Informationssicherheit für Übersetzerinnen und Übersetzer (Teil 2)

Daten auf dem Computer des Benutzers (Data at Rest)

Dies ist der zweite Beitrag in der Reihe Datensicherheit für freiberufliche Übersetzerinnen und Übersetzer. Nach der Übermittlung von Daten (namentlich über E-Mail) geht es heute um die Daten, die sich auf unseren Computern befinden.

Schutz vor Datenverlust

Elektronische Dokumente können verloren gehen oder in falsche Hände geraten: Die Festplatte Ihres Computers kann unvermittelt den Geist aufgeben. Vielleicht haben Sie schon einmal Ihren Laptop und die externe Festplatte im Zug liegen gelassen oder sie wurden im Restaurant während einer kurzen Unaufmerksamkeit gestohlen. Auch ein Brand oder Wasserschaden in Ihrer Wohnung bzw. in den Geschäftsräumen kann nicht ausgeschlossen werden.

Eine Informatikerweisheit besagt übrigens: Die Frage ist nicht ob, sondern nur wann ein solches Unglück geschieht.

Ebenso sicher ist, dass zwar die Geräte ersetzt werden können, nicht aber die Dateien, die auf ihnen gespeichert waren: Sofern Sie keine Vorkehrungen getroffen haben, sind Ihre Dokumente unwiderruflich verloren. Als Privatperson kann dies emotional ein grosser Verlust sein – etwa, wenn alle Fotos der Hochzeitreise oder eines Kindergeburtstags weg sind. Beruflich kann ein solcher Verlust erhebliche finanzielle Folgen haben und Ihnen auch einen Reputationsschaden eintragen. Stellen Sie sich zum Beispiel vor, dass die Festplatte Ihres Computers kurz vor Abgabetermin eines grossen Übersetzungsauftrags kaputt geht und Sie nirgends eine Kopie der bis dahin erstellten Übersetzung haben. In einem solchen Fall haben Sie umsonst gearbeitet, was einem finanziellen Schaden gleichkommt. Sie müssen zudem Ihrem Auftraggeber mitteilen, dass Sie die Übersetzung nicht termingerecht anfertigen können, worunter im besten Fall Ihr Ansehen als Profi leiden wird. Im schlechtesten Fall wird der Auftraggeber zudem finanzielle Forderungen stellen.

Um zu verhindern, dass der Verlust eines Datenträgers (Computer, externe Festplatte, Smartphone usw.) gleichbedeutend mit dem Verlust der Daten ist, müssen Sicherungskopien erstellt werden.

Als erste Massnahme können regelmässige Backups auf einer externen Festplatte empfohlen werden. Damit schützen Sie sich vor einem Datenverlust, wenn die Festplatte des Computers einen Totalausfall erleidet. Wenn aber bei Ihnen eingebrochen wird oder Feuer ausbricht und sich die externe Festplatte im selben Raum wie der Computer befindet, ist die Wahrscheinlichkeit hoch, dass Sie den Zugriff auf beide Geräte verlieren. Mit anderen Worten: Die Daten sind trotz Backup weg. Deshalb ist es zwar gut, die wichtigen (oder alle) elektronischen Dokumente auf einer externen Festplatte zu sichern, die sich in der Nähe des Computers befindet1, doch genügt dies nicht. Die Daten müssen darüber hinaus an einem physikalisch separaten Ort gesichert werden (auf einer Festplatte, die Sie vom Büro zu sich nach Hause nehmen oder in einem Bankschliessfach deponieren; in der Cloud; usw.).

Wichtig ist, regelmässig sicherzustellen, dass die Sicherung vollständig ist und problemlos wiederhergestellt werden kann; denn Sie wollen sich nicht auf das Backup verlassen, um dann im Notfall feststellen zu müssen, dass die gespeicherten Dateien nicht mehr oder nicht mehr vollständig eingelesen werden können, weil beim Sichern Daten korrumpiert wurden oder weil die externe Festplatte nicht mehr richtig funktioniert.

Des Weiteren sollten Sie darauf achten, dass Ihnen das Backup auch den Zugriff auf frühere Versionen einer Datei gibt. Das Backup sollte also nicht bloss den neusten Zustand der Dateien abbilden, sondern auch frühere Zustände. Wenn Sie zu einem späteren Zeitpunkt feststellen, dass sich ein Fehler in ein Dokument eingeschlichen hat, können Sie nämlich auf diese Weise auf die Version vor dem Fehler zurückgreifen. Um dies zu erreichen gibt es grob gesagt zwei Methoden. Entweder bietet das Programm, das Sie für die Datensicherung nutzen, die Möglichkeit der Versionierung an (das heisst, die Software sorgt automatisch dafür, dass frühere Versionen während einer gewissen Periode beibehalten werden und neben der neusten Version existieren), oder aber Sie müssen selber dafür sorgen, indem Sie beispielsweise mehrere externe Festplatten in einem vordefinierten Rotationsprinzip einsetzen2.

Sicherstellung der Vertraulichkeit der Daten

Sie erstellen bereits regelmässig Backups? Sehr gut! Das heisst, wenn Ihr Laptop oder Ihre externe Festplatte abhandenkommt, haben Sie wenigstens Ihre Daten nicht verloren. Aber: Der unehrliche Finder ist nun im Besitz Ihrer Geräte. Sofern Sie keine weiteren Vorkehrungen getroffen haben, hat er somit auch Zugriff auf Ihre Daten.

Abgesehen davon, dass Sie verhindern wollen, dass eine fremde Person in ihren Sachen herumschnüffelt, haben Sie insbesondere als geschäftlich tätige Person rechtliche und/oder vertragliche Pflichten, die Vertraulichkeit zu gewährleisten. So werden Sie sich für gewisse Übersetzungsaufträge in einer Geheimhaltungsvereinbarung zur Verschwiegenheit verpflichten. Darüber hinaus haften Sie in der Schweiz – wohl aber auch in anderen Ländern – als Auftragnehmer für getreue Ausführung (Art. 398 des Obligationenrechts), was auch die Pflicht zur Diskretion und Geheimhaltung beinhaltet. Weiter stellt das Strafgesetzbuch die Verletzung des Fabrikations- oder Geschäftsgeheimnisses (Art. 162 StGB) und des Berufsgeheimnisses (Art. 321 StGB) unter Strafe. Nicht zuletzt muss auch das Bundesgesetz über den Datenschutz eingehalten und dabei insbesondere die Datensicherheit gewährleistet werden (Art. 7 DSG).

Wenn Sie nun denken, dass Ihr Computer geschützt ist, weil Sie sich jedes Mal mit Ihrem Windows-Benutzer und Passwort anmelden, muss ich Sie leider enttäuschen, da dies nur unbedarfte Diebe abhalten wird. Es ist in etwa so, wie wenn Sie die Haustüre abschliessen, sämtliche Fenster auf der Hinterseite des Hauses jedoch offen lassen. Die Benutzerkonten des Betriebssystems (ob nun unter Windows, OSX oder Linux) dienen in erster Linie dazu, die verschiedenen Benutzer eines Computers auseinanderzuhalten. So können alle ihre eigene Arbeitsumgebung auf dem Computer einrichten, ohne den anderen in die Quere zu kommen. Wenn Sie aber verhindern wollen, dass Unberechtigte auf Ihre Dateien zugreifen können, gibt es nur eine Lösung: Sie müssen sie verschlüsseln.

Lösungen im Einzelnen

Nach diesen allgemeinen Überlegungen möchte ich ein paar Programme und Anbieter aufführen, die Sie vielleicht in Betracht ziehen wollen.

Verschlüsselung der internen Festplatte

Das Betriebssystem von Apple bietet mit FileVault ein Werkzeug zur Verschlüsselung der gesamten Festplatte an. Auch Windows kommt – zumindest in der Pro- und Enterprise-Version – mit einem vergleichbaren Programm (BitLocker). Da diese beiden Programme vorinstalliert sind, ist deren Nutzung naheliegend. Sie sind einfach zu bedienen und haben nach meiner Erfahrung keine wahrnehmbare Verlangsamung des Computers zur Folge. Sie merken als Nutzer nichts von der Ent- und Verschlüsselung. Sie fahren den Computer hoch und melden sich mit Ihrem Benutzer und Passwort an, et voilà, die Daten stehen bereit, als wären sie nie verschlüsselt worden. Dasselbe beim Abmelden (die Verschlüsselung erfolgt vollautomatisch). Mit FileVault und BitLocker können Sie auf einfache Weise verhindern, dass der unehrliche Finder Ihres Laptops auf Ihre Daten zugreifen kann.

Nicht alle vertrauen allerdings proprietären Verschlüsselungsprogrammen. Stefan Thöni – Informatiker und Co-Präsident der Piratenpartei Schweiz – meint hierzu, dass er Verschlüsselungsprodukten, welche den Source Code und die Mechanismen gegenüber dem interessierten Anwender nicht offen legen, nicht traut – nicht weil alle kompromittiert wären, sondern weil es schwierig ist, Verschlüsselungsprodukte richtig zu machen, sodass ohne unabhängiges Review nichts garantiert ist. Auch der Chaos Computer Club Zürich (CCCZH) ist dezidiert dieser Meinung; aus seiner Sicht muss der Quellcode der jeweiligen Implementierungen öffentlich verfügbar und somit überprüfbar sein. Wenn Sie dies ebenso sehen, können Sie beispielsweise auf VeraCrypt oder DiskCryptor zurückgreifen bzw. – wenn Sie nur einzelne Dateien oder Ordner verschlüsseln wollen – auf Programme wie AxCrypt oder Cryptomator.

Backup auf einer externen Festplatte

Viele Hersteller von externen Festplatten liefern gleich auch Backup-Programme mit – zumindest für Windows-Nutzer. Sofern das entsprechende Programm auch die Möglichkeit bietet, die Datensicherungen zu verschlüsseln, ist dies wohl die bequemste Möglichkeit. Wenn die Verschlüsselung keine Option ist oder Sie dem mitgelieferten Programm nicht trauen, können Sie die weiter oben erwähnten Open-Source-Programme einsetzen.

Backup in der Cloud

Produkte wie Google Drive, OneDrive oder Dropbox sind einfach in der Handhabung, weit verbreitet und auf praktisch allen Plattformen lauffähig. Dies macht sie natürlich äusserst populär. Aber: Auch wenn sie für die Datensicherung benutzt werden können, sind sie doch eher als Synchronisationsdienst ausgelegt. Diese Dienste sollen also in erster Linie dafür sorgen, dass derselbe Datenbestand auf mehreren Geräten verfügbar ist. Wenn Sie beispielsweise zwei Computer mit demselben Dropbox-Konto verbinden, werden alle Änderungen im Dropbox-Ordner auf einem Computer auf den Dropbox-Ordner des zweiten Computers übertragen – und umgekehrt. Dies kann durchaus praktisch und auch gewünscht sein. Das heisst aber auch, dass sich allfällige Fehler (z. B. das versehentliche Löschen einer Datei) ausbreiten. Beim Backup geht es hingegen darum, den Datenbestand einzufrieren und für Notfälle beiseite zu legen. Dass es sich bei den oben erwähnten Angeboten mehr um Synchronisationsdienste handelt, zeigt sich auch darin, dass jeweils nur der spezielle, vom Programm angelegte Ordner hochgeladen wird. Wenn Sie also eine Datei sichern wollen, müssen Sie sie in den entsprechenden Ordner kopieren. Bei den Lösungen, auf die ich weiter unten eingehen werde, können Sie hingegen Ihre bestehende Ordnerstruktur beibehalten und dem Programm angeben, welche Ordner gesichert werden sollen.

Es gibt noch einen weiteren Punkt, der dafür spricht, diese Dienste nur in spezifischen, für das Unternehmen unkritischen Fällen und in Kenntnis der Dinge einzusetzen: Ihre Daten landen auf einem amerikanischen Server, sodass amerikanisches Recht gilt. Ausserdem sind Ihre Daten nur während der Übermittlung geschützt (die Verbindung mit dem Server ist verschlüsselt), doch werden die Daten auf den Servern zum Teil unverschlüsselt gespeichert. Und selbst wenn die Daten verschlüsselt auf den Servern abgelegt werden: Der Cloud-Anbieter ist im Besitz des Schlüssels, der für die Verschlüsselung verwendet wurde. Somit hat er Zugriff auf Ihre Daten. Im Minimum sollten Sie deshalb die Dateien vor dem hochladen selber verschlüsseln, entweder mit einem kommerziellen Produkt wie Boxcryptor, mit PanBox des Fraunhofer Instituts (im Moment nur für Windows und Android) oder mit einer Open-Source-Anwendung (siehe weiter oben)3.

Eine weitere Möglichkeit besteht darin, einen Anbieter zu nutzen, dessen Software die Daten auf dem Computer des Anwenders verschlüsselt, bevor sie hochgeladen werden – und zwar mit einem Schlüssel, den nur der Anwender kennt; so ist sichergestellt, dass nur dieser die Daten entschlüsseln kann. Unter solchen Speicheranbietern können das schweizerische Unternehmen SecureSafe mit Servern in der Schweiz sowie das ungarisch-schweizerische Unternehmen Tresorit mit Servern in der EU genannt werden. Daneben gibt es selbstverständlich noch viele andere Anbieter, doch das sind es die beiden, die ich selber ausprobiert habe und die mir aufgrund der technischen Dokumentation4 und der Schweizer Gerichtsbarkeit vertrauenswürdig erscheinen. Für wen auch immer Sie sich entscheiden, bei der Wahl des Anbieters sollten Sie laut Überblickspapier Online-Speicher des deutschen Bundesamts für Sicherheit in der Informationstechnik folgende Punkte berücksichtigen:

  • Datenverlust
  • Nicht-Verfügbarkeit / Dienstausfall
  • Insolvenz des Cloud Service Providers
  • Verlust der Vertraulichkeit der Daten
  • Verstoss gegen Datenschutzbestimmungen
  • Unsicheres Löschen (bei Vertragsende)
  • Unsichere Client-Software

Davon abgesehen gilt wie bereits gesagt: Wer mehr Kontrolle will, sollte ein vom Cloud-Anbieter unabhängiges Open-Source-Programm zur Verschlüsselung verwenden. In einem solchen Fall verzichtet man allerdings im Gegenzug auf die von SecureSafe und Tresorit (und anderen Cloud-Anbietern) angebotene Möglichkeit, Dokumente mit Drittpersonen sicher auszutauschen bzw. in einem Team zu bearbeiten – was natürlich kein Problem ist, wenn man lediglich eine Lösung für die Datensicherung sucht.

Zum Schluss

Dieser Blogeintrag deckt selbstredend bei Weitem nicht alle Lösungen, Produkte und Anbieter ab. Ich hoffe aber, dass er als Anregung dient und Sie dazu ermuntert – falls Sie dies noch nicht getan haben – Massnahmen für mehr Datensicherheit zu prüfen und zu implementieren.

Weitere Lektüre


  1. Es ist dies eine einfache und praktische Lösung, weil eine solche Festplatte immer zu Hand ist und für das Backup oder die Wiederherstellung der Daten unkompliziert an den Computer angeschlossen werden kann. [return]
  2. Zum Beispiel so: Die Festplatte A wird jeden zweiten Tag benutzt, die Festplatte B jeden vierten und die Festplatte C jeden achten, wobei man mit der Festplatte C beginnen sollte, sodass der Ablauf C, A, B, A, C, A, B, A, C usw. ist. Um die Daten von vor noch mehr Tagen wiederherstellen zu können, kann eine vierte oder fünfte Festplatte hinzugefügt werden. [return]
  3. Für den CCCZH ist die vorherige Verschlüsselung zwar besser als nichts, doch plädiert er dafür, Dateien nur dann in der Cloud zu speichern, wenn man die Infrastruktur selber kontrolliert (z. B. durch den Einsatz von ownCloud). [return]
  4. Vgl. White Papers von SecureSafe und Tresorit. [return]