Informationen zu Diensten in der Cloud
Dienste in der Cloud oder anders gesagt, Dienste, die über das Internet an jedem Ort und zu jeder Zeit verfügbar sind, gibt es für nahezu jeden Anwendungszweck. Die Anbieter stellen schon in kostenfreien Angeboten erhebliche Ressoucen (z.B. Speicherplatz) bereit und die Zugriffsmöglichkeiten sind ausgesprochen einfach.
Bei der Benutzung - im privaten wie auch im beruflichen Umfeld - sollte man sich stets über die Bedingungen und Risiken der Anbieter im klaren sein. In Ergänzung zur Sync&Share Policy der Universität Hamburg finden Sie auf dieser Seite Hinweise und praktische Beispiele für den Umgang mit Ihren Daten. Insbesondere im beruflichen Umfeld an der Universität Hamburg sollten Sie die Dienste des Regionalen Rechenzentrums nutzen.
Glossar zu Clouddiensten
Cloud-Computing
Cloud-Computing beschreibt die Bereitstellung von IT-Infrastruktur wie beispielsweise Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienstleistung über das Internet.
Eine Definition von Cloud-Computing:
Mell, P. and Grance, T. (2011). The NIST Definition of Cloud Computing. NIST – National Institute of Standards and Technology, Special Publication 800-145, DOI:10.6028/NIST.SP.800-145.
Verschlüsselung
Verschlüsselung oder Chiffrierung von Daten und Kommunikation erhöht die Sicherheit, da sie den Zugriff auf die Daten und die Kommunikation für Personen ohne Schlüssel deutlich erschwert. Je nach eingesetztem Verschlüsselungsverfahren kann die Verschlüsselung aber schon heute oder in Zukunft von Experten "geknackt" werden, eine absolute Sicherheit gibt es auch hier nicht.
Wichtig ist, dass der Schlüssel von unbefugtem Zugriff geschützt wird und sicher aufbewahrt wird. Verschlüsselte Daten werden bei einer langfristigen Speicherung zum Problem, wenn Informationen über die Verschlüsselung und/oder der Schlüssel verloren gehen.
Informationen beim Bundesamt für Sicherheit in der Informationstechnik:
Authentifizierung
Die Authentifizierung sorgt dafür, dass die Identität eines Benutzers eindeutig nachgeweisen werden kann. Sie ist nicht zu verwechseln mit der Authentisierung, mit der ein Benutzer sich z.B. mit Benutzernamen und Kennwort an einem Computersystem anmeldet. Nach dieser Anmeldung erfolgt die Prüfung bei einem Identity-Provider, der Daten über Benutzer gespeichert hat. Ist die Authentisierung positiv ausgefallen, erhalten die Computersysteme die Autorisierungsdaten des Benutzers, wie z.B. Namen und Zugriffsrechte.
Die Authentifizierung beruht in den meisten Fällen auf der Annahme, dass eine einmal, z.B. durch Personaldokumente identifizierte Person die Anmeldedaten (Benutzername und Kennwort) nicht weitergibt. Bei höheren Sicherheitsanforderungen können weitere Merkmale wie z.B. Fingerabdruck, Irisscan oder SMS-PIN hinterlegt werden um einen unberechtigten Zugriff zu erschweren.
Datenschutz in der Cloud
Nach einem Urteil des Europäischen Gerichtshofs dürfen nur eingeschränkt Daten in die USA gelangen, wo sich aber tatsächlich über 90 % der Cloud-Computing Infrastruktur befinden.
Wenn personenbezogene Daten Dritter online gespeichert werden, müssen sich beispielsweise deutsche Nutzer vorab und anschließend regelmäßig nachvollziehbar vor Ort davon überzeugen, dass die Vorgaben des Bundesdatenschutzgesetzes eingehalten werden, da ansonsten Bußgelder drohen.
Cloud-Betreiber mit Sitz in den USA unterliegen dem US-Recht und demnach dem Patriot Act. Unternehmen mit Sitz in den USA sind deshalb gezwungen, auch Daten an amerikanische Behörden auszuliefern, die sich auf Servern in fremdem Hoheitsbereich befinden. Dies ist beispielsweise von Amazon, Microsoft und Google bestätigt worden.
Personenbezogene Daten (z.B. Bewerbungen, Beurteilungen, Einstellungsunterlagen usw.) gehören deshalb keinesfalls in die Cloud von Anbietern wie Amazon, Microsoft und Google.
Integrität
Integrität (von lateinisch integritas ‚Unversehrtheit‘, ‚Reinheit‘, ‚Unbescholtenheit‘) ist neben Verfügbarkeit und Vertraulichkeit eines der drei klassischen Ziele der Informationssicherheit. Eine einheitliche Definition des Begriffs Integrität gibt es nicht. In den Evaluationskriterien für Informationssicherheit der frühen 1990er Jahre (ITSEC) wird Integrität definiert als „Verhinderung unautorisierter Modifikation von Information“.
Schutzbedarf
Der Schutzbedarf eines Objekts orientiert sich an dem Ausmaß der Schäden, die entstehen können, wenn seine Funktionsweise beeinträchtigt ist. Da die Höhe eines Schadens häufig nicht genau bestimmt werden kann, sollten Sie eine für Ihren Anwendungszweck passende Anzahl von Kategorien definieren, anhand derer Sie den Schutzbedarf unterscheiden. Hinweise auf den Schutzbedarf können zum einen aus der systematisch durchgeführten Schutzbedarfsanalyse und zum anderen aus der Datenkategorie abgeleitet werden. Ein Schutzbedarf wird grundsätzlich hinsichtlich der drei Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit differenziert bestimmt.
Sync & Share
Sync & Share bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von Dateidiensten über ein Netz. In der Regel können diese Dateidienste unabhängig von Ort und Zeit mit Hilfe aller gängigen IT-Geräte genutzt werden. Für die Nutzer bleibt die bereitgestellte IT-Infrastruktur verborgen. Weiterhin können Daten mit weiteren Personen organisationsübergreifend geteilt werden, um z. B. kooperativ an gemeinsamen Projekten zu arbeiten. Mit Sync & Share ist es möglich, Daten auf verschiedene Geräteklassen zu synchronisieren.
Vertraulichkeit
Vertraulichkeit ist die Eigenschaft einer Nachricht, nur für einen beschränkten Empfängerkreis vorgesehen zu sein. Weitergabe und Veröffentlichung sind nicht erwünscht. Vertraulichkeit wird durch Rechtsnormen geschützt, sie kann auch durch technische Mittel gefördert oder erzwungen werden.
Verfügbarkeit
Die Verfügbarkeit eines technischen Systems ist die Wahrscheinlichkeit oder das Maß, dass das System bestimmte Anforderungen zu einem bestimmten Zeitpunkt bzw. innerhalb eines vereinbarten Zeitrahmens erfüllt. Alternativ ist Verfügbarkeit von einer Menge an Objekten definiert als der Anteil der verfügbaren Objekten an der Gesamtzahl der Objekte in dieser Menge (vgl. CLC/TR 50126-3). Sie ist ein Qualitätskriterium und eine Kennzahl eines Systems.
Clouddienste des Regionalen Rechenzentrums
- UHHSHARE
Speichern Sie Daten im Regionalen Rechenzentrum und greifen Sie auf diese Daten über den Browser, Clientsoftware oder Apps für Mobilgeräte (iOS, Android, Windows) zu. Sie erhalten 50GByte Speicherplatz, die auch erweiterbar sind. UHHSHARE ist von seiner Funktionalität mit Dropbox oder ähnlichen Diensten vergleichbar. - Sharepoint
Sie möchten gemeinsam an Dokumenten arbeiten? Dann verwenden Sie Sharepoint. - Exchange
Mail, Kontakte und Kalender in einem bietet Ihnen Exchange. Für Arbeitsgruppen bietet sich insbesondere ein gemeinsamer Kalender an. - GitLab
Das RRZ betreibt zentral für die Universität einen Dienst zur Git-Versions- und Projektverwaltung. Zum Einsatz kommt dabei das Open-Source-Produkt GitLab. Git ist ein verteiltes Versionsverwaltungssystem. Sie können es lokal auf Ihrem Rechner nutzen oder aber z. B. mit anderen Mitgliedern der Universität gemeinsam Ihre Projekte im vom Rechenzentrum bereitgestellten Webfrontend GitLab verwalten. - DFN Terminplaner
Datensparsame Alternative zu Doodle, die ohne Werbung auskommt. - Videokonferenzen
Mit dem Videokonferenzangebot des DFN können Sie Videokonferenzen mit guter Ton- und Bildqualität und ohne Sicherheitsrisiken durchführen. Zudem können Sie ohne Installation im Browser arbeiten und Teilnehmer ohne Anmeldung einladen und sogar eine Teilnahme per Telefon ist möglich. - Dateianhang-Uploader
Übergroße Dateianhänge per Mail verschicken oder über Verteilerlisten versenden? Dazu ist der Uploader das richtige Angebot.
Use Cases oder praktische Beispiele
Die hier aufgeführten Dienste sind nur typische Beispiele. Die Auswahl bedeutet nicht, dass Dienste anderer Anbieter nicht ebenfalls kritisch hinterfragt werden sollten.
Dropbox
Dropbox ist ein kommerziell angebotenes Cloud Speicher Angebot. Es erlaubt einfaches Synchronisieren und Verteilen von Dokumenten aller Art auf diversen Plattformen. Die oftmals in anderen Programmen angebotene Integration von Dropbox erschwert die Kontrolle über die Datenflüsse.
Nutzen Sie Dropbox nur für unproblematische Dokumente und keiensfalls z.B. für Personaldokumente wie z.B. Bewerbungsunterlagen.
Auszug aus den Nutzungsbedingungen von Dropbox:
Wir sammeln und verwenden die folgenden Daten, um unsere Dienste anbieten, verbessern und schützen zu können:
Konto – Wir sammeln Informationen (und verknüpfen diese mit Ihrem Konto) wie Ihren Namen und Ihre E-Mail-Adresse, Telefonnummer, Zahlungsinformationen, Postanschrift und Kontoaktivität. Über einige unserer Dienste können Sie auf Ihre Konten und Informationen zugreifen, die Sie bei anderen Dienstanbietern hinterlegt haben.
Dienste – Mit unseren Diensten möchten wir es Ihnen möglichst einfach machen, Ihre Dateien aufzubewahren, mit anderen Nutzern zusammenzuarbeiten und über mehrere Geräte hinweg zu arbeiten. Zu diesem Zweck werden Ihre Dateien (dazu gehören neben Dateien auch Nachrichten, Kommentare, Fotos usw.) sowie zugehörige Informationen von uns gespeichert, verarbeitet und übertragen.
Prezi
Die Präsentationslösung Prezi, erlaubt – anders als PowerPoint oder LaTeX Beamer Class – eine nicht-konsekutive und interaktive Präsentationsweise. Darüber hinaus ist Prezi auf fast allen Platformen mit Browser oder in einer eigenen Applikation (für iOS) verfügbar. Die Präsentationen können mit einer speziellen Lizenz auch offline angezeigt werden, allerdings ist die Synchronisation mit mobilen Geräten nur über einen Prezi-eigenen Cloud Speicher möglich. Dieser erlaubt es jedoch auch, die Präsentationen in ihrer ursprünglichen Form mit Studierenden oder Projektpartnern zu teilen und sogar gemeinsam zu bearbeiten. Eine kostenlose Lizenz von Prezi ist verfügbar, die aber ausschließlich das Speichern von Präsentationen in der Prezi-Cloud erlaubt.
Solange Sie nur eigenes Material (Texte, Bilder usw.) oder Material, das keinen Urheberrechtsschranken unterliegt, in einer Prezi-Präsentation verwenden, gibt es keine Einschränkungen zu beachten.
GitHub / Sourceforge Software Repository
Ein Anwendungsfall für Wissenschaftlerinnen und Wissenschaftler mit starkem Anteil in der Software-Entwicklung ist die Speicherung und Versionierung von Open-Source Software in öffentlich zugänglichen Repositories. Entsprechende – für kleinere Softwareprojekte – kostenlose Dienste werden von Sourceforge oder GitHub zur Verfügung gestellt. Diese Dienste erlauben die Synchronisation und auch den gemeinsamen Zugriff und die Konfliktlösung bei der gemeinsamen Softwareentwicklung.
Bei Open-Source-Software ist keine Problematik vorhanden. Bei der Entwicklung anderer Software mit Schutzbedarf oder auch im Auftrag von Firmen kommt eine Benutzung von Sourceforge oder GitHub nicht in Frage.
Skype
Skype ist eines der meist genutzten Tools für Videokonferenzen oder Telefonate über das Internet.
Ein Blick in die Nutzungsbedingungen zeigt allerdings, dass damit im dienstlichen Umfeld erhebliche Risiken verbunden sein können:
Soweit dies notwendig ist, um Ihnen und anderen die Dienste bereitzustellen (z. B. durch das Ändern von Größe, Form oder Format Ihrer Inhalte zur besseren Speicherung oder Anzeige), um Sie und die Dienste zu schützen und um die Produkte und Dienste von Microsoft zu verbessern, gewähren Sie Microsoft eine weltweite und gebührenfreie Lizenz für geistiges Eigentum zur Verwendung Ihrer Inhalte, z. B. um Kopien Ihrer Inhalte zu erstellen oder Ihre Inhalte aufzubewahren, zu übertragen, neu zu formatieren, mithilfe von Kommunikationswerkzeugen zu verteilen und über die Dienste anzuzeigen
Google bietet eine große Anzahl an Diensten in der Cloud an. Die sicherliche bekanntesten Lösungen sind Mail, Kalender, Kontakte und Docs. Alle diese Dienste sind integrieren sich in den Browser und die Daten sind jeweils im anderen Dienst benutzbar. Die leichte Nutzbarkeit und insbesondere die Möglichkeit gemeinsam an Dokumenten zu arbeiten sind gern genutzte Vorteile.
Alle Daten werden auf Google-Servern weltweit gespeichert und zum Teil auch für interne Auswertungen von Google genutzt.
Für dienstliche Aufgaben eignen sich deshalb die Google-Dienst nicht. Insbesondere Personalangelegenheiten und andere schutzwürdige Dokumente und Informationen dürfen dort nicht gespeichert oder ausgetauscht werden.