Sicherheit in der Cloud: Können US-Behörden meine Daten abgreifen? | RA Solmecke
Вставка
- Опубліковано 13 лис 2020
- Wir benutzen in der Kanzlei WBS die cloudbasierten Software Legalvisio und CenterDevice. Diese greifen wiederum auf Amazon Web Services (AWS) als Cloud-Dienst zurück. Aber wie steht es um den Datenschutz in der Cloud? Am Beispiel von AWS erklären wir euch in diesem Video alles rund um die Cloud und das Datenschutzrecht.
Weitere Videos:
Cloud Computing : SaaS : PaaS : API : OnDemand:
• Cloud Computing : SaaS...
Cloud Computing - Google Drive ist gestartet:
• Cloud Computing - Goog...
Rechtsanwalt Christian Solmecke
Christian Solmecke hat sich als Rechtsanwalt und Partner der Kölner Medienrechtskanzlei WILDE BEUGER SOLMECKE auf die Beratung der Internet-, IT- und Medienbranche spezialisiert. So hat er in den vergangenen Jahren den Bereich Internetrecht/E-Commerce der Kanzlei stetig ausgebaut und betreut zahlreiche Medienschaffende, Web 2.0 Plattformen und App-Entwickler.
Neben seiner Kanzleitätigkeit ist Solmecke Geschäftsführer des Deutschen Instituts für Kommunikation und Recht im Internet an der Cologne Business School (www.dikri.de). Dort beschäftigt er sich insbesondere mit den Rechtsfragen in Sozialen Netzen. Vor seiner Tätigkeit als Anwalt arbeitete er über 10 Jahre als freier Journalist und Radiomoderator (u.a. für den Westdeutschen Rundfunk).
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Virtueller Kanzlei-Rundgang: wbs.law/rundgang
Startet euren Rundgang in 3D und 360°durch die Kanzlei WBS (inkl. UA-cam-Studio)
▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
Social Media-Kanäle von WBS
Wir freuen uns, wenn du uns auch auf unseren weiteren Social Media Kanälen besucht und uns dort folgst. Jeder unserer Kanäle steht für sich und bringt dir garantiert einen Mehrwert.
▬Recht2Go auf Instagram▬
Auf unserem neuen Instagram-Kanal Recht2Go räumen wir täglich mit Rechtsirrtümern auf und präsentieren dir rechtliche Life-Hacks. I&U TV (produziert stern TV) kümmert sich um Realisation, Verpackung und Produktion des Ganzen. Es gibt es jede Woche ein Oberthema, zu dem wir dich täglich mit spannenden Infos versorgen. Im Mittelpunkt werden Instagram-Stories mit all den inzwischen vorhandenen Funktionen wie z.B. Quizelementen stehen. Dazu begleitend: Instagram-Posts und IGTV-Langvideos. Aha-Momente sind vorprogrammiert! Folge uns auf Recht2Go und du kannst vor deinen Freunden mit neuem Wissen glänzen. Hier der Link:
➥ wbs.law/recht2go
▬Discord▬
Unser Discord-Server dient insbesondere der Unterstützung dieses UA-cam Kanals. Nutzerfragen, Challenges, Themenvorschläge - all das kannst du dort posten und natürlich Gleichgesinnte treffen und dich austauschen. Schau gerne vorbei. Hier der Link:
➥ wbs.law/discord
▬Podcasts▬
Du bist unterwegs, unter der Dusche oder hörst einfach gerne Podcasts? Dann haben wir etwas für dich: Höre die Tonspur unserer Videos täglich auf Spotify, Soundcloud und iTunes. So bleibst du immer aktuell! Hier die Links:
➥ wbs.law/spotify
➥ wbs.law/soundcloud
➥ wbs.law/apple
▬Twitter▬
Erfahre als erster, wenn es wichtige Rechts-News gibt. Knackige Statements zu aktuellen Themen bekommst du auf unserem Twitter-Account! Stay tuned! Hier der Link:
➥ wbs.law/twitter
▬Instagram▬
Du willst rechtlich immer auf dem Laufenden bleiben und gerne interessante Einblicke in den Kanzlei-Alltag bei WBS erhalten? Dann bist du bei uns auf Instagram goldrichtig. Hier der Link:
➥ wbs.law/instagram
▬Facebook▬
Auf Facebook sind wir inzwischen schon alte Hasen, denn seit Jahren informieren wir dich dort täglich über aktuelle Rechts-News. Gerne kannst du uns dort auch eine Anfrage als private Nachricht schicken. Schau vorbei! Hier der Link:
➥ wbs.law/facebook
▬Unser Zweitkanal▬
Unseren weiteren UA-cam-Kanal „WBS-Die Experten“ kennst du, oder? Wenn nicht, dann unsere dringende Empfehlung: Schau rein! Denn hier erfährst du immer donnerstags ausführlich alle wichtigen Infos zu unseren Rechtsbereichen - präsentiert von sechs unserer Top-Rechtsanwälte. Ob Medienrecht, Urheberrecht, Markenrecht, Social-Media-Recht, Verkehrsrecht oder Datenschutzrecht: Das alles und mehr nur auf unserem Zweitkanal und zwar aus erster Hand von unseren WBS-Experten. Hier der Link:
➥wbs.law/dieexperten
▬Kontakt▬
Hotline: 0221 / 400 67 550
E-Mail: info@wbs-law.de
⏵Video produziert von: So geht UA-cam (www.so-geht-youtube.de)
11:38
Schön, dass du gerade jetzt die Verschlüsselung so lobst, wo sie doch in der EU künftig nur noch mit backdoor erlaubt sein soll...
hacken leicht gemacht: eine Lücke finden und eine ganze Generation an Protokollen ist wertlos :D
Ich denke bei dieser Backdoor-Forderung geht es um die Ende zu Ende Transportverschlüsselung auf Kommunikationswegen (Whatsapp, etc.). Wenn ich aber über diesen dann nicht mehr wirklich sicheren Weg stark eigenverschlüsselte Daten schicke, könnten diese zwar abgegriffen werden, wären aber dann vermutlich nutzlos.
Ich denke auch, diese geforderten Backdoors entpuppen sich als zahnloser Tiger, da die wirklich "bösen Buben" die Lösung einer zusätzlichen App finden werden, die sich zwischen Smartphone-Betriebssystem und beispielsweise Whatsapp schaltet und damit wieder die Verschlüsselung gegeben ist.
Die Backdoorlösung ist also nur was für die "Doofen", die es nicht verstehen oder nicht besser wissen, ähnlich dem Umgang mit den Drogenproblemen. Den kleinen Strassendealer greift man ab und die Großen bekommt man nicht oder lässt sie laufen....
@@der.Meier_de
So ist es immer. Es taugt nur für Massenüberwachung. Wie sempervideo schon gesagt hat, muss man bei solchen Gesetzen noch hinzufügen, dass Terroristen absolute Idioten zu sein haben, damit die das nicht einfach umgehen.
Bin jetzt dumm oder ist sind damit sogar die Daten in den USA besser geschützt als in der EU? Denn in den USA gibt es ja meine ich nur den Cloud Act, bei dem die Daten nicht unverschlüsselt herausgegeben werden muss (verschlüsselt geht auch). Bei der EU ist aber so, dass somit E2E Verschlüsselung bei den Messengern für den Staat nicht mehr geben würde und somit direkt darauf zugreifen können.
@@nussknacker2719 In den USA gibt es noch die Section 702 FISA und die Executive Order 12333, die den US-Geheimdiensten weitreichende Befugnisse zum Zugriff auf personenbezogene Daten ermöglichen.
Guten Tag Herr Solmecke,
kann er bitte ein Video machen zum Verbot (geplant?) der E2E Verschlüsselung damit Behörden private Nachrichten einfacher überwachen können
Ich persönlich finde es ne gute Idee
Was ist denn Ihre Meinung
Ja, sag ich auch schon seit ner Woche, upvote!
@@rossweissegremory9610 Du findest das Verbot gut?
Meine persönliche meinung ist ganz einfach
Korea, China und andere terrorisitsiche3 regime/diktatur sind abartig und zeugen davon was unsere species mensch ist.
diese bei uns einzuführen zeigt mir dass unsere regierung mitlerweile auf dem selben wegh ist und damit artikel 20 absatz 4 eingesetzt werdne muss wenn sie das durchsetzen zum schutz der öffentlichkeit des menschen/bürgers!
@@FiverRedfox Ich glaube wir sollten zunächst alle einmal politisch aktiv werden. Das heißt in Parteien eintreten und diese dann aktiv mitgestalten. Derzeit sind in den Parteien die Mehrheit der Leute 60+. Wir Jüngeren haben keine Lobby.
Wir meckern nur online, lassen diesem Ärger aber keine Wahlkreuzchen folgen. Wir haben noch längst nicht alle legalen Maßnahmen ausgeschöpft.
Und der erste Videovorschlag: Heise - Neuer Angriff auf Verschlüsselung. Danke Algorithmus.
Es ist kein Angriff, sondern die Abschaffung
@@arkadius386 Es ist kein technischer Angriff, sondern ein politischer Angriff. Dieser ist sogar dumm, weil er zeigt, wie wenig technisches Verständnis in der EU existiert.
Einfach richtig wählen, dann kann das verhindert werden.
Es gibt Parteien, die setzen sich dafür ein, dass die Verschlüsselung nicht unterlaufen wird: dip21.bundestag.de/dip21/btd/19/096/1909605.pdf
@@OpenGL4ever Leider wähle ich dann im Gesamtpaket Rassismus und Menschenverachtung mit. Dann lieber keine Verschlüsselung.
@@moby3012 Nö, wieso solltest du das wenn du AfD wählen würdest?
Die AfD ist schließlich weder rassistisch, noch menschenverachtend. Aber du kannst mir gerne erklären, wie es dann, also wenn du recht hättest, bspw. der gute Herr Achille Demagbo oder der gute Herr Harald Weyel oder der gute Herr Homib Mebrahtu es alle in wichtige Positionen der AfD geschafft haben sollen, wenn die AfD, wie du behauptest, rassistisch sein soll?
Hier sind ein paar Beispiele der genannten Personen:
ua-cam.com/video/uKaPyd8Q_8A/v-deo.html
und
ua-cam.com/video/R1fO80t3oh4/v-deo.html
Oder wie erklärst du dir dann diese Rede von Frau Beatrix von Storch?
ua-cam.com/video/ZeqTSbhVDow/v-deo.html
Tja und dann ist die AfD auch noch eine wirtschaftsliberale Partei und keine Sozialistische, wie es bei rassistischen Parteien der Fall wäre.
Irgendwie passt da deine Vorstellung von der AfD nicht mit der Realtität der AfD zusammen. Aber du kannst gerne dazu mal Stellung nehmen.
Seit Edward Snowden wissen wir, dass alles, was unverschlüsselt unseren PC ins Internet verlässt, von irgendjemanden gelesen werden kann.
Auch verschlüsselt :)
NSA hat nen Generalschlüssel zu Google, Apple, MS und Konsorten.
@@billigerfusel "Was unverschlüsselt unseren PC verlässt". Damit meine ich, dass der User selbst bereits verschlüsselt. Nicht von Google, Apple oder Konsorten verschlüsseln lässt.
@@GoMrTom Auch die SSL Schlüssel haben Hintertüren und zudem kommen ja wohl bald die Quanten Computer. P.S. mir einem Raspberry Pi 3 kann man schon bei einer Brute-Force Attacke so ca. 5.000 Passwörter in der Sekunde probieren. Macht man das in Verbindung mit dem Hashwert so muss man nicht mal alle Kombinationen probieren.
Bei einem achtstelligen sehr guten Password mit Sonderzeichen, Zahlen Groß- und Kleinschreibung sind das 8^32=79.228.162.510.000.000.000.000.000.000 Kombinationen.
Aber der Hashwert reduziert das erheblich und es wird kein kleiner Raspberry Pi verwendet sonder Super Computer!
@@billigerfusel Aha, wo liegt denn der Generalschlüssel so rum und wie funktioniert der? Das erklär mal. Finde solche Aussagen nämlich spannend.
Eine kleine Perfektionismus-Anmerkung: 8^32 = 79.228.162.514.264.337.593.543.950.336. Die Anzahl der Kombinationen von 8 verschiedenen Zeichen aus einer Auswahl von 32 möglichen Zeichen ist aber auch nicht 8^32 sondern 32^8 = 1.099.511.627.776. Zuletzt passt auch die 32 nicht, da das erst einmal das Alphabet mit 26 Buchstaben und 6 weiteren Zeichen wären. Es wären also mindestens 26 Grußbuchstaben, 26 Kleinbuchstaben und 10 Ziffern was 72 ergibt. Dann noch die Sonderzeichen. Das ist etwas offen, wie viele man da hinzuzählen möchte.
🙂
Vielen Dank für die objektive Beurteilung dieses oft sehr emotionalen Themas, Herr Solmecke. Als Tech Lead für den Bereich Google Cloud bei einem der größten IT Dienstleister ist das ein Diskussion die ich beinahe täglich mit unseren Kunden führe und leider gibt es da teilweise eklatante Missverständnisse und Vorurteile. Ein weiteres Argument für die Sicherheit in der Cloud möchte ich noch ergänzen: Alle großen Cloud Provider haben ein größtes, intrinsisch motiviertes Interesse am Thema Datenschutz, da jeder Skandal mit sofortiger Wirkung dafür sorgen würde, dass alle Kunden abspringen und damit in der Sekunde ein Milliardengeschäft wegbricht. Das Riskiert keiner der großen Player leichtfertig.
An alle Skeptiker: Erstmal herzlich willkommen in der Cloud, der Infrastruktur über die ihr gerade dieses Video anseht. Um euch noch weiter zu desillusionieren, möchte ich euch mal bitten kurz zu recherchieren wo überall Cloud genutzt wird. Das ist nämlich nahezu jedes Unternehmen, angefangen vom kleinen Startup, über den Deutschen Mittelstand, bis zum DAX Konzern. Egal ob ihr über die Deutsche Bahn ein Ticket bucht (DB hat kürzlich die gesamte Infrastruktur in die Cloud migriert), fleißig Back Friday Shopping betreibt (Sowohl online, als auch offline) oder eine Überweisung tätigt: im Hintergrund ist schon heute in nahezu allen Fällen eine Public Cloud im Einsatz (Bedeutet: Microsoft, Google oder Amazon). Allein, dass das in dem Ausmaße möglich ist, sollte schon mal einige Zweifel an der Sicherheit ins Wanken bringen. Fakt ist nämlich, dass sämtliche Public Cloud Provider nach allen Regeln der Kunst und sämtlichen relevanten Sicherheitsstandards (ISO, SOC, PSI, BSI C5,...) zertifiziert sind. Wie im Video beschrieben sind die Rechenzentren mit deutlich höheren Standards gesichert als nahezu jedes konventionelle Rechenzentrum. De Facto ist Cloud Computing also alles andere als unsicher, sofern man die Technologie richtig einsetzt. Aber gleiches gilt auch für klassische Data Center.
Wenn ihr also das nächste mal drüber nachdenkt ob ihr eure Urlaubsfotos in der Cloud sichern wollt, führt euch erst nochmal vor Augen, dass die Cloud sogar strengsten Anforderungen von Behörden und Banken entspricht...
Niemand hat die Absicht eine Mauer zu errichten!
Wurde gesagt, die Mauer kam.
Nein das war ein schiker Raum trenner
Das hat doch Merkel gesagt
blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Kannst du mal ein Video zum neuen EU-Gesetz machen, das bei der Ende-zu-Ende-Verschlüsselung Hintertüren fordert, damit die Behörden Zugriff auf die Daten haben?
Könntet ihr ein Video über den Generalschlüssel zur Verschlüsselung der EU machen?
Mega interessant
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Bin sehr beeindruckt von Ihren IT-Kenntnissen :-)
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Cloud, oder: "There is no such thing as a cloud. It's only other people's computers."
Verschlüsselung?
1. Wenn die Dienste an den Key kommen, ist die Verschlüsselung obsolet.
2. Es erscheint nur eine Frage der Zeit, bis Quantencomputer die meisten heute gängigen Verschlüsselungen ad absurdum führen werden. Und man darf sich fragen, wer wohl als erster solche Rechner in Dienst stellen wird........
sehr richtig
Stimmt. Kleine Anmerkung zu Punkt 2: Symmetrische Verschlüsselung mit 256 Bit ist weiterhin sicher (entspricht dann heutigen 128 Bit) und es gibt auch ein paar Algorithmen für asymmetrische Verschlüsselung, die sicher gegenüber Quantencomputern sind, die sind allerdings nicht ganz so effizient (die öffentlichen Schlüssel sind so im Bereich von 1 kB bis 1 MB, statt 32 Byte für ECC)
Amazon Google und NSA betreiben doch schon heute Quantencomputer Farmen. Bei Amazon kannst du sogar Quantencomputer (zeitweise) Mieten ...
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Zu dem Punkt: Amazon kann die Daten nicht sehen, denn sie sind verschlüsselt.
Das gilt NICHT, wenn die Verschlüsselung auf Basis des Betriebssystems, oder der Festplatte passiert. Sobald der Server an ist, und das Betriebssystem zugriff auf die Daten hat muss nun geährleistet sein, dass Amazon unter KEINEN Umständen Zugriff auf das laufende System bekommt. Denn so lange das BS zugreifen kann, kann jeder der in das BS rein kommt auch auf die Daten zugreifen. (Hier sind auch die sogenannten Row-Hammer-Angriffe interessant zu recherchieren - gerade bei Cloud-Servern!)
Eine Fesplattenverschlüsselung hilft also maximal bei Diebstahl. (Beim Hochfahren muss ein Schlüssel eingegeben werden.) Läuft das System, und Amazon hat irgendeine Hintertür drin (auf Weisung einer amerikanischen Behörde z.B.), dann können die Daten abfließen. Hier gilt es unbedingt sicher zu stellen, dass dies nicht möglich ist (zumindest bei einer RA-Kanzlei, Ärzten, anderen Berufsgeheimnisträgern).
AWS kann sich nämlich immer "dazwischen" schalten, und bei dem Update einer Bibliothek des BS etwas einbauen. Das ist hier leider nicht analog zur Verschlüsselung wie bei WhatsApp, Signal, Threema u.a.
Oder ein Angreifer kennt eine Sicherheitslücke der genutzten Cloud-Software, der Webserver ist fehlerhaft konfiguriert - aber dies betrifft dann nicht AWS, sondern den IT-Dienstleister mit dem man einen Wartungsvertrag abgeschlossen hat.
Kurz: Wenn ich die Daten sehen kann, sind sie in dem Moment nicht verschüsselt für alle die auf das Betriebssystem zugreifen können. (Soltle es eine Datenträgerverschlüsselung auf BS-Basis sein.)
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Besser als AWS oder MS Azure ist der Aufbau einer eigenen Cloud in einem deutschen Rechenzentrum z.B. mit OwnCloud oder NextCloud. Das ist zwar mehr Arbeit aber dafür US unabhängig.
Wie schön, dass Verschlüsselung auf EU Ebene bald ausgehebelt werden soll.
Dann benutzt man andere Services wie z.B Google Cloud oder Microsoft Azure
@@electricz3045 Und das bringt was genau?
@@Doping1234 Die heben die Verlüsselung nicht auf denke ich und bei Amazon wählt man dann halt Serverstandorte außerhalb Deutschlands da bleiben die Verschlüsselt
@@electricz3045 Wenn EU Gesetze ein Backdoor verlangen wird das für alle Dienstleister gelten. Und pers. Daten aus der EU zu bringen ist auch kaum möglich.
Es geht sich afaik nur um Chat-Apps. Was bescheuert ist weil Terroristen entweder digitale tote Briefkästen verwenden oder sich einfach eine verschlüsselte Chat app selber bauen, dauert mit Stack overflow 20 Minuten
Sehr schönes Video, dass war 2016 für mich noch ein Akt Cloud rechtskonform für Aufträge der Justizoberinspektion zu bekommen. Finde ich mega gut dass WBS das jetzt thematisiert, sonst ist's mit der Digitalisierung nämlich bissl hin.
Und genau deshalb baue ich immer eine individuelle Cloud-Lösung von File-Sharing, über gemeinsames Arbeiten am selben Dokument, Kalender, Kontakte, Videokonferenz. Alles nur auf Servern in Deutschland eines Anbieters meines Vertrauens. Nennt sich Nextcloud und funktioniert ohne Probleme. 80 Leute in ner Videokonferenz in verschiedenen virt. Räumen, Gruppenberechtigungen, individuelle Freigaben, ohne dass die anderen überhaupt einen Account brauchen. Zugriff erst nach Video-Identifikation. - You name it, we got it :D
nextcloud ist halt das Top Produkt, vor allem mit dem Business support
@@nervenjere yip! Wenn ich meinem Kunden nicht mehr gefalle (Warum auch immer), können die einfach meinen Wartungsvertrag kündigen, und dort direkt einen Abschließen. Wunderbare Sicherheit für meine Kunden!
Mach mal was dazu, dass nun alle Messenger eine Backdor für die Verschlüsselung einbauen sollen.
Die Kesy zur Entschlüßelung liegen häufig bei den Hostern. Im Falle Edward Snowden wurden das Unternehmen gezwungen diese rauszugeben, was sie auch taten, in Schriftgröße 1, worauf hin sie aufgeforderte wurden die Daten in einem Lesbaren Format herrauszugeben, daraufhin wurde die Firma geschloßen und die Verantwortlichen haben vermutlich das Land verlassen. Steht auf Wikipedia in irgendeinen der Geheimdienst Affären, musste selber suchen:
de.wikipedia.org/wiki/Liste_der_Geheimdienst-Aff%C3%A4ren_Deutschlands
blöde frage. bei uns wird von den amis mit wissen der bundesregierung alles abgehört.
Zusammenfassung: Aber nein aber ja aber nein aber ja natürlich
lol
Habe eine Präsentation über Google Cloud innerhalb meiner Abteilung gehalten und bin genau auf dieses Thema sehr genau eingegangen. Gerade dort, wo ich arbeite (IT Abteilung einer Bank), ist das Thema Datenschutz ziemlich wichtig.
Meine Daten, die ich dort abspeichere, sind keine wichtigen Daten, aber dennoch habe ich diese verschlüsselt.
Endlich mal ein interessantes Werbevideo für den Amazon Web Service (AWS).
😉
Anders kann ich mir den Bullshit auch nicht erklären.
"Macht" AWS nicht auch die Tyre Graphics bei der Formel 1?
Ich bin selbst in der IT tätig und ja, verschlüsselt abgelegte Daten in der Cloud sind ok solange kein Backdoor eingebaut wurde oder der Key irgendwo heraus kommt.
Aus der Erfahrung mit Großkunden: die meisten tendieren trotzdem dazu, ihre Storage Cloud selbst zu betreiben, eben wegen solcher Bedenken und bisher hatte ich noch keine Kunden, die auch die Berechnungen, Verarbeitung, etc. in eine externe Cloud auslagern. So groß ist das Vertrauen in die Cloud dann doch nicht. Durchaus gerechtfertigt: wenn die verschlüsselten Daten nebst Key aus der Cloud geladen werden um dann in der Cloud entschlüsselt um dargestellt oder verarbeitetet zu werden, dann bleibt als Schutz nur das Vertrauen in den Anbieter.
TL;DR: verschlüsselt speichern ja, Rechenpower aus der Cloud nur für unkritische Daten, zum ausprobieren und dergleichen.
Alle Verschlüsselungen die in den USA entwickelt werden haben Hintertüren und zudem kommen ja wohl bald die Quanten Computer. P.S. mir einem Raspberry Pi 3 kann man schon bei einer Brute-Force Attacke so ca. 5.000 Passwörter in der Sekunde probieren. Macht man das in Verbindung mit dem Hashwert so muss man nicht mal alle Kombinationen probieren.
Bei einem achtstelligen sehr guten Password mit Sonderzeichen, Zahlen Groß- und Kleinschreibung sind das 8^32=79.228.162.510.000.000.000.000.000.000 Kombinationen.
Aber der Hashwert reduziert das erheblich und es wird kein kleiner Raspberry Pi verwendet sonder Super Computer!
@@gwkbnhsjea175 Ganz so läuft das nicht. Erst mal sind acht stellen beim Passwort schon lange nicht mehr gut, dann sind die Keys keine Passwörter, sind natürlich viel länger, wir haben auch hier gute Mathematiker und dann ist die aufgestellte Rechnung auch noch falsch herum.
Ich lasse die Details mal aus: doch geht, bleibt trotzdem knackbar, ist eine Frage des Geldes, meistens scheitert's an der Umsetzung und nicht an der Verschlüsselung.
PS: ach komm, kurz Mathe: a-z, A-Z, 0-9 sind 26+26+10 = 62 Möglichkeiten pro Stelle. Bei 8 Stellen insgesamt also 62^8 ≈ 2^(6*8) = 2^48, also 48 bit. Selbst stone-age MD5 hat 128 bit, aber das nimmt man nicht zur Verschlüsselung und auch für Passwörter schon lange nicht mehr, da bin ich sehr für bcrypt und dergleichen, was mal eben die Verhashung von mehreren hundert Millionen pro Sekunde auf 20 ausbremst (Stück, nicht Millionen) - klar, alles wieder skalierbar. Für die Verschlüsselung sind wir eher bei 2048 bit oder mehr. (Für nicht-Techniker: pro weiterem bit sind das doppelt so viele Möglichkeiten zum ausprobieren.)
Die einzelnen Files werden symmetrisch verschlüsselt und da sind wir bei typischerweise "nur" 256 bit. Die sind mit entsprechendem Aufwand eventuell machbar, geht schnell kostentechnisch in die zig Millionen und muss dann pro File wiederholt werden, ergo unrentabel. Gibt auch etliche einigermaßen frei entwickelte und n mal als sicher belegte Implementierungen, also das passt schon.
PPS aka Ende mit Mathe: Viel Erfolg versprechender sind da schlechte Implementierungen der eigentlichen Software. Manche legen die Keys gar in eine andere Cloud (seltener sogar in die gleiche - alles schon gesehen), häufiger sieht man, dass das auf der Platte herumliegt wo er Server läuft (abgeschottet, aber wie es im Video schon hieß, kommt manchmal gar die Putzfrau dran - große Firmen haben dafür Rechenzentren in die man nicht eben herein spazieren kann), besser wäre z.B. ein Vault, also eine Art Safe für solcherlei Schlüssel und das wird auch in der Praxis so gemacht, _wenn_ es denn richtig implementiert wurde.
Auch Erfolg versprechend: den Dienst selbst angreifen und ein anderes Konto übernehmen. Auch da gibt's die wüstesten Fehler (Benutzerkennung im Cookie oder im URL, eine Rechtegruppe für alle, ...). Aber da gehen wir mal davon aus, dass zumindest WBS das gut gemacht hat, immerhin sind Anwaltsdaten auch ziemlich kritisch und rechtlich schnell im Fokus.
PPPS: für interessierte ein Beispiel auf Englisch: ua-cam.com/video/7U-RbOKanYs/v-deo.html
Kommt von ihnen ein Video zum aktuellen Vorhaben der EU, die Kommunikationsdienste zu zwingen in ihre End-to-End Verschlüsselung ein Backdoor einzubauen?
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Das ist alles nur geCloud!
Eo eoo
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Wo der Schlüssel liegt (also in der jeweiligen Kanzlei) ist nur die halbe Miete. Man muss auch die Frage klären, wo die Entschlüsselung erfolgt. Erfolgt diese in der Cloud dann hat es sich mit der Sicherheit.
Wer hindert den Cloud Anbieter daran, den Schlüssel (der muss an den Entschlüsselungsdienst übermittelt werden) abzufangen? Dieses Problem kann man lösen. Aber der Entschlüsselungsprozess ist ungesichert und da kann man sich einklinken. Besonders dann, wenn die Entschlüsselungsdienste vom Cloud Anbieter bereit gestellt werden. Nur wenn ich die Funktionen auf einem eigenen Server selbst installiere und kontrollieren kann, kann man durch entsprechende Kontrollmechanismen zu 99% sicher stellen, dass sich niemand in Datenstrom einklingt und mitliest.
Als Sicher im Sinne State of the Art kann meiner Ansicht nach nur dann gesprochen werden, wenn der Schlüssel nur lokal auf dem Client liegt und nicht ein Bit davon in die Cloud gesendet wird.
Für einen Cloud Anbieter wie Amazon sind die Klartextdaten eher uninteressant. Amazon interessiert sich primär für die Metadaten. Vereinfacht dargestellt kann man mit Metadaten ermitteln wie erfolgreich ein Service ist, wie man daran partizipieren kann bis hin zu dem Punkt aus den Metadaten einen eigenen Service zu entwickeln. Im Bereich der Shop-Platform von Amazon ist dies seit Jahren bittere Realität.
Ich habe in meiner beruflichen Tätigkeit diverse sogenannte Transitions zu AWS, Azure ... begleitet. Es war kein einziges Projekt dabei, in welchem die gewünschte Kostenreduktion erzielt wurde. Am Ende vielen die Kosten durch AWS stets höher aus, als der eigene Rechenzentrumsbetrieb mit allem drum und dran.
Der Trend hin zu AWS, Azure und Co. stellt für unsere Gesellschaft eine größere Bedrohung dar, als Corona. Europa macht sich digital abhängig von den USA abhängig. Was würde einen US Präsidenten daran hindern, Amazon und Microsoft mal eben die Bereitstellung der Clouddienste für Europa zu untersagen?
Ich finde es erschreckend, wie sehr man sich mit der Sicherheit bei AWS und Co. beschäftigt anstelle den Datenschutz bei der Emailkommunikation zu betrachten.
Emailprovider sind verpflichtet, auf Anordnung die Passwörter zu den Emailkonten heraus zugeben. Damit können die Behörden die besonders geschützte Kommunikation mit einem Anwalt mitlesen ohne eine "Durchsuchung bei dem Anwalt".
Paranoid? Mag sein. Aber wer kontrolliert die Kontrolleure? Kann man noch Rechtsstaatlichkeit sprechen, wenn es keine zwingende Verpflichtung gibt, dass die Behörden den Betroffenen nach Abschluss der Ermittlung aktiv informieren müssen?
Bei dem Datenabgriff durch Behörden fehlt mir die Transparenz. Was ist noch Verhältnismäßig und was nicht? Wer entscheidet das? Ethik?
Man kann unterschiedlicher Ansicht an dieser Stelle sein. Ich denke, dass wir hier in Deutschland in einem Land leben in welchem Daten vor Behörden gut geschützt sind.
Für mich liegt das Problem an einer anderen Stelle. Der jeweilige Provider muss die Passwörter im Klartext vorhalten. Damit der Provider dieser gesetzlichen Auflage folgeleisten kann, muss er IT Systeme vorhalten, die nicht zu 100% abgeschottet werden können. Damit sind die System für Black Hats angreifbar. Ich bin davon überzeugt, dass diese Systeme auf der Liste der lohnendsten Angriffsziele ganz oben stehen, da die meisten Nutzer für all ihre Onlinekonten ein und das selbe Passwort verwenden.
Der Gesetzgeber rechtfertigt seine Gesetze mit Sicherheit. Er bedenkt aber nicht, dass er damit eher das Gegenteil erreicht.
Meine Empfehlung: Wer immer kann sollte seinen eigenen Mailserver betreiben.
Es geht bei Hosting auf einer US Cloud um die local based Legal dh Legal nicht nach Datacenter Standort sondern lt Legal Impressum also US LEGAL! gilt für AWS AZURE GCP IBM ORACLE usw
Ich sehe schon den Tag kommen, an dem (wie ich) an einem vom Netz getrennten Stand-Alone-Rechner gearbeitet wird. Der Datenaustausch via verschlüsseltem USB-Stick statt findet. Ein "Abgreifer" dieses Sticks nach einer mühseligen Entschlüsselung lediglich Katzenbilder und Kochrezepte mit freundlichen Grüßen vorfindet 😁
Mal ein Themenvorschlag. Führen eines durch Betrug erlangten Doktortitels und die Auswirkungen auf den ausgeübten Beruf.
Mal so ganz ehrlich, Christian, warum begebt Ihr Euch in den vendor-lock-in bei Amazon? Für solche Cloud-Backends gibt es doch massenhaft Rechenzentren innerhalb Deutschlands, die von deutschen Hostingfirmen betrieben werden!
Sehr guter, sachlicher und unemotionaler Beitrag. Ohne Mutmaßungen.
Danke!
Nachdem ich mich jetzt länger mit der Verschlüsselung von Amazon beschäftigt habe muss ich sagen es ist absolut keine Garantie für die Sicherheit der Daten vor Amazon selbst. Zum einen läuft die Entschlüsselung und Verschlüsselung bei der Nutzung von Amazon Diensten bei Amazon ab, die Daten liegen also kurzzeitig entschlüsselt vor. Zum anderen ist bei der Nutzung von AWS Key Management Service der Key auch bei Amazon gespeichert. Vorteil der Verschlüsselung ist nur, dass sie auf den Servern verschlüsselt liegen. Trotzdem muss man Amazon vertrauen nicht den Key oder während der Verarbeitung entschlüsselte Daten herauszugeben. Das hat man allerdings bei jedem Dienstleister dieser Art. Ist nur die Frage für wen man sich entscheidet.
Bei einem Selbstverwalteten Schlüssel muss dieser für die Verarbeitung der Daten immer noch an Amazon übertragen werden, auch wenn dieser nie gespeichert wird (werden muss).
Ist dann nur die Frage wo die Daten zur Nutzung entschlüsselt werden: serverseitig? und *wusch* die USA kommen auch an eure Kundendaten 😂
Achja AWS KMS. Ich denke entweder macht ihr Zwischendienstleister das für die Dokumente oder sie gehen darüber, dass AWS sich per AVV verpflichtet hat es nicht zu tun.
Es gibt Projekte da reicht KMS der Legal Abteilung nicht ansonsten wird das oft verwendet. Als Cloud Lösung die auch bei AWS liegen dürfe sind die Daten irgendwann unverschlüsselt bei Amazon. Allerdings nie während einer Übertragung oder gespeichert. Zumindest kann ich es mir nicht anders vorstellen.
@@MrTechguy365 egal wie, die Verschlüsselung wurde als Argument genannt, dass man sich im Zweifelsfall nicht auf die Rechtslage verlassen muss. Stimmt aber im Fall von serverseitiger Verschlüsselung nicht.
Ja. Da bin ich absolut deiner Meinung. Entweder verlässt du dich auf die Rechtslage oder auf eine Verschlüsselung die du wirklich kontrollieren kannst. Bei AWS den Haken "bitte verschlüsseln" reicht da nicht.
Warum bei Amazon hosten, es gibt genügend deutsche Hoster
Ganz ehrlich, die Legalvisio Seite sieht echt nach frühe 2000er aus. Das Layout, die Buttons, irgendwie alles. Zweckgebunden halt. Gefällt mir.
Das soll keine Kritik sein, ist mir nur aufgefallen.
Das Thema ist leider komplexer, als es hier dargestellt wird. Einfach verschlüsseln, schon kann man es in die Welt lassen, entschlüsselt eh niemand, ist zu einfach gedacht. Und auch die Millionen von Jahren sind eher ein Scheinargument. Vor 10 Jahren hätte man wohl auch nicht gedacht, mit einem Handy das heute Normale tun zu können.
Und das soll keine Verschwörungserzählung werden, fängt aber schon mit dem Verschlüsselungsalgotithmus an. Ist der wirklich so sicher? Und liegt der Schlüssel, mit dem verschlüsselt wird, auf einem Rechner, der per Internet erreichbar ist? Und ist der genauso abgesichert, wie wenn da die echten Daten liegen würden, oder vielleicht nicht so sicher, da ja keine Daten da liegen (man mit dem Schlüssel aber einfach Alles entschlüsseln könnte)?
Und wie herzlich egal den USA andere Gesetze sind, ist auch kein Geheimnis mehr. Würde ich mich als Anwalt oder Journalist nicht darauf verlassen, wenn schon die Kanzlerin keinen gesonderten Schutz genießen durfte.
Ist also leider nicht so einfach, Alles in US-Clouds hochzuladen...
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Interessant ist die aktuelle Entwicklung in Kalifornien zu den Datenschutzrechten: Wurde seitens meines Berufs bereits einmal aufgefordert lt. California Consumer Privacy Act (CCPA) personenbezogene Daten zu löschen.
Die Alt-Daten-Verschlüsselung in der Cloud kann in 10, 20... Jahren, wenn Quantencomputer einsatzfähig sind, durchaus noch zum Problem werden.
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
8:22 bei Megaupload.com waren >95% der Nutzer legale Nutzer, die Daten waren verschlüsselt und wie durch ein wundern konnte man die Verschlüsselung aufbrechen...
Der CTO von AWS trägt immer ganz nett ein "Encrypt everything" shirt. Was er uns wohl damit sagen will. Verschlüsselt eure Zeug bevor ihr es irgendjemand schickt oder irgendwo hochladet.
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Hallo Herr Solmecke, ich muss Ihnen Wiedersprechen: Quelle AWS: d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf
1. Die AWS AGB sind in English. Vertragssprache in Deutschland ist Deutsch
2. Bei der Verschlüsselung liegt der Schlüssel bei Amazon.
3. Laut DPA steht: Daten an Behörden weitergeben können.
4. Prüfrechte. Amazon gibt an, dass sie zertifiziert sind usw. Alles gut. Allerdings will Amazon die Prüfrechte der Auftraggeber nicht akzeptieren. Sie bieten Audition anderer Dienstleister an, die in ihrem Auftrag die Prüfrechte der Auftraggeber wahrnehmen. Aus rechtlicher Sicht, verzichtet der Auftraggeber somit auf seine Rechte und ist damit auch im Nachteil. Ähnlich verhält es sich mit den Prüfrechten der Aufsichtsbehörden.
Anmerkung: Amazon ist ein Global-Player, ebenso wie Google. Keines dieser Unternehmen, würde jemals einen AVV akzeptieren, den sie nicht selbst geschrieben haben.
Die Verschlüsselung sollte Client seitig sein, sonst können die alle eure Daten entschlüsseln. Auch bei Ende zu Ende Verschlüsselung, ist möglicherweise eine Firewall dazwischen die als "Man in the Middle" fungiert und den Token hat um Schadsoftware aus dem Datenstrom rauslesen zu können. Macht euch mal darüber schlau. Es reicht ja schon wenn man so eine Firewall kompromittiert um alles zu hören. Nehmen wir an es ist ein Deutscher Cloud Anbieter und der Verwendet "Checkpoint" mit Sitz in den USA als Lösung. Jeglicher Datenverkehr wird durch diese Software abhört und durchleuchtet und ggf. an den Server von Checkpoint gesendet der dort Analyse Algorithmen hat ===> Ergo die NSA kann indirekt nach Begriffen im Datenverkehr lauschen.
Ein Trick wäre die verschlüsselten Daten nochmals in Packete zu splitten und die getrennt zu speichern. Das Verfahten wurde schon in den 90er eingesetzt. Muss halt die Performance und ein paar Dinge beachten.
Nebel in der cloud?
Warum setzt man sich dann den Risiken von US-Unternehmen wie Amazon aus? Da macht es doch Sinn, gleich im Inland zu bleiben. Deutsche Unternehmen sind deutschem Recht unterstellt, wenn deren Infrastruktur in DE liegt (also kein US-Unternehmen). Außerdem kein Vendor-Lockin.
Man müsste wohl das CenterDevice DMS im Büro unterm Schreibtisch laufen lassen und AWS dürfte man höchstens als Speichermedium der bereits verschlüsselten Dokumente verwenden, dazu reicht S3 völlig aus. CenterDevice DMS selbst auf einer EC2-Instanz laufen zu lassen, dürfte hochgradig unsicher sein, dass die geheimen Schlüssel sich dann auf eben jener EC2-Instanz befinden würden. Auch ein KMS über AWS wäre selbstverständlich NCHT vertrauenswürdig.
Wie wärs wenn ihr Eure Software zu einer App transformiert? Da die Website schon da ist, gäbe es zwei Möglichkeiten:
1. Hybride App (Website gepackt in eine native App)
2. Code Portierung auf Flutter oder React-Native (pure native Performance)
Streng genommen liegt aber der "unbekannte" AWS Festplattenschlüssel *natürlich* unverschlüsselt im AWS Key Management System vor...
Sonst könnten sie ja beim Booten der Server nicht die Festplatte "öffnen" ;) aws.amazon.com/de/kms/
Es scheint aber - speziell für dieses System - separate Schlüssel für die Daten je Kanzlei zu geben...
In diesem Fall könnte AWS auch nur die verschlüsselten Daten sehen, die aufgrund der Anwaltstätigkeit sicher besonders hoch sind (mind. 3072 Bits), so das selbst die Herausgabe nichts nützen wird (so in den nächsten 5-15 Jahren... aufgrund von Quantenrechnertechnik und damit mögliche Leistungssteigerungen kann sich das aber unerwartet schnell ändern).
Es gibt keine Cloud. Das sind nur die Rechner von anderen Firmen.
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
@@anetkryptopreneurin7225 hä?
@wbs
Was ist wenn die US-Behörden dem US-Unternehmen befehlen die Daten zu löschen? Soll es ja auch schon gegeben haben
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Immer wenn jemand Daten verschlüsselt, fällt irgenwo ein NSA-Mitarbeiter lachend vom Stuhl
Und nicht nur bei der NSA...
Nicht zwingend. Kommt darauf an, was genau mit "verschlüsselt" gemeint ist.
Ja, das können sie, und das machen sie. Auch nur aus Neugier. Industriespionage.
AWS speichert per "default" Daten verschlüsselt at-rest (d. h. auf der Platte), das bedeutet aber nicht, dass diese nicht gelesen werden können.
Denn: Die Daten werden auch innerhalb von AWS wieder entschlüsselt.
Natürlich gibt es auch eine Verschlüsselung während der Kommunikation. Die Daten sind entschlüsselt auf dem Cloud-Rechner während der Verarbeitung.
Ich denke wir brauchen hier einen Snowden 2.0 um aufzuzeigen, wie ekelhaft die NSA hier schon innerhalb der AWS herumgeistert.
Besser: Cloud Anbieter (auch wenn nicht so viele Funktionen) innerhalb der EU verwenden, das fördert auch den Markt.
Beispiel (no affiliate): Hetzner.
Ich wusste nie, warum mein Arbeitgeber so großen Wert darauf legt, dass unsere Daten in einem Rechenzentrum in Deutschland gespeichert werden... Nun weiß ich warum. Wenn mich nicht alles täuscht heißen die Herbst und das Rechenzentrum liegt in Berlin. Kann mich aber auch täuschen.
Mich würde es mal interessieren wie es mit Cloudflare DNS und CDN aussieht. Wie soll man bitte eine Datenschutz Einwilligung holen wenn die Webseite über eine amerikanische IP Adresse bereitgestellt wird?
Unser RA meint, dass wir keine UA-cam Videos mehr auf unseren Sites verlinken dürfen, auch wenn wir einen Consentmanager einsetzen UND vor dem Abspielen des Videos noch einmal eine explizite Einwilligung einholen, so wie das auch viele öffentliche Seiten tun. Wie seht ihr das bei euch?
Ich hätte erwartet das das Anwaltsgeheimnis einen höheren Schutz bedarf. Verschlüsselungen sind Angreifbar mit Aufwand. Sich auf Papierverträge darauf zu verlassen das die Daten sicher sind finde ich naiv. In meiner Branche muss der Server (Cloud) auf Deutschen Boden stehen.
Wo liegt der Schlüssel für die Verschlüsselung bei Legalvisio?
Auf dem eigenen PC so wie bei Mega?
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Hi Christian und community! Wie beurteilt ihr den Newsletterversand über MailChimp an ca. 100 Abonnenten, großteils an Kunden (ca 97%) und einer Senderate von 4 Mal im Jahr? Wär gespannt auf fundierte Antworten!
Ich muss leider sagen anders als deine anderen Videos ist dieses Video relativ irreführend und teilweise naiv.
Erstmal spielt sichere Verschlüsselung für eine rechtliche Einordnung von Clouddiensten aus einem einfachen Grund keine Rolle und verwirrt nur: ein sicher verschlüsseltes Dokument kann ich überall hochladen und sogar veröffentlichen (z.b. auf meiner Homepage oder auf Wikipedia) niemand kann es lesen. Dementsprechend ist natürlich auch ein Hochladen in die Cloud erlaubt und deswegen ist für die rechtliche Einordnung nur relevant ob ich unverschlüsselte Daten in die Cloud hochladen darf (und unter welchen Bedingungen).
Und bzgl. unverschlüsselten Daten heißt es im Video am Ende: der Cloud-Act ermöglicht den US-Behörden Zugriff auch auf das AWS Rechenzentrum in Frankfurt und dass die Standardvertragsklauseln dagegen nicht wirklich schützen können und dementsprechend, dass diese Zugriffsmöglichkeit naheliegenderweise mit der DSGVO in Konflikt steht. Das heißt eine DSGVO konforme Nutzung von AWS auch mit einem deutschen Rechenzentrum (bsp. Frankfurt) mit unverschlüsselten Daten ist nicht möglich.
Im übrigen dürfte auch die von AWS angebotene Verschlüsselungslösung CloudHMS (aws.amazon.com/de/cloudhsm/) nicht schützen, da die Schlüssel weiterhin bei AWS liegen. Hier hilft es tatsächlich nur mit eigener Software und eigenem Schlüssel vor dem Hochladen in die Cloud die Dokumente zu verschlüsseln.
Bzgl. der angesprochenen Legalvisio Cloud-Software: dass die Dokumente an sich vor dem Hochladen verschlüsselt werden ist gut möglich und umsetzbar. Allerdings ist die Frage wie es mit den strukturierten personenbezogenen Daten (Mandantendaten, Stammdaten, Nachrichten, Buchhaltung, ...) aussieht, denn diese werden in Datenbanken gespeichert, die bei AWS unverschlüsselt gespeichert werden (technisch bedingt - sofern bei AWS gehostet). Das heißt im Klartext, wenn bei Amazon gehostete Datenbanken verwendet werden, ist Legalvisio eben nicht DSGVO konform. Ich weiß nicht ob dir das bewusst ist, oder deine Entwickler etwas anderes erzählt haben, aber ich würde mich über eine kurze Antwort sehr freuen, wie Legalvisio das Problem mit gehosteten Datenbanken löst, da ich mich für einen Kunden vor kurzem selbst mit dem Thema beschäftigt habe und noch keine zufriedenstellende Lösung gefunden habe.
Das Problem mit den unverschlüsselten Daten existiert übrigens in so gut wie jedem AWS Service außer AWS S3, da man bei so gut wie allen den Dienst nur mit unverschlüsselten Daten sinnvoll nutzen kann (auch bsp. die angesprochene Streaminglösung).
Vielen Dank im Voraus.
#FragWBS Wenn ich eine Datei (Doc, XLS, PPS, etc) erstellt habe und sie mit einem Passwort versehen habe, ich aber das Passwort nicht mehr weiß, darf ich die Datei dann mit entsprechenden Programmen hacken/cracken?
Frage ich mich auch
Grundsätzlich darfst du dich (und andere mit Erlaubnis) hacken/angreifen. Das einzige Problem ist der "Hackerparagraph" §202c StGB. Bin kein Jurist und kann nicht sagen ob das nur zutrifft wenn man eine §202a/b konkret plant oder ob c a/b impliziert aber das würde bedeuten das penetration testing in DE einem Berufsverbot unterliegen würde.
Es ist nicht ohne Grund, dass sich die US Geheimdienste für die Quantencomputer so stark interessieren. Der Theorie nach, wird ein Quantencomputer die Verschlüsselung in kürzester Zeit knacken können.
Wie finde ich heraus ob meine Cloud die Daten in USA oder Europa speichert?
Werden eure daten Clirnt-side(auf dem eigenen Rechner) verschlüsselt sonst bringt das garnichts.
Der beste Datenschutz ist immer noch keine Daten zu schaffen und wenn dies nicht möglich ist, diese wenigstens offline zu lagern.
Alternativ kann man auch wenn man genügend Geld hat, eine Petabyte grosse Cloud nutzen, 99% davon mit Junkdateien, Viren, Trojanern, Zipbomben, etc. füllen. Dann sollte jede Datei mit einem anderen Schlüssel einzeln verschlüsselt werden. Und am Ende kommen dann noch die eigentlichen verschlüsselten Daten. Wenn man nicht gerade Pech hat, sollte man damit jegliche Angreifer sehr lange beschäftigen können.
Was sind denn die rechtlichen Möglichkeiten um den Schlüssel zu den Daten zu fordern?
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
Ich hätte mal eine frage zum Führerschein gibt eine Möglichkeit das man die Theorieprüfung nicht machen muss
könntest du was zu zoom und den nicht eingehaltenen verschlüsselungen? die haben ja seit jahren verträge gebrochen und kommen ziemlich glimpflich davon
Inwieweit haben die US Behörden Zugriff auf Daten in einem AWS DataCenter in Frankfurt?
Habe grade von der WBS Krankheiten gehört, da ist man immer nett.
Hat Herr Solmecke schon ein Video zum neuen Gesetzesentwurf bzgl. Corona? Etwa wie hier: ua-cam.com/video/5SO_U1m5-_Y/v-deo.html ?
Die Daten sind verschlüsselt, aber können amerikanische Unternehmen nicht von den Behörden dazu gezwungen werden eine Backdoor in ihr System zu integrieren, die die Daten mit einem Generalschlüssel umgeht? Soweit ich weiß ist das auch aufgrund des Patriot Acts möglich, dann bringen Verschlüsslung auch nichts.
in den Amazon DPA, dass sie nicht einmal den Kunden informieren müssen, wenn sie die Daten an den US-Staat weitergeben.
Interessantes Thema. Leider etwas schade zu hören, dass WBS auf amazon zurückgreift, die ethisch gesehen ganz weit unten angesiedelt sind. Ich denke Sie können genügend Geld aufbringen um eine Person zu bezahlen, die dasselbe mit den Diensten einer anderen Firma macht. Wahrscheinlich ist das sogar günstiger. Jeden cent den man Amazon nicht geben muss, sollte man lieber jemand anderem geben.
8:32 Liebe Leute, wenn Ihr alle Daten als "498394894893.blob" herunterladet und nur auf eurem eigenen Computer (Client oder Server) entschlüsselt, mit eurem Schlüssel, der eine ausreichend hohe Sicherheitsstufe und einen Verschlüsselungsalgorithmus ohne Hintertür verwendet, dann JA, die Daten wären SICHER. Was ich allerdings bei Ihnen und vielen anderen deutschen Unternehmen vermute, ist, dass die Dateien sowohl Metadaten enthalten, wie den Namen der Datei (z.B. Kündigung Heinz), was schon mal 'ne Verletzung des Datenschutzes wäre, als auch, dass - noch viel wichtiger - die eigentliche Verarbeitung der Daten auch auf der Amazon-Cloud stattfindet. Falls ja, dann befinden sich Ihre so tollen Schlüssel auf der Festplatte oder zumindest im Arbeitsspeicher des Cloud-Servers und sind natürlich von den amerikanischen Behörden dort abgreifbar. Die Daten sind somit NICHT SICHER. Das ist eine Milchmädchenrechnung.
Ebenfalls gibt es andere Daten, die z.B. durch Logging-Systeme der Cloud-Anbieter oder in deren Datenbanken gehen, und da natürlich lesbar sind. Kurzum: Nur, wenn man die amerikanische Cloud als absolut blinden Datenspeicher verwendet, ohne irgendeine Datenverarbeitung dort, und natürlich die NSA den eingesetzten Algorithmus noch nicht geknackt hat, dann wäre es überhaupt möglich. Wahrscheinlicher ist doch, dass man die Skalierfähigkeit der Cloud und deren zahlreiche Annehmlichkeiten in Form von vorgefertigten Dienstleistungen wie DBaaS etc. benutzt und dadurch seine personenbezogenen Daten dann doch verliert. Denken Sie mal an die Prozessorsicherheitslücken, die es einem Angreifer ermöglichen, auf alle VMs zuzugreifen oder einfach an die IT-Forensik, die natürlich auch ein Backup des Arbeitsspeichers der VM erstellt, bevor sie daran arbeitet. Alles andere ist ein falsches Sicherheitsgefühl und sollte auch von unseren Datenschutzbehörden als falsche Werbung bestraft werden.
Ne Frage zum neuen Corona Gesetz das am 18.11 beschlossen werden soll! Wäre es denkbar das man dann auch zum "Schutz vor Corona" die Wahlen aussetzen/verschrieben "Rechtssicher" anordnen kann wenn die Stimmung gegen die Regierung vollends kippt?? Ein Video dazu waere auch interessant!! Danken
was ist deine meinung zum Infektionsschutzgesetz?
Als er bei der cloud die eine Akte auf macht habe ich mal Pause gemacht. Lustig ist der Gegner ist Grundbuchamt Bad Säckingen.😂😂😂 lustig ist ich komme aus Bad Säckingen😂😂😂😂😂😂
Da wird doch nur Gecloud...^^ - Das einzigste was ich auf einer cloud habe sind meine Spielstände auf Steam!
Wie sieht's bei dir mit E-Mails aus? Nutzt du evtl. noch Social Media Services?
Wollte die Eu nicht wieder Hintertüren für verschlüsselte chats vordern?
#NieMehrCDU
Nicht die EU möchte Hintertüren in der Verschlüsselung die schützen uns davor das die CDU das macht!
@@gwkbnhsjea175 Na hoffentlich kommt die CDU damit nich durch.
Ist es nicht so, dass TK Betreiber verpflichtet sind, dem Behördenzugang ein Hintertürchen offen zu halten. Ist es in der Folge nicht da absurdum geführt?
Und wer sagt, dass Amazon keinen Zweitschlüssel für Behörden hat? Ich kann das natürlich auch nicht beweisen, wäre aber durchaus denkbar.
Auf mich machen Sie, Herr Solmecke, einen symphatischen Eindruck. Ich fand nur den Spruch "da kommt jede Putzfrau ran" (evtl falsch zitiert) unglücklich ausgedrückt.
Nö, der Satz ist völlig in Ordnung.
Ist legalvisio nicht eine Produktplazierung und müsste dementsprechend gekennzeichnet werden?
Nein, er sagt ja dass sie es selbst vertreiben. Das macht es zu "offensichtlicher" Eigenwerbung, weshalb diese nicht gesondert gekennzeichnet werden muss
Auf mich wirken solche Videos mehr wie Werbung für eigenen Produkte oder Kanzlei. Zumindest diesen ausführlichen Hinweis auf das eigene Produkt hat in diesem Video meiner Meinung nach eher nichts verloren. Ich finde so etwas echt nicht gut und es kratzt an der Seriosität.
Eine Bitte an die Technik: Schaltet doch den Autofocus der Kameras ab - das macht mich kirre ...
Kurzfassung: Eigentlich nein, machen sie aber trotzdem.
Die Cloud? Den Begriff habe ich zuletzt vernommen als eine Kommilitonin bei Müller einen Lippenstift einsteckte.
10:19 aws.amazon.com/de/compliance/data-privacy-faq/ also ja
Sehr Blauäugig, wer eine Amerikanische Cloud Firma in Anspruch nimmt muss damit rechnen das die Amerikanische Regierung zu jeder zeit an die daten kommt, denn wenn die Firma den Zugang verwehrt gehen die Geschäftsführer und oder vorstände in Beugehaft bis sie die daten herausgeben, kennen wir ja aus der Vergangenheit.
Und was die Verschlüsselung angeht ... es gibt letztlich keine Verschlüsselung die nicht geknackt werden kann.
Hallo
8:25 Was heute einige hundert Jahre dauern könnte zu entschlüsseln, kann morgen in zwei Wochen entschlüsselt sein... nämlich dann wenn die Amerikaner die nächste Generation des Supercomputers entwickelt haben. Ich würde mich daher nicht von einer Kanzlei vertreten lassen, die ohne Not meine Daten auf Servern einer US-amerikanischen Firma speichert, wo es doch genug deutsche Alternativen gibt.
"28.09.2019 - Quantencomputer: Problem gelöst - in rund drei Minuten statt 10.000 Jahren. Google ist es wohl gelungen, einen Quantencomputer zu bauen."
Naja, so weit sind die noch lange nicht! Außerdem betrifft das auch nur asymmetrische Verschlüsselungen und du kannst auch einfach die Schlüssellänge erhöhen...
Datenschutz geht vom Staat bis zum Unternehmen. Und ab dem Konsumenten gibt es ihn nicht mehr.
Jeder kann irgendwo anrufen und deinen Namen und Geburtsdatum sagen ohne das die Person weiß ob er es wirklich ist 🤷🏼♂️ bei Telekom z.b Verträge ( verlängern ) und andere Lieferadressen angeben 😂🤦🏼♂️ E-Sim Karten zu klonen ist auch ganz einfach.
7:02 C5 bringt genau 0, sorry aber das ist absoluter Schwachsinn, wenn sie wollen mach ich gerne ein Legal tech training mit euch, C5 ist dass die Hardware sicher ist betrifft aber nicht den Zugriff die Rollen und nicht die Legal!
Leider haben besonders Versicherungsunternehmen es nicht verstanden, dass Cloud-Dienste sicherer sind, als eigene Server...
Aber nichts: blog.justizfreund.de/reisekostenentschaedigungsinfo-fuer-mittellose-angeklagte/
0:51 Der der diese Cloud anbietet und betreibt, ist auch für die Sicherheit zuständig. Sollte es ein Datenleck geben und das wäre auf den Betreiber zurückzuführen, ist dieser zu belangen! Außer einer der Klienten hat grob fahrlässig gehandelt und z.B. das Passwort weitergegeben.
Und was bringt dir das Betreiber belangen ? Wenn sensible Daten geleaked sind hilft dir das nicht wenn jemand dafür in den Knast geht oder dir Millionen an entschädigung zahlt (was ja in Deutschland sowieso die absolute Ausnahme ist). Wenn etwas gleaked/gestohlen ist, dann ist es geleaked/gestohlen für immer!
@@derkater6611 Alles, absolut alles dreht sich ums Geld.
Gibst du Geschäftsgeheimnisse weiter, wirst du geldlich damit belangt oder kommst in den Knast.
Also mir würden 1mio schon helfen.
Es kann auch nicht sein, das solche Cloud Server wie Pilze aus dem Boden ploppen und keiner ist haftbar, sobald dort ein Datenleck ausgenutzt wird!
Hallo Herr Solmecke, ich hoffe, Sie lesen das und überdenken ihre Entscheidung, in die Cloud zu gehen:
Die Daten auf der Cloud sind NICHT sicher. Amazon und Geheimdienst können drauf zugreifen, auch wenn sie verschlüsselt sind. Wo ist denn der private key gespeichert? Auf der Cloud selbst? (BTW: ein Rechenzentrum ist eine Cloud) Falls Ja, sind die Daten unsicher. Und wo werden die Daten verschlüsselt? In der Cloud?
Sprechen Sie lieber noch mal mit einem unabhängigen Informatiker, der wird Sie aufklären.
Bring-your-own-key ist bei allen großen Cloud Providern möglich. Auch mit selbstverwalteten Keys und Client-Side Verschlüsselung. ;)
@@MetalWonderWombat ach komm, so naiv kann man doch nicht sein. Zwei Dinge. 1. Du musst dein Key importieren, ob das nun Client-Side bleibt, ist fraglich 2. Du willst also überall den gleichen Key verwenden, selbst AWS hat begriffen wie schwachsinnig das ist, denn ich kann ja mehrere Schlüssel importieren? Toll, das kann man mal machen (Face Palme): Sinn verfehlt. Und 3. (ja ich hab nur zwei gesagt, ist auch nur eine Regel): Und das ist ganz einfach: Veröffentliche (share) keine sensiblen Daten. Dafür gibt es die private Cloud. Das besondere dabei ist, da kommt man nur mit menschliches Versagen (Phishing) oder Einbruch rein. Ist viel aufwendiger als mal eben ein russischen Hacker anzuschreiben. Und neben bei: Wer sagt, dass verschlüsselte Daten auch wirklich von keinen Dritten entschlüsselt werden können. Das ist nämlich wie Lotto spielen, eventuell findet man den richtigen Schlüssel, ob nun mit Brutforce (NSA hat ja genug Ressourcen) oder ML oder dann Quanten-Computer, oder einfach pures Glück. Deswegen Leute, teilt keine sensiblen Daten. Es ist nicht zu 100% auch wenn es so verkauft wird.
@@dragoran149 Ich arbeite als Cloud Architekt und Tech Lead für Google Cloud bei einem der weltweit führenden IT Dienstleister und verbringe meinen beruflichen Alltag damit große Unternehmen sicher in die Cloud zu bringen. Ich weiß also definitiv über Stärken und Schwächen verschiedenster Szenarien bescheid. Diese Pauschalisierung "Cloud ist böse" basiert aber einfach auf gefählichem Halbwissen und ist so schlichtweg falsch. Wäre es nicht möglich sicher in die Cloud zu gehen, hätte die Deutsche Bahn nicht kürzlich erst ihre gesamte Infrastruktur zu AWS und Azure migriert und die Deutsche Bank hätte nicht begonnen ihr gesamtes Core Banking System zu Google zu geben...
@@dragoran149 BTW: Bring-your-own-key heißt nicht einen Schlüssel zu nutzen, sondern ein eigenes Key Management System anzubinden, das dann wiederum On-prem laufen kann/sollte.
Was passiert im schlimmsten Fall wenn eine Person bei einem Gerichtstermin wegen Einspruch Bussgeld nicht erscheint?
Nicht gekennzeichnete Werbeplatzierung
Was sagt Edward Snowden dazu..?