Wie steht es um die Sicherheit von ownCloud?

Cloud-Systeme zum Speichern und Archivieren von Dateien müssen hinsichtlich der Sicherheit hohe Standards erfüllen. Das gilt auch für die Software ownCloud. Wir schauen uns den Cloud-Dienst und seine Sicherheitsfunktionen im folgenden Artikel etwas genauer an.

Was ist ownCloud?

Bei ownCloud handelt es sich um eine Cloud-Lösung, mit der Nutzer ihre Dateien online speichern und zentral synchronisieren. Die Cloud-Software ist ein frei nutzbares Programm. Es wurde als Alternative für kommerzielle Anbieter von Cloud-Services im Jahr 2010 durch Frank Karlitschek präsentiert. Ein Jahr später entstand ownCloud als gleichnamiges Unternehmen.

Die ownCloud-Software steht als Desktop-Client oder App für verschiedene Endgeräte und Betriebssysteme zur Verfügung. Nutzer können ihre Dateien über ownCloud auf dem eigenen Server oder einem Webspace speichern. Dadurch behalten sie die Kontrolle über die Daten, insbesondere bei der Verwaltung von sensiblen Daten.

Der ebenfalls bekannte Cloud-Speicher Nextcloud ging aus ownCloud hervor. Es handelt sich dabei um eine Weiterentwicklung des Quelltextes der ownCloud-Lösung.

Funktionsumfang der ownCloud-Software

Die freie Software unterstützt den Austausch von Dateien und dient so als Schnittstelle für gemeinschaftliche Arbeitsprojekte. ownCloud ist als Open Source-Oberfläche ein Ergebnis mehrerer Entwickler. Diese haben in den letzten Jahren immer wieder neue Features integriert. Die Client-Lösung ist vor allem für private Anwender eine Option. Sie können die Software mit eigenen Apps individuell anzupassen. Daher ist ownCloud bei dieser Gruppe von Nutzern auch weit verbreitet.

Im Grunde können auch Mitarbeiter eines Unternehmens die Cloud-Lösung nutzen. Sie ermöglicht die gleichzeitige und gemeinsame Bearbeitung von Dokumenten. Größere Dateien lassen sich einfach speichern und Informationen in Echtzeit austauschen. Über den ownCloud-Server ist die Freigabe von Dokumenten möglich. Zugriffsrechte für Personen können individuell vergeben oder beschränkt werden.

Die Funktion des File Lifecycle Managements

Im vergangenen Jahr hat der Anbieter eine neue Funktion zur Cloud-Software hinzugefügt, die sich File Lifecycle Management nennt. Anwender können einstellen, dass ungenutzte Dateien automatisch gelöscht werden. Alternativ ist die Archivierung an einem anderen Speicherort möglich. Das Ziel dahinter ist es, personenbezogene Inhalte von Personen in regelmäßigen Abständen zu entfernen, um die Vorgaben der aktuellen DSGVO einzuhalten.

Sinnvoll ist dieses Tool insbesondere für das langfristige Verwalten von Daten. Doch Vorsicht ist geboten, weil durch das File Lifecycle Management bestimmte Inhalte automatisch entfernt werden können. Eine Wiederherstellung von versehentlich gelöschten Dokumenten ist möglich, aber kein Standard der Software. Deshalb steht die Frage im Raum, ob die Cloud-Server von ownCloud alle Richtlinien für die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) erfüllen. Unternehmen sind nämlich aus steuerlichen Gründen dazu verpflichtet, sämtliche Dateien aus dem geschäftlichen Betrieb für gewisse Fristen nachprüfbar und offen für den Zugriff zu archivieren.

Die Konformität mit der GoBD spielt deshalb für einen Cloud-Storage neben der allgemeinen IT-Sicherheit eine wichtige Rolle. ownCloud kann diese Voraussetzung aber nicht zweifelsfrei gewährleisten. Anwender müssen daher aufpassen, dass durch eine fehlerhafte Einstellung und Nutzung keine Dateien verloren gehen, die noch eine Relevanz für das Finanzamt haben. Das betrifft nicht nur die Löschung von Dokumenten. Problematisch kann auch die Veränderung des Speicherortes sein, wenn dadurch zum einen der Zugriff verhindert wird und auf der anderen Seite der Verdacht einer Manipulation aufkommt. In beiden Fällen besteht keine GoBD-Konformität, so dass Konsequenzen für das Unternehmen drohen könnten.

Zwar bietet ownCloud die Möglichkeit, die Fristen zur Aufbewahrung von Daten für jedes einzelne Dokument konkret zu bestimmen, doch dieses System der Speicherung von Daten bleibt fraglich. Ein effizienter Workflow im Arbeitsalltag, der nah an der Praxis orientiert ist sowie GoBD-konforme und revisionssichere Archivierung sind so nicht garantiert.

Welche Rolle spielt bei ownCloud die Sicherheit?

Der Dienst wirbt selbst damit, dem Thema Sicherheit eine hohe Priorität einzuräumen und setzt dafür WebDAV, mobile Bibliotheken, Verschlüsselung und verschiedene Erweiterungen ein. Diese Ergänzungen sind jedoch nur mit zusätzlichen Kosten in der Enterprise-Edition vorhanden.

Zur Verschlüsselung der Übertragung von Daten verwendet ownCloud bei privaten Servern eine SSL-Verbindung. Die gespeicherten Daten auf dem eigenen Server sind ebenfalls vollständig verschlüsselt. Allerdings nutzt ownCloud für diese beiden Vorgänge – den Datentransfer und die Speicherung auf dem Server – jeweils unterschiedliche Verfahren zur Verschlüsselung. Es besteht deshalb die Möglichkeit, dass beim Wechsel in den jeweils anderen Verschlüsselungsstandard für eine kurze Zeit die Dateien unverschlüsselt bleiben. Ist das SSL-Zertifikat sogar ausgeschaltet, erfolgt der Transfer der Daten gänzlich ungesichert.

Open-Source mit offenem Quellcode

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einigen Jahren die Open-Source-Lösung geprüft. Das BSI bemängelte, dass Nutzer von älteren ownCloud-Versionen ihre Installation nicht durch Updates aktualisieren. Zu diesen Anwendern gehörten teilweise öffentliche Behörden, die durch die Verwendung von veralteten Versionen ein enormes Sicherheitsrisiko eingingen. Fehlende Aktualisierungen der Software lagen auch bei Nextcloud vor, dem Pendant von ownCloud. In der Folge reagierten lediglich knapp 20 Prozent der ownCloud-Nutzer auf die warnenden Informationen des BSI und installierten ein Update.

Dieser Umstand ist besonders für öffentliche Verwaltungen oder Unternehmen brisant. Ein frei zugänglicher Quellcode ist anfällig für Sicherheitslücken. Ohne entsprechendes Know-how in der IT-Abteilung und höhere Kosten für Support und Instandhaltung der Systeme sind Daten bei ownCloud nicht sicher.

Der Update-Prozess von ownCloud hat in der Vergangenheit zudem hin und wieder nicht fehlerfrei funktioniert. Das betraf beispielsweise die Anzeige, dass die Version des Clients aktuell ist, obwohl bereits eine neue Software-Version bereit stand. Für Nutzer stellt ein solcher Umstand eine Hürde in der sicheren Anwendung da. Zudem weisen teilweise auch aktuelle Versionen bekannte Sicherheitslücken auf.

Grundsätzlich sollten Nutzer von Cloud-Lösungen ihre IT-Infrastruktur jederzeit auf dem aktuellen Stand halten. Andernfalls droht der Diebstahl oder Verlust von sensiblen Daten.

Der Vergleich von TeamDrive vs. ownCloud

Besonders im Zeitalter der Digitalisierung und der Zunahme von flexiblen Remote-Arbeitsmodellen sind Unternehmen oder Behörden auf Plattformen für kollaborative Zusammenarbeit angewiesen. Nur damit lassen sich Geschäftsprozesse effektiv und effizient gestalten.

Allerdings bestehen nach wie vor große Vorbehalte gegenüber öffentlichen Cloud-Diensten. Eine private Cloud vermittelt ein trügerisches Bild von Sicherheit und Kontrolle über Daten. Aus Kostengründen setzen jedoch viele Unternehmen trotzdem diese günstige Lösungen ein und laufen in Gefahr, die gewünschte Kontrolle aus den Händen zu geben. TeamDrive ist eine preiswerte Alternative zur ownCloud.

TeamDrive bietet durch eine Zwei-Faktor-Authentifizierung und einer Ende-zu-Ende-Verschlüsselung maximale Sicherheit für Unternehmen und Behörden. Weitere Argumente für TeamDrive sind der Server-Standort Deutschland, das kollaborative Management von Dokumenten sowie die Erfüllung aller Anforderungen der DSGVO und GoBD.