Cloud-Computing gilt schon seit Jahren als Megatrend in der IT und im Internet. Unternehmen wie Microsoft, Amazon und natürlich auch Google verdienen Milliarden mit entsprechenden Angeboten. Und nicht nur die. Auch Finanzdienstleister wie PayPal fahren auf der Erfolgsspur. Das ist bequem für den Kunden, aber wie sieht es mit der Datensicherheit aus? In Teil 8 unserer Serie „Sicherheit im Internet“ beleuchten wir, welche Daten bei PayPal & Co. im Hintergrund abgezapft werden und verraten auch, wer den vermutlich sichersten Cloud-Service der Welt anbietet.
Aufmacherbild: Jack Sparrow via Pexels
In der modernen Informationstechnik ist Cloud-Computing nicht mehr wegzudenken. Allgemein versteht man darunter Dienste zur Bereitstellung von IT-Infrastruktur über ein Netz. Und damit ist in der Regel das Internet gemeint. Nahezu alle großen IT-Firmen setzen auf diese Technologie. Microsoft mit Azure genauso wie Amazon mit seinen Webservices oder die Google Cloud, um nur die wichtigsten Vertreter zu nennen. Die Vorteile lassen sich gut kommunizieren: Die Nutzer brauchen keine eigene Rechner-Infrastruktur zu betreiben, sie haben zudem von überall Zugriff auf ihre Daten. Anbieter, wie die auch privaten Nutzern sehr beliebte Dropbox werben zudem mit, dass die Daten bei ihnen sehr sicher seien.
Das mag aus technischer Sicht zutreffen, sind die Daten in der Regel doch mehrfach gespiegelt und so gegen Hardware-Ausfälle geschützt. Doch wie sieht das Thema Sicherheit bei einem Hackerangriff aus? Und kann man überhaupt dem Diensteanbieter und seinem Geschäftsmodell vertrauen?
Die Wahl von Cloud-Anbietern ist Vertrauenssache
Es ist offensichtlich: Wer vertrauliche Daten in die Hände von Cloud-Anbietern legt, muss sich darauf verlassen können, dass sie dort sicher sind – was beinhaltet, dass sie nicht unbefugt ausgewertet oder gar weitergegeben werden. Die Entscheidung, welchem Cloud-Anbieter man sein Vertrauen schenkt, ist dabei nicht gerade einfach. Und sie wird oft emotional getroffen. So war etwa WhatsApp in die Kritik geraten, weil der der Messenger-Dienst zu Mark Zuckerbergs Meta-Universum gehört. Facebook gilt als Datenkrake per Excellence, also wieso nicht auch WhatsApp? Tauchen da nicht plötzlich Werbeeinblendungen auf, über Themen, über die man gerade noch gesprochen hat? Zumindest dieser Zusammenhang scheint mittlerweile widerlegt zu sein. WhatsApp gehört zu den End-To-End-verschlüsselten Diensten. Mithören ist ohne Hintertür gar nicht möglich.
Misstrauen ist aber trotzdem angebracht. Um richtig zu funktionieren, benötigt die App nämlich eine Fülle von Berechtigungen, allen voran der Zugriff auf das Telefonbuch. Die App weiß auch, wo sich ihr Nutzer befindet und welche Apps sonst gerade noch am Handy offen sind. Zudem stehen die Server, die die Dienste erst möglich machen, in den USA. Die strengen deutschen und europäischen Datenschutzgesetze wie etwa die DSGVO gelten dort nicht.
Bei der Wahl besser nicht von Emotionen leiten lassen
Um der Datengier von Mark Zuckerberg zu entfliehen, haben eine ganze Reihe von Menschen zum vermeintlich sicheren Messaging-Dienst Telegram gewechselt. Doch damit haben sie manches eher noch schlimmer gemacht. Telegram verschlüsselt nämlich nur zwischen Endgerät und Server. Eine umfassende Ende-zu-Ende-Verschlüsselung wird nur bei geheimen Chats gewährleistet. In der Cloud hinterlegte Daten können von Telegram und Dritten jederzeit eingesehen werden. Schon dieses Beispiel zeigt: Wer Clouddienste nutzen möchte, muss einen genaueren Blick auf den jeweiligen Anbieter werfen.
Für Unternehmen gibt seit 2020 einen neuen Anbieter, der ein besonders hohes Level an Datensicherheit anbieten möchte: Ethernity Cloud. Das noch junge Unternehmen verspricht, das Non-plus-ultra an Ausfallsicherheit und Datenschutz beim Cloudcomputing zu bieten. Der Anbieter setzt dabei auf eine starke Verschlüsselung, die Blockchain Etherium und überdies eine verteilte Struktur bei der Speicherung der Daten. Iosif Peterifi, der CEO und Gründer von Ethernity Cloud erklärt sein Konzept: „Dezentrales, vertrauliches Computing ist der natürliche nächste Schritt in der Entwicklung der Blockchain. Damit wird die Leistung gesteigert und gleichzeitig die Privatsphäre im Internet geschützt.“ Ethernity Cloud ist auch Mitglied des Confidential Computing Consortium, dem auch Unternehmen wie Google, Facebook, Intel, Microsoft und andere angehören – was der Reputation durchaus zuträglich ist.
Zahlungsdienstleister: Hier geht es auch um ihr Geld
Otto Normalverbraucher dürfte mit dem Unternehmen aber noch wohl kaum Berührungspunkte haben. Dafür aber eine andere Kategorie von Clouddiensten umso mehr. Gemeint sind die Zahlungsdienstleiter. Auch wenn der Internethandel derzeit tendenziell stagniert, war er während der Covid19-Epidemie regelrecht explodiert. Nun verharrt er auf seinem hohen Niveau.
Mit gewachsen sind Zahlungsdienste wie PayPal &Co, die dafür sorgen, dass der Handel flüssig funktioniert. PayPal gilt dabei schon als Klassiker. Immerhin wurde der Dienst bereits 1998 aus der Taufe gehoben – zunächst hauptsächlich, um bei eBay zu bezahlen.
Mittlerweile ist PayPal selbstständig und eine der beliebtesten Bezahlmethoden im Internet. Laut Statista gab es im 2. Quartal 2023 431 Mio. aktive PayPal-Accounts weltweit, 6,1 Milliarden Transaktionen wurden allein im genannten Quartal getätigt. 2022 haben E-Wallets wie PayPal oder Alipay mit 64 Prozent bereits das Zahlen per Rechnung (44 Prozent) als beliebteste Bezahlform im Onlinehandel abgelöst. Das überzeugendste Argument bei PayPal: niemand muss zum Zahlen seine Kontonummer oder Kreditkartennummer an den Händler beziehungsweise Anbieter weitergeben. Die sind nur bei PayPal hinterlegt, das als eine Art Zwischeninstanz fungiert.
Bezahlen Sie einfach mit Ihren guten Daten
Bezahlt wird der Dienst vom Verkäufer, der für den Vorteil einer direkten Überweisung einen Teil von seinem Umsatzes abgeben muss. Aber auch für den Zahlenden ist der Dienst nicht ganz gratis: Er zahlt nämlich mit seinen Daten. So werden etwa die Transaktionsdaten, die Händlerinformation und Zahlungsdaten gespeichert, genau wie GPS- und Gerätedaten oder auch Websites, die der Käufer zuvor besucht hat. Immerhin kann ein Teil dieser Datensammelei über die Einstellungen verboten werden.
Mit „Sicher bezahlen“ hat eBay einen Nachfolger für PayPal geschaffen, der aber nur im deutschsprachigen Raum und nur in der App funktioniert. Das hat den Vorteil, dass viele Betrugsversuche ins Leere laufen. eBay-Käufer werden nämlich bisweilen verleitet, auf einen Link zu klicken, damit die Bezahlung abgewickelt wird. Dies kann jedoch eine Falle sein, um Bankdaten zu erbeuten. Wer stets die integrierte Bezahlfunktion nutzt, ist hingegen auf der sicheren Seite.
Eine Alternative dazu, zumindest in Deutschland, ist Giropay. Das Verfahren der deutschen Banken und Sparkassen wurde von Anfang an mit Fokus auf Datenschutzgesichtspunkte entwickelt. Es involviert keine externe Partei, und Kontonummer, Warenkorb oder Käuferprofile werden nicht an Dritte weitergegeben
Hacker lauern auf Kreditkartennummern
Auch das Bezahlen mit Kreditkarten ist nicht unbedenklich. Während des Kaufes werden die Kreditkartendaten nämlich über Visanet und BankNet in die USA geschickt. Ganz abgesehen davon, dass in den USA datenschutzrechtlich andere Regelen gelten: Auch Hacker freuen sich. Die Daten von Kreditkarten sind nämlich eine beliebte Beute, denn sie lassen sich gegen gutes Geld im Darknet verkaufen. Die Experten NordVPN taxieren nach Analyse einer Datenbank im Darknet den Wert einer Karte je nach Herkunft auf rund 10 Dollar im Schnitt. „Hacker können leicht eine Menge Geld damit verdienen. Selbst wenn eine Karte im Durchschnitt nur 10 US-Dollar kostet, kann ein Hacker mit dem Verkauf einer einzigen Datenbank – wie der von uns analysierten – 40 Millionen US-Dollar umsetzen“, berichtet NordVPN-CTO Marijus Briedis.
Relativ neu, relativ sicher: Mobile Payment
Noch relativ jung, aber kräftig am wachsen, sind Mobile Payment-Verfahren. Generell gibt es zwei Arten: Das Bezahlen über eine NFC-Schnittstelle oder über einen am Display angezeigten Barcode, der von einem Scanner an der Kasse gelesen wird. Mobile Payment gilt allgemein als sehr sicher, da für Transaktionen keine vertraulichen Bankdaten am Gerät oder am Server des Anbieters gespeichert beziehungsweise beim Bezahlvorgang übermittelt werden. Stattdessen wird ein Token, ein verschlüsselter Code, der für bis zu fünf Transaktionen nutzbar ist, an die Verkäuferin oder Verkäufer gesendet. Dieser Verschlüsselungscode repräsentiert die tatsächlichen Daten der zur Zahlung genutzten Debit- oder Kreditkarte.
Eines der bekanntesten Systeme nach diesem Prinzip ist Google Pay. Allerdings bleibt Google auch hier seinem Ruf als Datenkrake treu. Ohne explizitem Widerspruch behält sich die Google Payment Corp (GPC) vor, Hintergrundinformationen zu sammeln, wie etwa über die Kreditwürdigkeit. Diese Informationen werden auch an den Mutterkonzern Google weitergegeben. Es lohnt sich also, das Kleingedruckte zu lesen. Konsumenten sollten sich immer über die AGB (Allgemeine Geschäftsbedingungen) des jeweiligen Anbieters informieren, bevor sie ihre Zustimmung erteilen. Da es unrealistisch ist, für jeden solchen Dienste seitenlange juristische Ausführungen zu lesen und zu verstehen, hilft eher eine Google-Suche nach Einschätzungen zu den jeweiligen Geschäftsbedingungen.
Apple Pay funktioniert nach einem ähnlichen Prinzip. Auch hier werden Token, statt „echten“ Kreditkartendaten übertragen. Zudem muss jede Transaktion mit einem Fingerabdruck oder einem Gesichtsscan bestätigt werden. Nach eigenen Angaben sammelt Apple dabei lediglich anonymisierte Transaktionsdaten.
Noch eher wenig bekannt ist Bluecode. Bluecode orientiert sich am European Payment Scheme, einem technischem und rechtlichen Rahmenwerk, das das europäische Datenschutzgesetz berücksichtigt. Die Bezahlmethode ist über Biometrie geschützt und funktioniert mit einem Lastschriftverfahren. Auf dem Gerät werden keine vertraulichen Informationen gespeichert, die Rückschlüsse auf die Bankdaten ermöglichen würden. Bluecode gilt als sehr sicher, selbst wenn das Smartphone verloren geht oder gestohlen wird. Denn diese Bezahltechnologie, die es für Android und iOS gibt, ist zusätzlich durch Betrags- und Zeitlimits geschützt.