­mität her­stellen, ist aber extrem schw­er zu man­a­gen und deshalb nur bed­ingt zu empfehlen. Unternehmen mit mehr als 30 Post­fäch­ern soll­ten generell die Fin­ger davon lassen, da sich das benötigte Zer­ti­fikate­m­an­age­ment dann nicht mehr lohnt.

Die momen­tan kon­fort­a­bel­ste Art und Weise, Dat­en sich­er zu über­tra­gen ist über einen File Shar­ing Provider oder ein File Shar­ing Tool wie Cloud­Files.
Bei solchen Dien­sten wird eine sichere Verbindung (SHA-256) zum Daten­cen­ter des Providers aufge­baut. Das Daten­cen­ter ist wiederum entsprechend laut DSGVO abgesichert. Bei­de Seit­en, Unternehmen und Kunde/Lieferant sind zum Daten­cen­ter zu abgesichert. Es ist fol­glich End-End ver­schlüs­selt.

Dies ist aktuell die einzige Möglichkeit Dat­en kom­fort­a­bel, sich­er und vor allem DSGVO kon­form zu über­tra­gen.

Rufen Sie uns an! Wir wis­sen was zu tun ist.

Warum CloudFiles und nicht irgendetwas am eigenen Server laufen lassen?

Immer mehr Kun­den fra­gen genau was denn hin­ter Cloud­Files steckt und welche Soft­ware zur Anwen­dung kommt.
Das ist kein Geheim­nis. Wir nutzen Nextcloud, ein deutsches Soft­ware­pro­dukt welch­es in der kleis­ten Aus­führung als Open Source ver­füg­bar ist.

Jed­er kann sich das eigentlich ein­fach auf einem PC oder Serv­er mal schnell run­ter­laden, instal­lieren und nützen.
Der große Unter­schied zwis­chen unserem Pro­dukt und solchen Do-It-Your­self ansätzen ist ein­fach erk­lärt.
Es ist die Kom­bi­na­tion zwis­chen Hard und Soft­ware und das Design der Lösung als Ganzes.

Unser CTO hat sich mal die Haup­tar­gu­mente zusam­mengeschrieben, welche alle­samt gegen etwas selb­st­ge­basteltes sprechen… Hier nun die Aufzäh­lung…

Sicher­heit:

  • Gefilterte Kom­mu­nika­tion durch Check­point Enter­prise Appli­ca­tion-Aware Fire­wall
  • Geo-redun­dante Daten­spe­icherung durch NetApp FAS Enter­prise Stor­age
  • Stündlich­es Daten­back­up durch NetApp FAS Enter­prise Stor­age, 30 Tage Auf­be­wahrung

Ver­füg­barkeit:

  • Aus­fall­sicher­heit durch Fault-Tol­er­ant Vir­tu­al Machines
  • Jede Sys­tem-Kom­po­nente ist mind. dop­pelt aus­ge­führt und Active/Active oder Hot-Spare
  • Eigenes mul­ti-homed Inter­net AS

Leis­tung:

  • 1 Gbit/s sym­metrische Inter­netverbindung
  • Mehrere Gbit/s Stor­age lese und schreib Geschwindigkeit
  • Auss­chließlich 10 Gbit/s Fiber Ports im inter­nen Net­zw­erk

Sup­port:

  • 8x5 Tele­fon­sup­port inkl.
  • techn. Eskala­tion zu 3rd Lev­el Admin­is­tra­toren
  • Nextcloud Sup­port­ver­trag

 

Kann das Ihre selb­st aufge­set­zte Nextcloud auch?
Wenn ja, bitte melden Sie sich! Wir suchen hän­derin­gend nach guten IT-Tech­nikern.

DSGVO: Wie Steuerberater, Notare und Anwälte sicher und einfach Daten mit Ihren Klienten austauschen können

Steuer­ber­ater, Notare und Anwalt­skan­zleien ste­hen vor einem Prob­lem. Sie kön­nen Steuerbeschei­de, Lohnzettel, Verträge etc. auf­grund der DSGVO nicht mehr ein­fach per e‑Mail ver­schick­en. Die DSGVO unter­sagt einen unver­schlüs­sel­ten Ver­sand von per­so­n­en­be­zo­ge­nen Dat­en. e‑Mails auch wenn Sie sich­er zum Serv­er über­mit­telt wer­den sind unsich­er.

Alter­na­tiv gibt es die Möglichkeit ein­er e‑Mail Ver­schlüs­selung über s/mine. Dies wird aktuell von eini­gen IT-Dien­stleis­tern ange­boten und entspräche der DSGVO. Den­noch hat diese Lösung ein Prob­lem. Sicher­heit­sz­er­ti­fikate laufen ab. Sie wer­den für nur max­i­mal 2 Jahre vergeben. Sobald das Zer­ti­fikat abge­laufen ist, sind e‑Mails nicht mehr les­bar. Fol­glich kann man kein­er­lei e‑Mail Archivierung mehr machen, da die Dat­en nach Ablauf des Zer­ti­fikates für immer ver­schlüs­selt und unles­bar bleiben.

Cloud­Files ist der Ide­ale Weg um Dat­en zwis­chen Steuer­ber­ater / Anwalt / Notar und Klien­ten zu über­mit­teln.
Jed­er Klient bekommt seine eigene Data­box wo er mit­tels https Webin­ter­face Dat­en per Drag&Drop ein­fach und sim­pel hoch und run­ter­laden kann. In der Kan­zlei ist Cloud­Files als Net­zlaufw­erk (z.B. X:, Y:, N: etc.) mit direk­ter VPN Verbindung ins Cloud­Now Daten­cen­ter in die EDV einge­bun­den. Die zu über­mit­tel­nden Dat­en wer­den dann ein­fach im Kun­de­nord­ner gespe­ichert und sind sofort vom Kun­den sich­er und DSGVO kon­form abruf­bar.

Alter­na­tiv kann auch ein sicher­er “Link” vergeben wer­den. Mit Ein­mal­pass­wort und Ablauf­da­tum.

Ein­fach, schnell und kom­fort­a­bel.

DSGVO und was Sie über Dropbox & Co. wissen sollten

Momen­tan herrscht viel Ver­wirrung um Drop­box, Box und Co. Manche dieser Dien­ste sind tat­säch­lich DSGVO com­pli­ant. Andere nicht und wieder andere arbeit­en daran com­pli­ant zu wer­den.

Lei­der wird von eini­gen DSGVO Beratern so gut wie allen File Shar­ing Dien­sten ein “Per­silschein” aus­gestellt, was so lei­der falsch ist.

Viele unser­er Kun­den ver­wen­den nach wie vor Drop­box oder ähn­liche File Shar­ing Dien­ste. Diese Dien­ste sind gün­stig und gut. Aber, wie man am beispiel Drop­box sehen kann, aktuell NICHT DSGVO com­pli­ant.

Drop­box selb­st hat dies eingeräumt. (https://www.dropbox.com/de/help/security/general-data-protection-regulation) und ver­sichert Kun­den, dass Sie die Regeln “ver­suchen” einzuhal­ten.

Lei­der ist bei Drop­box als auch anderen File Shar­ing Dien­sten ein sehr wichtiges Merk­mal nicht vorhan­den. Die Daten­spe­icherung in der EU. Aktuell haben nur die wirk­lich großen Anbi­eter (Microsoft One Dri­ve, Apple iCloud, Ama­zon S3) Ihr Equip­ment inner­halb der EU. Die meis­ten mit­tleren und kleinen File Shar­ing Anbi­eter haben das nicht. Dazu gehört auch Drop­box.

Viele dieser Fir­men ver­weisen auf das “US Pri­va­cy Shield”. Dieses ist allerd­ings nicht aus­re­ichend um die geset­zlichen Vor­gaben zu erfüllen.

Faz­it: Es ist JETZT die Zeit gekom­men um Ihre Dat­en zu einem 100% DSGVO zer­ti­fizierten Anbi­eter zu wech­seln.

Cloud­Now mit Cloud­Files, ist so ein Anbi­eter. Unser Dienst ist 100% DSGVO kon­form, sich­er und vor allem bleiben Ihre Dat­en in Öster­re­ich. Das Preis­mod­ell ist dem ein­er Drop­Box oder ähn­lichen Anbi­etern angepasst. Die Per­for­mance meist bess­er.

Informieren Sie sich heute noch und wecheln Sie zu uns! Daten­sicher­heit ist unser Geschäft.