Wie sicher ist OneDrive? Microsofts Cloud-Sicherheit erklärt

Wer OneDrive nutzt, speichert, organisiert und teilt Daten mit Microsofts Cloud-Dienst. Ob Microsoft dabei einen ausreichend hohen Datenschutzstandard erfüllt, nehmen wir in diesem Artikel unter die Lupe.

OneDrive-Sicherheit: Kurz und knapp zusammengefasst¶

Eigenen Angaben zufolge nutzt Microsoft für Uploads, Downloads und Backups eine Ende-zu-Ende-Verschlüsselung mit dem Verschlüsselungsstandard AES-256-Bit.

Zusätzlich ergänzen eine Zwei-Faktor-Authentifizierung und der Verschlüsselungsstandard TLS bzw. SSL die OneDrive-Sicherheit und bieten so eine zufriedenstellende Sicherheit für Cloud-Daten. Trotz guter Verschlüsselung steht jedoch durch die US-Serverstandorte eine mögliche Datenweitergabe an US-Behörden im Raum. Deshalb stellen andere Anbieter mit deutschen oder europäischen Serverstandorten in puncto Datenschutz grundsätzlich bessere Alternativen dar.

Was ist OneDrive?¶

Mit OneDrive speichern und organisieren Sie Ihre Dateien und Dokumente sowie weitere Daten wie Kontakte, Notizen, Passwörter oder Fotos in Microsofts Cloud. OneDrive ist für gängige Windows-Systeme verfügbar, setzt jedoch ein Microsoft-Konto voraus. Wer Microsoft 365 nutzt, besitzt automatisch OneDrive.

Auf Wunsch synchronisieren Sie OneDrive-Daten geräteübergreifend oder aktivieren die OneDrive-Synchronisierung nur für ausgewählte Apps und Geräte. Zudem können Sie mit OneDrive automatische Backups erstellen und per Freigabeoptionen mit anderen an Ihren Dateien arbeiten. Ein weiterer Vorteil: Der Cloud-Dienst ist mit 5 GB kostenlosem Cloud-Speicher in jedes Microsoft-Konto integriert.

Welche OneDrive-Verschlüsselung kommt zum Einsatz?¶

Detaillierte Angaben zu Microsofts Sicherheitsmaßnahmen für OneDrive finden sich auf der Microsoft-Supportseite. Microsoft betont, dass für zusätzlichen Datenschutz und Datensicherheit eine Ende-zu-Ende-Verschlüsselung mit dem Verschlüsselungsstandard AES-256-Bit zum Einsatz kommt. Zur Veranschaulichung: Um eine solche Verschlüsselung zu knacken, braucht es selbst mit einem Supercomputer mehrere Milliarden Jahre. Als Verschlüsselungsverfahren bietet AES-256-Bit somit einen ausreichenden Schutz, selbst bei großangelegten Brute-Force-Attacken. Für zusätzliche Sicherheit und Verschlüsselung bei der Datenübertragung zwischen Client und Server kommt zudem TLS zur Anwendung.

Zugriffsrechte für Daten in OneDrive¶

Ähnlich wie in Google Drive lassen sich Dateien und Ordner in OneDrive für ausgewählte Personen zum Lesen, Öffnen und Bearbeiten freigeben. Bei jeweiligen Ordnern oder Dateien finden Sie zu diesem Zweck das Menü „Freigeben“. Sie wählen dort die betreffenden Personen aus, generieren einen Freigabelink oder versenden diesen direkt per E-Mail an Adressen Ihrer Wahl. Sie können die Freigaben nachträglich bearbeiten oder beenden. Sie behalten somit stets die Kontrolle über Zugriffsrechte und bestimmen, wer Dateien sehen und bearbeiten darf.

Microsoft betont, dass ein „Zero-Standing-Access“ hinsichtlich Microsofts Zugriffsrechte auf Ihre Daten gilt. Das heißt, selbst Technikerinnen und Techniker dürfen in Ausnahmefällen nur mit expliziter Erlaubnis und unter erhöhten Sicherheits- und Wartungsauflagen auf Ihre Daten zugreifen. Eine Ausnahme gilt jedoch für staatliche US-Behörden. Microsoft verpflichtet sich dazu, berechtigten Auskunftsersuchen von US-Behörden zu folgen und den Zugriff auf OneDrive-Daten zu gewähren. Da US-Gesetze wie der **Cloud Act und der Foreign Intelligence Surveillance Act (FISA)**die Hürden für Überwachung und Datenweitergabe niedrig ansetzen, besteht die Gefahr, dass US-Behörden Ihre OneDrive-Daten relativ problemlos sichten können.

OneDrive und der Cloud Act¶

Beim US-Gesetz Cloud Act handelt es sich um eine 2018 verabschiedete Regelung, die Überwachungsbefugnisse der US-Behörden deutlich ausweitet. US-Firmen wie Microsoft sind verpflichtet, Daten an US-Behörden weiterzugeben, selbst wenn diese sich auf Servern außerhalb der USA befinden. Microsoft ist somit gezwungen, OneDrive-Daten herauszugeben, wenn US-Behörden einen entsprechenden richterlichen Beschluss vorlegen. In bestimmten Fällen ist der Zugriff sogar ohne richterliche Anordnung möglich.

Eine weitere Lücke in der OneDrive-Datensicherheit: Da die USA aufgrund von verschärften Überwachungsmaßnahmen nicht länger europäischen Datenschutzstandards entsprechen, erklärte der Europäische Gerichtshof den „EU-US Privacy Shield“ 2020 für ungültig. Unternehmen, die Daten in die USA übertragen, müssen selbst dafür sorgen, dass die Übertragung und die Speicherung von Geschäfts- und Kundendaten den europäischen Richtlinien zu Datenhoheit im Cloud Computing entsprechen. Microsoft sorgt nach eigenen Angaben jedoch dafür, dass Datenanfragen der Regierung wenn möglich rechtlich angefochten werden.

OneDrive-Sicherheit: Ist der Schutz vor Cyberattacken zuverlässig?¶

Grundsätzlich bietet Microsoft ähnlich wie Google und Apple eine solide, zuverlässige Sicherheit für Cloud Storage. Das gilt vor allem, wenn Sie OneDrive für private Zwecke oder die Sicherung nicht geschäftskritischer Daten nutzen.

Zu den OneDrive-Schutzmaßnahmen gegen Cyberangriffe und unberechtigten Zugriff zählen:

• Passwortschutz mit einem sicheren Passwort
• Zwei-Faktor-Authentifizierung
• AES-256-Bit-Verschlüsselung
• TLS-Verschlüsselung
• Zero-Standing-Access
• Netzwerkschutz durch isolierte Netzwerke und Firewalls
• Mobile Verschlüsselung von Daten mit OneDrive-App
• Account-Wiederherstellung (durch E-Mail, Telefonnummer oder Sicherheitsfrage)
• Account-Benachrichtigungen bei verdächtigen Anmeldungen
• Spamfilter für OneDrive-Mail und Virenscans durch Microsoft Defender
• Ransomware-Schutz (bei Microsoft 365)
• Persönlicher OneDrive-Tresor
• Sichere Rechenzentren durch Georedundanz
• Automatische OneDrive-Backups
• Synchronisierung von Daten mit verbundenen Geräten
• Uploads werden automatisch auf Malware oder illegale Inhalte gescannt
• Ende-zu-Ende-Verschlüsselung für Backups, Uploads und Downloads

Wo stehen die OneDrive-Server?¶

Die Microsoft-Server für OneDrive befinden sich vorrangig in den USA, jedoch auch in Asien und in der EU. Die Übertragung und Speicherung Ihrer Daten in den USA oder anderen Nicht-EU-Ländern ist somit sehr wahrscheinlich. Aufgrund dieser Tatsache liegt gemäß EU-Regelungen eine Drittlandübermittlung vor, die europäischen Datenschutzstandards widerspricht und keine rechtliche Datenschutzgrundlage bietet. Unternehmen müssen daher aus eigenem Antrieb Maßnahmen ergreifen, um Datensicherheit für Kundendaten zu gewährleisten und staatliche Zugriffe juristisch abzuwehren. Durch eine EU-Datengrenze bietet Microsoft europäischen Kundinnen und Kunden seit Mai 2021 jedoch die Möglichkeit, Daten ausschließlich in der EU verarbeiten zu lassen.

OneDrive-Datenschutz: Werden DSGVO und EU-Datenschutz erfüllt?¶

Aufgrund der besagten Übermittlung von Daten an US-Server und Server in Nicht-EU-Ländern gilt OneDrive als nicht konform mit der DSGVO. Durch die Verteilung an Serverstandorte außerhalb der EU unterliegen Daten keinem ausreichenden Datenschutz. Microsoft räumt sich in der Nutzungsvereinbarung zudem Rechte zur Nutzung von gespeicherten Daten ein. Eine DSGVO-konforme Auftrags- und Datenweiterverarbeitung ist mit OneDrive daher ebenfalls nicht garantiert.

Die Speicherung und Verarbeitung von OneDrive-Daten erfolgt laut Microsoft in geografisch verteilten Regionen und Verfügbarkeitszonen. Zu welcher geografischen Region die verwendeten OneDrive-Server letztlich gehören, bleibt für Nutzerinnen und Nutzer jedoch unklar. Eine weitere Grauzone: Microsoft scannt OneDrive-Uploads wie Dokumente und Fotos zur Verbesserung der Sicherheit auf Malware und illegale Inhalte. Auf welchen technischen Grundlagen die Datenscans basieren und was mit den Analysedaten konkret passiert, bleibt für Nutzerinnen und Nutzer ebenfalls intransparent. Es lässt sich somit klar sagen, dass OneDrive die DSGVO ohne eigene Schutzmaßnahmen von Unternehmen nicht einhalten.

Ist OneDrive sicher für Unternehmen und Compliance?¶

Auch aus Sicht von Datenschutz und Compliance erweist sich OneDrive als problematisch. Möchten Sie OneDrive geschäftlich nutzen, müssen Sie in Eigeninitiative EU-Datenschutzrichtlinien für den Schutz von Geschäfts- und Nutzerdaten umsetzen. Alle individuellen Vorkehrungen ändern jedoch nichts daran, dass es sich um ein US-Unternehmen mit internationalen Servern, intransparenter Drittlandübermittlung, Haftungsausschlüssen und Herausgabeverpflichtungen handelt. Es lässt sich daher selbst mit technischen und juristischen Vorkehrungen nicht ausschließen, dass US-Behörden Zugriff auf Ihre Daten erhalten. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) erklärte im Jahr 2020, dass OneDrive für Unternehmen als nicht DSGVO-konform gilt.

Unternehmen, die OneDrive dennoch nutzen, müssen in der Datenschutzerklärung folgende Informationen bereitstellen:

• Aus welchen Gründen kommt OneDrive zur Datenspeicherung zum Einsatz?
• Welche Rechtsgrundlage gilt für Speicherung und Verarbeitung der Daten?
• Wurde ein Vertrag zur Auftragsverarbeitung mit Microsoft geschlossen?
• Wie können Personen der Datenerhebung und -verarbeitung widersprechen?
• Wo lassen sich geltende Nutzungs- und Datenschutzbestimmungen von Microsoft finden?

Gemäß Artikel 28 der DSGVO müssen Unternehmen einen Vertrag zur Auftragsverarbeitung mit Microsoft abschließen, wenn Daten geschäftlich in OneDrive gespeichert werden. Darin sind folgende Aspekte zu definieren:

• Welche personenbezogenen Daten erhält Microsoft?
• Warum erfolgt die Datenweitergabe an Microsoft?
• Wie lange speichert Microsoft die Daten?
• Welche Rechte, Pflichten und Haftungsausschlüsse gelten?

Wenn Sie OneDrive DSGVO-konform und gemäß Compliance-Richtlinien verwenden möchten, halten Sie sich an folgende Punkte:

• Holen Sie eine Nutzereinwilligung per Opt-in für essenzielle und nichtessenzielle Cookies ein.
• Schließen Sie einen Vertrag zur Auftragsverarbeitung mit Microsoft ab.
• Passen Sie Ihre Datenschutzerklärung mit transparenten Informationen und Hinweisen zur Datenverarbeitung durch Microsoft an.
• Prüfen Sie Microsofts Standardvertragsklauseln.
• Dokumentieren Sie Risiken bei der Datenübermittlung und sichern Sie sich juristisch gegen Datenschutzverstöße ab.

Welche Alternative gibt es zu OneDrive?¶

Falls Sie Zweifel an Microsofts Datenschutzmaßnahmen haben und sich weiterhin fragen, welche Cloud am sichersten ist, dann vergleichen Sie deutsche Cloud-Anbieter. Zu denjenigen mit höchstem Datenschutz und DSGVO-konformen Serverstandorten zählen u. a. IONOS mit dem sicheren HiDrive Cloud-Speicher, die LeitzCloud und die Your Secure Cloud. Mit einem Cloud-Speicher-Vergleich verschaffen Sie sich einen Überblick über die bereitgestellten Leistungen und ein größtmögliches Sicherheitsniveau im weiten Feld der OneDrive-Alternativen.