Cloud verschlüsseln: Cryptomator Test
Nachdem wir Ihnen jüngst Boxcryptor in der Version 2.0 vorgestellt haben, möchten wir heute mit Cryptomator eine weitere Alternative betrachten. Macher der Verschlüsselungssoftware Cryptomator für Clouds ist das Start-up Skymatic mit Sitz im nordrhein-westfälischen Sankt Augustin. Dieses Start-up hat seinen Ursprung in einem Studienprojekt der Hochschule Bonn-Rhein-Sieg. 2016 erhielt Skymatic den CEBIT Innovation Award für die Cloud-Verschlüsselungs-Software Cryptomator. Entwickler Sebastian Stenzel, der zusammen mit Tobias Hagemann schon an der Passwortverwaltung tooPassword gearbeitet hat, verfolgt mit Cryptomator das Ziel, das Verschlüsseln von Cloud-Daten zu vereinfachen. Aktuell liegt Cryptomator in der Version 1.4 vor, die ausschließlich für 64 Bit-Systeme verfügbar ist. Wer mit 32 Bit arbeitet, wird mit der etwas älteren Version 1.3.4 bedient.
Nutzerkontrolle von Cryptomator dank Open Source
Grundsätzlich müssen Daten, auch in der Cloud, verfügbar und vertraulich sein – grundlegende Problematiken, auf die die Entwickler bei der sicheren Cloud stießen. Bezüglich der Verfügbarkeit erklärte Entwickler Stenzel, er habe guten Gewissens auf bereits bestehende Lösungen zurückgreifen können. Stenzel erklärt: „Selbst der Amazon-S3-Reduced-Redundancy-Storage-Space speichert Daten weltweit mehrfach redundant. Die garantierte Ausfallsicherheit liegt um das Hundertfache höher als bei heimischen Lösungen. Und gegen Aufpreis kriegt man sogar noch erhöhte Redundanz. Was bringt mir meine Backup-Festplatte, wenn sie im selben Raum wie mein Computer steht? Ein Brand und weg sind meine Daten.“
Die Sache mit der Vertraulichkeit war da schon schwieriger. Zwar entdeckte Stenzel durchaus Anbieter, die versprachen, Daten serverseitig zu verschlüsseln. Aber wie sollte man das kontrollieren können? Stenzel begab sich auf die Suche nach Tools, um beide Ziele – Vertraulichkeit und Verfügbarkeit – zu erreichen. „Viivo, Boxcryptor, SafeMonk und cloudfogger haben alle das geleistet, was ich brauche. Zumindest auf den ersten Blick. Der zweite Blick offenbarte dann jedoch: Account-Erstellungs-Zwänge, Abogebühren, Authentifizierung gegen die Server der Anbieter und dergleichen“, musste Stenzel feststellen. Und weiter: „Zwar hätte ich meinem Cloud-Storage-Provider jetzt nicht mehr zu vertrauen brauchen, doch ich müsste Boxcryptor vertrauen, dass die nicht in der Lage sind, meinen Schlüssel zu entschlüsseln.“
Mit diesen Erkenntnissen machte sich Stenzel selbst an die Arbeit und entwickelte Cryptomator. Stenzel entschied sich, sein Projekt Open Source zu machen. Die Community kann kontrollieren, ob die Software frei von Backdoors und damit vertrauenswürdig ist. Stenzel erkannte einen weiteren positiven Nebeneffekt: „Schwachstellen fallen sofort auf und werden berichtet.“ Stenzel griff auch beim weiteren Umsetzen von Cryptomator auf Open Source-Projekte zurück, unter anderem auf:
- BouncyCastle (Bibliothek mit kryptografischen Funktionen)
- Jetty (eingebetteter Server)
- Jackrabbit (für WebDAV-Implementierung)
- Apache Commons, Guice, JUnit, Jackson, Log4 (entwicklungsunterstützende Bibliotheken)
Cryptomator selbst ist im Übrigen eine Java-Anwendung mit JavaFX-Frontend. Im Rahmen der mehrjährigen Entwicklung von Cryptomator wurde der Quellcode der Software von mehreren hunderten Experten aus der Open Source-Community eingesehen und geprüft. Weiter fand ein Audit zur Verschlüsselungstechnologie von Cryptomator statt: Im Rahmen eines gemeinsamen Projekts mit 1&1 überprüfte der Sicherheitspartner cure53 die Verschlüsselung gründlich.
Cryptomator einrichten
Die Installation und Konfiguration von Cryptomator sind schnell und einfach gemacht. Die Skymatic GmbH hat dafür auch ein Tutorial auf YouTube veröffentlicht. Weiter existieren Online-Handbücher zu nahezu jedem Thema. Im Folgenden gehen wir die ersten Schritte mit Ihnen zusammen.
Installation
Die Software können Sie direkt auf der Hersteller-Website herunterladen. Wählen Sie das richtige Betriebssystem aus und starten Sie den Download. Während der Installation bestätigen Sie das License Agreement, klicken Sie zweimal auf „next“ und zu guter Letzt auf „finish“. Möchten Sie Boxcryptor erstmalig starten, meldet sich für gewöhnlich die Windows-Firewall: Cryptomator möchte eine Verbindung nach außen aufbauen. Sie erlauben diesen Verbindungsaufbau mit einem Klick auf „Zugriff zulassen“.
Ersten Tresor anlegen
Das Tool zur Cloud-Verschlüsselung arbeitet mit einem sogenannten Software-Tresor. Hier werden die verschlüsselten Daten sicher aufbewahrt. Zunächst muss ein solcher Tresor jedoch angelegt werden, konkret auf dem gewünschten Cloud-Speicher.
Dazu klicken Sie einfach auf das Pluszeichen und wählen „Tresor erstellen“. Es folgt eine Übersicht über den Windows Explorer, in dem Sie einen Dateinamen und einen Speicherort auswählen. Möchten Sie beispielsweise Ihre Dropbox- oder OneDrive-Daten schützen, markieren Sie den entsprechenden Ordner. Anschließend wird dieser Tresor mit einem Passwort versehen. Dieses Passwort ist wichtig: Es ist zum Ermitteln des notwendigen Schlüssels notwendig. Achten Sie unbedingt auf ein sicheres Passwort mit mindestens 10 Zeichen, in denen Sie Groß- und Kleinbuchstaben mit Zahlen mischen. Ihr Passwort sollte weder ein Datum enthalten noch im Duden oder einem anderen Wörterbuch zu finden sein.
Schon ist das Einrichten Ihres Tresors fertig und Sie können Daten sicher speichern.
Cryptomator verwenden
Nicht nur das Einrichten, sondern auch das Verwenden von Cryptomator ist einfach. Bestätigen Sie das Anlegen eines neuen Tresors, werden Sie in einer neuen Maske zur Eingabe Ihres Passworts aufgefordert. Nach dem Eingeben Ihres Passworts klicken Sie auf „Tresor entsperren“. Nun erscheint der Windows Explorer. In der Übersicht auf der linken Seite können Sie nun erkennen, dass Cryptomator ein eigenes Laufwerk angelegt und nach dem Tresor benannt hat. Diesem Laufwerk wurde ein Buchstabe zugewiesen, der es Ihnen erlaubt, das Laufwerk direkt zu erreichen.
Sämtliche Daten, die Sie von nun an in diesem Laufwerk speichern, landen in Ihrem Tresor – unabhängig davon, wo Sie die Tresordatei selbst abgelegt haben. Selbst dann, wenn der Tresor geöffnet ist, kann niemand auf die gespeicherten Daten zugreifen, solange er Ihr Passwort nicht kennt.
Mit der Cryptomator-App ist der Tresor auch mobil
Für Android und iOS existieren kostenpflichtige Apps (9,99 € einmalige Download-Gebühren, Stand: 01/2020), sodass Sie auch unterwegs auf die verschlüsselten Dateien zugreifen können. Der Mobil-Zugriff funktioniert derzeit mit OneDrive, Dropbox, Google Drive und sämtlichen Cloud-Diensten, die via WebDAV erreichbar sind.
Um mobil auf die verschlüsselte Cloud zuzugreifen, öffnen Sie die App mit Ihrem Smartphone oder Tablet und tippen auf das Plus-Symbol. Wählen Sie nun „auf vorhandenen Tresor hinzufügen“. Klicken Sie auf Ihren Cloud-Anbieter und geben Sie der Cryptomator-App gegebenenfalls Zugriffsrechte darauf. Nun navigieren Sie sich zum angelegten Tresor-Ordner, wo Sie die Datei „masterkey.cryptomator“ markieren. Melden Sie sich mit Ihrem Passwort an, anschließend stehen alle Inhalte zur sofortigen Verfügung.
Sie können Dateien auch aus anderen Apps in Ihren verschlüsselten Tresor schieben. Primär dienen die Mobil-Apps jedoch dem Betrachten von Fotos und Dokumenten. Es handelt sich also um keine „konventionelle“ Cloud-App mit vielseitigen Funktionen, jedoch soll auch die Funktionalität des mobilen Tresors nach und nach ausgebaut werden.
Cryptomator: Einfach in der Cloud verschlüsseln
Eines der Ziele der Entwickler von Cryptomator war es, Cloud-Verschlüsselung aus Nutzersicht einfach zu gestalten. Im Folgenden erfahren Sie, ob das gelungen ist und wie Cryptomator verschlüsselt.
Cryptomator-Verschlüsselung
Cryptomator nutzt das Verschlüsselungsverfahren AES mit einem sicheren 256 Bit langen Schlüssel. Verschlüsselt werden die Dateien noch vor der Übertragung zum Cloud-Speicher. Die scrypt-Funktion sorgt zudem dafür, dass Hacker selbst mit ihren Mitteln, etwa durch computergesteuertes Probieren zufälliger Zeichenabfolgen, nicht an Ihr Passwort kommen.
Bei der Schlüssel-Herleitung setzt Cryptomator zunächst auf PBKDF2, jedoch schwenkten die Entwickler nach einem Hinweis aus der Open Source-Community um. Seither wird mit scrypt eine Passwort-basierte Schlüsselableitungsfunktion verwendet. 2010 wurde diese von Colin Percival veröffentlicht, mit demselben Hintergrund: Weder bcrypt noch PBKDF2 sind gegen Brute-Force- oder Wörterbuch-Angriffe gewappnet.
Unterm Strich landen in der Cloud nur noch Datenfragmente. Die Originaldaten lassen sich ohne den persönlichen Schlüssel eines Nutzers in keiner Weise rekonstruieren. Die Daten sind also nicht nur vor Analysen und Auswertungen, sondern auch vor der Weitergabe an unbefugte Dritte geschützt.
Die KMU-Lösung: Cryptomator Server oder Enterprise
Kleine und mittelständische Unternehmen (KMU) haben in aller Regel andere Ansprüche an Verschlüsselungssoftware als Privatanwender oder Konzerne. Mit Cryptomator Server oder Enterprise versuchen die Entwickler, eben diesen Bedürfnissen gerecht zu werden – einschließlich weiteren Sicherheitsfeatures.
So gelingt es, durch Verschlüsselung, Audit-Logs, Nutzerrechte-Management oder automatischen Cloud-Backups, Daten vor Datendiebstahl und -verlust sowie vor unberechtigtem Zugriff zu schützen. Somit werden die Anforderungen aus der DSGVO an das Speichern von Daten in der Cloud erfüllt. Weitere Informationen zu dieser Cryptomator-Version finden Sie auf der Website des Anbieters.
Weiter wird für Unternehmen eine Enterprise-Version angeboten. Die Versionen sind individuell ausgelegt und unterscheiden sich durch individuelle Apps sowie Systeme mit White-Labeling. Auch Informationen zur Enterprise-Version sind auf der Hersteller-Website zu finden.
Kompatibilität besteht zwischen Cryptomator und Dropbox, OneDrive, Google Drive sowie zu allen WebDAV-basierten Cloud-Anbietern. Eine Liste unterstützter Dienste existiert leider nicht.
Fazit zur Cloud-Verschlüsselung mit Cryptomator
Es gibt diverse Verschlüsselungs-Tools für Cloud-Daten – was macht nun Cryptomator empfehlenswert? Zum einen starke Verschlüsselungsalgorithmen und Schlüssellängen. Zum anderen aber auch die Tatsache, dass das Tool Open Source ist. Hersteller Skymatic brachte es schön auf den Punkt: „Sie brauchen uns nicht vertrauen, weil Sie uns kontrollieren können!“ Weiter sprechen eine einfache Bedienung, die Kompatibilität zu allen gängigen Plattformen und vielen Cloud-Anbietern sowie die Tatsache, dass sogar die Dateinamen verschlüsselt werden, für Cryptomator.
Einen Minuspunkt haben wir entdeckt: Dass für den Download der Mobil-App für Android und iOS knappe 10 Euro fällig werden.
Insgesamt aber macht Cryptomator einen mehr als runden Eindruck und wir empfehlen Sie Ihnen zum Verschlüsseln Ihrer Daten in der Cloud.
Schreibe einen Kommentar