pCloud sitzt in Baar im Kanton Zug und wirbt mit dem Versprechen, «Europas sicherster Cloud-Speicher» zu sein – unter anderem gemäss den «Schweizer Gesetzen, die am strengsten sind, wenn es um die Daten einer Person geht».
pCloud verspricht seinen 18 Millionen Nutzerinnen und Nutzern «Cloud-Verschlüsselung auf höchstem Niveau», auch gemäss dem «Zero-Knowledge-Prinzip», und das lebenslange Abonnement mit 2 TB Speicherplatz kostet momentan lediglich 399 Euro.
Ist das Angebot zu schön um wahr zu sein? Ist pCloud mit Sitz im Kanton Zug in der Schweiz vertrauenswürdig?
Darüber diskutierte ich in zwei Episoden der «Datenschutz Plaudereien» mit dem IT-Experten Marcel Waldvogel, der sich unter anderem sehr gut mit Datensicherheit und Verschlüsselung auskennt.
In den Shownotes zu den beiden Podcast-Episoden DAT131 Europas sicherster Cloud-Speicher und DAT132 Zero-Knowledge Privacy finden sich viele weiterführende Weblinks.
Cloud-Dienste sind Vertrauenssache und das erforderliche Vertrauen ist schwierig zu quantifizieren.
Bei pCloud ergaben unsere Abklärungen aber genügend Fragen, um ausführlich in den «Datenschutz Plaudereien» über den Cloud-Speicher-Dienst zu diskutieren.
Wie schweizerisch ist pCloud?
- Welche Auswirkungen hat es, wenn der operative Teil von pCloud vornehmlich in Bulgarien angesiedelt ist?
- Glaubt pCloud wirklich, die «Schweizer Gesetze [seien] am strengsten […], wenn es um die Daten einer Person geht»?
«Wir sind in der Schweiz ansässig und halten uns an die Schweizer Datenschutzgesetze, die zu den strengsten gehören, wenn es um die Daten einer Person geht.»
- Wie kann sich pCloud für Daten, die in Luxemburg und Texas liegen, auf schweizerisches Recht berufen?
«Wenn Sie sich bei pCloud anmelden, wählen Sie die Datenregion, in der Ihre Dateien und persönlichen Daten gespeichert werden – entweder in den 🇺🇸 Vereinigten Staaten (Dallas, Texas) oder in der 🇪🇺 Europäischen Union (Luxemburg).»
- Wieso soll gemäss den Allgemeinen Geschäftsbedingungen (AGB) für Nutzerinnen und Nutzer in der Europäischen Union (EU) gar nicht das schweizerische Recht anwendbar sein?
«[…] Ausnahme, dass die Gesetze der Schweiz nicht für Nutzer der Website oder der Dienste aus der Europäischen Union gelten, die außerhalb Schweiz ansässig sind, in welchem Fall das Recht des Territoriums, in dem der Nutzer ansässig ist, Anwendung findet.»
Wer steht hinter dem Angebot von pCloud?
- Wieso ist vom «jungen, zukunftsorientierten Team, das sein Bestes gibt, um den stark wachsenden IT-Markt maßgeblich zu beeinflussen», auf der pCloud-Website nichts zu finden? Wieso nennt pCloud keinen einzigen Namen, wieso zeigt pCloud keine einzige Person?
- Welche Rolle spielen die schweizerischen Wirtschaftsanwälte, die in den Verwaltungsräten der pCloud-Gesellschaften sitzen, welche Rolle der bulgarische Gründer und (ehemalige?) Geschäftsführer Tunio Zafer?
- Wieso wird pCloud inzwischen von der 2022 gegründeten pCloud International AG angeboten und nicht mehr von der 2014 gegründeten pCloud AG? Gibt es noch Gesellschaften, nachdem pCloud von einer Muttergesellschaft in der Schweiz schreibt?
Wie sicher liegen Daten bei pCloud?
- Wie passt es zum «Zero-Knowledge-Prinzip», dass pCloud dennoch Inhalte filtert und in der Folge allenfalls Nutzerkonten sperrt? Wieso überwacht ein schweizerischer Cloud-Anbieter überhaupt Nutzerinhalte?
«Die Anwendung von dem Zero-Knowledge-Prinzip bedeutet, dass weder wir, als Dienstanbieter, noch irgendeine Behörde oder Dientsstelle Zugriff auf Ihre Dateien haben werden.»
- Wie sind die ISO-Zertifizierungen von pCloud zu beurteilen, wie der «Encryption Hacking Challenge» von pCloud?
- Wieso behauptet pCloud, die «Rechts- und Sicherheitsteams [hätten] die vollständige Einhaltung der DSGVO sichergestellt», nennt aber keine EU-Datenschutz-Vertretung gemäss Art. 27 DSGVO in der Datenschutzerklärung?
«Unsere Rechts- und Sicherheitsteams haben die vollständige Einhaltung der DSGVO sichergestellt. […]»
Wie überzeugend ist das «Lifetime»-Angebot von pCloud?
- Wie kann ein Cloud-Dienst gegen eine einmalige Zahlung lebenslang angeboten werden?
«Sie brauchen sich nie wieder Gedanken oder Sorgen um die Speicherung Ihrer Dateien zu machen – sie werden bei uns sicher aufbewahrt. Und zwar ein ganzes Leben lang! Keine monatlichen oder jährlichen Zahlungen, keine weiteren Kosten, nur eine einmalige Zahlung, um Ihren Lifetime Cloud-Speicher zu erhalten.»
Und:
«Mit einer weltweiten Nutzerbasis von über 18 Millionen und einem branchenweit ersten LIFETIME-PLAN ist pCloud ein supersicherer Online-Speicherplatz für all Ihre unvergesslichen Fotos, Videos, Lieblingsmusik, persönlichen und geschäftlichen Dokumente.»
- Kann eine Aktiengesellschaft mit einem Minimal-Aktienkapital von 100’000 Franken einen Cloud-Speicher-Dienst für 18 Millionen Nutzerinnen und Nutzer betreiben?
Nachtrag: Podcast-Gespräch als Transkript
Das nachfolgende Transkript wurde mit dem AI-Dienst CastMagic automatisiert erstellt. Das Transkript kann Fehler enthalten und es gilt das gesprochene Wort.
Teil 1: DAT131 Europas sicherster Cloud-Speicher
Martin Steiger: Guten Tag, mein Name ist Martin Steiger. Ich freue mich, heute einmal mehr einen Spezialgast begrüssen zu dürfen, auch einen Wiederholungsgast, nämlich Marcel Waldvogel. Marcel Waldvogel, ich will ihn so beschreiben, ist IT-Experte und kennt sich vor allem auch mit Verschlüsselung sehr gut aus. Wieso bin ich froh, dass Marcel heute dabei ist? Ich habe nämlich einen Schweizer Anbieter entdeckt, der heisst pCloud und bezeichnet sich als Europas sicherster Cloud-Speicher. Schweizer Datenschutz, Sicherheit, oberste Priorität, End-zu-End-Verschlüsselung, Zero-Knowledge-Prinzip, DSGVO-kompatibel, und, und, und. Marcel, Herzlich willkommen in den Datenschutz Plaudereien. Einmal mehr, ich freue mich, dass du dir Zeit nimmst. Der Anbieter pCloud, den ich gefunden habe, soll ich da gleich zuschlagen? Er hat jetzt auch gleich einen Lifetime-Deal. Da kommen jetzt also 2 Terabyte für 5 Nutzer lebenslang, wenn ich es richtig im Kopf habe, für einmalig 399 Euro über. Perfekt, nicht?
Marcel Waldvogel: Ja, hallo Martin.Ja, hey, das klingt immer interessant. Und grundsätzlich ist so meine Erkenntnis, die ich in den letzten paar Jahren vor allem gesammelt habe, wenn etwas unwahrscheinlich interessant oder unwahrscheinlich gut klingt, dann lohnt es sich, genauer heranzuschauen und das zu verifizieren. Cloud-Speicher, insbesondere Sicherheitslösungen grundsätzlich, ist zu einem ganz wichtigen Teil Vertrauensfrage. Denn drei Pfeiler der Datensicherheit sind Verfügbarkeit, Vertraulichkeit und Integrität. Was heisst das? Ob der Dienst, ob man bei einem Cloud-Speicher auch auf diese Daten zugreifen kann, zu einem späteren Zeitpunkt, oder ob in der Hälfte der Zeit halt nichts verfügbar ist, die Webseite irgendwelche Fehlermeldungen liefert. Vertraulichkeit werden die Daten weitergegeben, sind die für jemand anderes mit mehr oder weniger Hacker-Mentalität zugreifbar. Und Integrität werden die Daten durch den Provider oder sonst jemand dritter verändert. Ob ein Dienst verfügbar ist oder eben nicht, oder ob er meine Daten verändert, das merkt man früher oder später. Aber wenn man die Daten weitergibt, im Geheimen weiterverkauft oder wenn es irgendeinen Mitarbeiter oder ein Sicherheitsloch gibt, wo man an die Daten herankommt, dann erfährt man das häufig erst Jahre oder Jahrzehnte spter. Und entsprechend ist es extrem wichtig, dass es auch Leuten dahinter geht, die sagen, hey, ich stehe zu meinem Wort, ich mit meinem guten Ruf, ich will euch zeigen, das bin ich, das sind meine Dienste.
Martin Steiger: pCloud, du und ich haben recherchiert, man könnte auch sagen, wir haben ein bisschen Open Source Intelligence gemacht, OSINT, wir haben mitgoogelt und ins Handelsregister geschaut. pCloud hat nach eigener Angabe unterdessen über 18 Millionen Nutzerinnen und Nutzer. Also für mich wahrscheinlich eines der grössten Online-Dienste, die wir in der Schweiz haben. Zu welchen Erkenntnissen bist du dann bei pCloud gekommen? Kann man denen vertrauen?
Marcel Waldvogel: Vertrauen quantifizieren ist extrem schwierig. Das Einzige, was wir haben, sind ein paar Anzeichen. Die meisten Tech-Firmen listen ganz gross ihre tollen Mitglieder und Firmeninhaber auf, die dort mitarbeiten. Bei pCloud findet man nichts. Es gibt keine Teamseite, keine Mitarbeiterseite, nichts. Das war für mich das Erste, was mich stutzig machte. Martin, du hast auch noch kurz ins Handelsregistriert geschaut. Was ist dir dort aufgefallen?
Martin Steiger: Dort haben wir interessante Sachen gefunden. Einerseits ist Die heutige Anbieterin des pCloud Cloud Storage Service ist eine pCloud International AG in Bach. Diese gibt es seit dem letzten Jahr, seit dem Jahr 2022. Gleichzeitig gibt es aber eine pCloud AG, also ohne das International, ohne International, seit 2014 an der genau gleichen Adresse in Baar. Wenn man dann da reinschaut, sieht man, dass der Verwaltungsrat von der pCloud International AG und seine zwei Anwaltskollegen aus Zürich dort drin sitzen. Also bei der neuen pCloud, sage ich mal, und bei der frühen pCloud, bei der pCloud AG, die es aber immer noch gibt. Dort sind heute auch die gleichen Anwaltskollegen drin. Wenn man aber ein wenig zurückgeht, dann sieht man, dass da irgendein Umstrukturierung stattgefunden hat. Also einerseits waren es mal sogar drei Anwaltskollegen, die hatten gemeinsam eine Kanzlei in Zürich. Jetzt sind es nur noch zwei. Der dritte arbeitet jetzt an einem anderen Ort. Und man hat vor allem auch noch einen Safar Schak hier drin. Sophia Bulgarien. Wenn man dann noch ein bisschen weiter schaut, vor allem auch bei LinkedIn, dann hat man den Eindruck, das war der Gründer von diesem pCloud. Wir haben hier also auf den ersten Blick irgendwie ein Unternehmen mit Sitz in Bar. Kanton Zug ist ja bekannt, auch das Steuerparadies, auch bekannt für Briefkastenfirmen. Wir haben Zürcher Anwaltskollegen, die da irgendwie drin sind, also heute auch das Sagen haben, schon lange irgendwie mit dem Verwaltungsrat gesessen sind. Und dann haben wir noch wie einen erheblichen Block von dem Unternehmen in Bulgarien. Immerhin Bulgarien ist ein EU-Mitglied, muss man sagen. Aber wenn man dann ein bisschen weiter sucht und so, eben auch gleich bei LinkedIn, dann findet man ganz, ganz viel Personal in Bulgarien.
Marcel Waldvogel: Eben, das eine, was mir sicher aufgefallen ist, ist, wieso haben die vor einem Jahr dort eine Zweitfirma gegründet. Das ist unklar, vor allem weil sie ja das Geschäft von der anderen Firma übernommen hat. Es kann sein, dass man mit ein gewisses Risiko aufsteigen und kompartmentalisieren wollte. Keine Ahnung wieso. Hast du Ideen, wieso man das sonst noch machen könnte? Für mich ist nicht klar. Man hat irgendetwas gemacht.
Martin Steiger: Letztlich ist die Frage, wie viele dieser Unternehmen überhaupt in der Schweiz sind. Es ist nicht so, dass Ofenbus operativ in Bulgarien zu Hause ist. Auch wenn man sich nachschaut, was sie versprechen. Sie versprechen zwar, dass das Ganze unter dem Schweizer Datenschutz und dem Schweizer Recht sei. Das seien übrigens die strengsten, wenn es um die Daten einer Person geht. Da muss ich jetzt ein wenig schmunzeln. Marcel, wir sehen uns hier. Wir machen diese Aufnahmen als Videokonferenz. Und ich muss ein wenig schmunzeln, weil das natürlich Quatsch ist. Also Schweizer Datenschutzrecht ist im Vergleich zum Liberalen sicher nicht der strengste der Welt. Aber es wird dann noch besser. Der Datenstandort ist in der EU in Luxemburg oder in den USA in Dallas, Texas. Dort kann man wählen. Die Daten liegen nicht einmal in der Schweiz, gemäss Angaben des Providers. Und auch noch kurios ist, wenn man mit AGB reingeht, dann ist für Nutzerinnen und Nutzer aus der EU ausdrücklich das Recht des jeweiligen EU-Mitgliedstaates anwendbar. Also am Schluss bleibt von der Schweiz ausser dem Sitz im Kantenzug irgendwie gar nichts mehr übrig.
Marcel Waldvogel: Und eben zwei AGs, die mehr oder weniger Minimal-AGs sind. Die eine hat 100’000 und die andere glaube ich 117’000 Aktienkapital. Wobei möglicherweise das eine Kapital ist das Besitz der Aktie der anderen Firma. Ein häufiges Konstrukt mindestens. Also für das, dass da relativ viel Vertrauen dahinter ist, ist das Risiko auf der Anbieterseite relativ klein. Und eben die Verbindung zur Schweiz sehr klein.
Martin Steiger: Ich habe mich auch noch gefragt, Cloud-Storage-Infrastruktur für über 18 Millionen User betreiben, braucht man da nicht viel Kapital? Also so Aktiengesellschaften mit Minimalkapital oder leicht darüber, reicht das?
Marcel Waldvogel: Also wenn du natürlich die Hardware und Software oder die Hardware und Plattenspeicher selber kaufst, ja, dann brauchst du relativ viel Geld, wenn du das entsprechend zuverlässig betreiben willst. Aber man nimmt ja heutzutage im Cloud-Zeitalter häufig an irgendwelche andere Anbieter aus, outsourcen, und zahlt dann im Prinzip nur noch Miete. Und kann das hoffentlich aus den laufenden Einnahmen der ganzen Benutzer finanzieren. Dort ist aber die Frage, sie finanzieren sich primär über Einmalzahlungen, diesen Cloud-Provider musst du aber jeden Monat was dafür zahlen für die Nutzung. Ja, es gibt auf jeden Fall etliche Fragezeichen.
Martin Steiger: pCloud selber sagt, sie speichere die Daten im Datacenter mit sogenannter Co-Location. Könnte das eine Erklärung sein?
Marcel Waldvogel: Also diese Co-Location-Datacenters, das ist einfach im Normalfall irgendwie ein Schrank, ein vergitterter Schrank, wo man häufig seine eigenen Rechner darin einstellt, wo aber eben diverse andere Leute und vor allem diverse Netzwerkanbieter auch ihre Ressourcen haben, sodass man eben sehr einfach zu ganz viel Netzwerkbandbreite kommt, was ideal ist eben für so einen Cloud-Dienst. Aber das würde eben auch wieder bedingen, dass da Geld nötig ist, man muss irgendwie auch eine Entwicklung mal bezahlt haben. Das hat man sicher auch nicht in 100’000 Franken die erste Entwicklung bezahlt. Vielleicht hatten sie früher ein anderes Geschäftsmodell, das das entsprechende Kapital erbracht hat. Aber sie geben sich sehr bedeckt. Das sind häufig eben nicht die Zeichen, die ich jetzt mit vollem Vertrauen sofort hergeben würde, ohne weitere Informationen.
Martin Steiger: Weg bei diesem Vertrauen, dass pCloud sagt, sie seien ISO-zertifiziert. Also ISO 9001 2015 Qualitätsmanagementsystem und auch ISO 2701 2013 Informationssicherheitsmanagementsystem.
Marcel Waldvogel: Also das sind sicher gute Sachen. Das heisst, Sie haben sich mal damit beschäftigt. Viele von Ihren Prozessen haben sie ziemlich sicher dokumentiert. Das ist eingespielt. Aber wenn wir uns die letzten paar grossen Daten anschauen, das sind alles auch ISO 27001 zertifizierte Firmen gewesen. Also rein, Dass man das gemacht hat, schützt einen nicht davor, dass einem trotzdem irgendwo ein Fehler unterläuft. Die allerblödsten Fehler macht man wahrscheinlich nicht, die allermeisten Anfängerfehler. Aber IT-Sicherheit ist ein relativ schwieriges Unterfangen, wo man sich dauernd darum kümmern muss, dass es gut läuft.
Martin Steiger: Vor einigen Jahren schrieb die IT-Sicherheit pCloud ein Challenge aus. Man hätte eine Belohnung bekommen, wenn man sie gehackt hat. 100’000 Dollar, auch in Bitcoin auszahlbar. Sie verweisen stolz darauf, dass niemand erfolgreich war. Wie beurteilst du so etwas?
Marcel Waldvogel: So, Preis ausschreiben sind immer sehr schwierig. Also zum einen, ich habe die Regeln nicht mehr gefunden, nach denen das Preis ausschreiben stattgefunden hat. Die haben es wahrscheinlich von der Webseite genommen, nachdem das fertig war. Häufig sind die Regeln sehr eingeschränkt. Es gibt genau bestimmte Sachen, die man machen kann. Und viele, und häufig eben auch die interessanten, aus Sicht von Angreifersicht, wenn man diese nutzt, ist man nicht mehr qualifiziert für den Beweis. Viele dieser Kryptoverfahren, die Challenges ausgeschrieben haben, da hat sich dann einfach auch niemand beteiligt. Die interessanten Sachen darfst du nicht machen. Du investierst vielleicht Tag, Woche in irgendwelchen Aufwand und ob dann schlussendlich irgendein Teil von diesem Preisgeld bei dir landet, ist unklar. Also von dem her ist das sicher, sind so Preisausschreiben alleine auch kein Qualitätskriterium und mindestens eine Zeit lang ist es eher auch fast ein Makel gewesen, wer so ein Preisausschreiben hätte brauchen müssen, der hatte meistens eben nicht wirklich die Qualitäten dahinter. Wir haben aber jetzt in diesem Fall aufgrund von dem, was sie dort bei der Auflösung angegeben haben, gehe ich davon aus, dass man im Prinzip hätte einfach einen AES-Schlüssel knacken können. Und ich habe zwar in meiner Jugend dazu beitragen, dass DES dann eben auch als unsicher erklärt worden ist. Ich weiss, wie man solche Sachen macht, aber das sind hier 40 und 48-Bit-lange Schlüssel gewesen und 256-Bit-lange Schlüssel. Da bräuchte man so ziemlich die ganze Rechenleistung der Welt und müsste die länger, wenn unser Universum so existiert, am Laufen behalten, um da dazuzukommen. Das macht niemand. Der schwierige Teil aber ist meistens eben nicht, oder der komplizierte Teil bei jedem Verschlüsselungsverfahren heutzutage, ist nicht das eigentliche AES-Verfahren, das symmetrische Verfahren, sondern wie du die Schlüssel verteilst, wie du die anderen Leute zugänglich machst, wenn mehrere Leute die Daten entschlüsseln und verschlüsseln sollen.
Martin Steiger: Bei der Verschlüsselung fällt mir auf, dass pCloud das Passwort der Military-Grade-Encryption verwendet. Wir schauen uns das an und lachen ein wenig. Ich sage nicht, dass es ein Passwort ist, für mich ist es immer ein Alarmzeichen. Nicht nur, weil ich bei der Armee, nicht nur in der Schweiz, aber auch anderswo, die vielleicht nicht primär Kompetenz für Verschlüsselung sehen, aber weil das auch nichts heisst. Was heisst Military-Grade Encryption?
Marcel Waldvogel: Wie gesagt, der eigentliche Verschlüsselungsmechanismus nimmt man heutzutage einfach an. Da ist man sehr sicher, dass man ein sehr gutes Produkt hat, möglicherweise das beste auf der Welt. Und eben das ganze Umfeld, wie pflege ich meine App, wie generiere ich den Schlüssel aus einem Passwort, wo speichere ich den auf dem Endgerät, wie kommuniziere ich den, wie lade ich eine zusätzliche Person ein, um auf einen Teil meiner Daten zugreifen zu können. All das sind die eigentlich interessanten und eben auch häufig eben dann vulnerablen, also anfälligen Prozessen. Die reine Verschlüsselung, eben Military Grade, hin und her, also Industrial Grade ist auch okay, aber eben Heutzutage ist AES eigentlich das, was alle nutzen. Und das würde ich auch ganz dringend empfehlen. Alles andere würde ich… Sollte man sich sehr gut überlegen, bevor man etwas anderes nimmt. Und das ist alles gleich gut heutzutage.
Martin Steiger: Jetzt muss ich sagen, mir sind jetzt auch keine Sicherheitslücke bekannt bei pCloud. Dabei war pCloud bis zu kurzem gar nicht bekannt. Wollayb ist spannend. Wir sitzen in der Schweiz mit über 18 Mio. Nutzerinnen und Nutzern. Wenn man von der Verschlüsselung oder bei LinkedIn sucht, kann man davon ausgehen, dass es in Bulgarien sehr fähige Leute gibt, die eine Kryptographie bauen können. Sieo und Gründer, erwähnte Herr Saffer, hat früher iMatchU betrieben. Das war eine Dating-Seite, die er bei LinkedIn schreibt. Aber die Kunst ist häufig, die richtigen Leute zu finden für so ein Projekt. Was mir hingegen kürzlich aufgefallen ist, war ein Hinweis eines Nutzers. Du hast über Vertrauen gesprochen, aber auch über Verfügbarkeit. Ja, bei diesem Nutzer war sein pCloud-Konto plötzlich nicht mehr verfügbar. Man hat ihm das Konto gesperrt und mit ein wenig Hin und Her hat man ihm dann mitgeteilt, man hätte da ein Badfile identifiziert. Man wollte nicht so recht sagen, was das Badfile könnte sein. Man hat ihm dann aber eine Auswahl geliefert, die unter anderem auch Kinderpornografie darunter war, aber auch zum Beispiel Terrorismus. Also man hat ihm auch gesagt, man hat ein Badfile gefunden, zusammen mit einer schweren Straftat. Man sagt ja nicht so recht, was das ist, aber man sperrt dich jetzt aus und gibt dir deine Daten nie mehr zurück. Einerseits ist das leider sehr typisch bei Cloud-Diensten. Man muss leider immer damit rechnen, dass man jederzeit Zugriff verliert, aus irgendeinem Grund, den sie nicht so genau nennen. Aber was den Nutzer sich gefragt hat, ist, ja, die sagen doch Zero-Knowledge-Prinzip, M2M-Verschlüsselung usw. Da geht dann heraus, was das tatsächlich genutzt hat. Wie sind die dann an die Daten gekommen? Die Antwort, Marcel, habe ich dir weitergeleitet. Willst du vielleicht gleich direkt etwas dazu sagen.
Teil 2: DAT132 Zero-Knowledge Privacy
Martin Steiger: Was sich der Nutzer gefragt hat, ist, dass sie doch das Zero-Knowledge-Prinzip, die M2M-Verschlüsselung, sagen. Wie sind die Daten denn angekommen? Die Antwort, Marcel, habe ich dir weitergeleitet. Möchtest du vielleicht direkt etwas dazu sagen?
Marcel Waldvogel: Also die Antwort ist leider nicht so schön technisch klar, wenn ich sie mir gerne wünschen würde. Darum auch wieder ein Versuch der Interpretation, auch aufgrund von dem, wie es andere ähnliche Anbieter machen. Unter anderem, weil man die Integrität dieser Daten schützen will. Vor allem auch dafür sorgen, dass, falls eine Festplatte kaputt geht oder ein SSD, dass man dann weiss, ob diese Daten nachher wieder rekonstruiert werden können oder ob man sie von einem Backup oder so weiter zurückholen muss. Und darum legt man sich ganz häufig noch irgendwelche Hashes an. Das sind komplizierte kryptographische Prüfsummen, die eben bei kleinsten Veränderungen schon einen ganz anderen Wert ergeben. Und die kann man natürlich auch verschlüsselt abspeichern und verschlüsselt kommunizieren. In diesem Fall vermute ich aber, dass die eben im Klartext, also die Prüfsumme, die einfach, das sind nur 32 Byte wahrscheinlich pro Datei, die eine Art ID dieser Datei sind. Die sind nebendran einfach nochmal abgelegt. Die kann man eben für verschiedene gute Zwecke brauchen, eben zum Festplattenkorruption oder ähnliches feststellen. Aber halt eben auch, die kann man gegen Listen von anderen solchen Hashes überprüfen. Und eben, es gibt so Aggregatoren, die diesen Providern solche Listen von Hashes zur Verfügung stellen, von Bad Files. Wie diese in den Stand kommen, weiss man häufig nicht. Wahrscheinlich war einer dieser Hashes von einer dieser Dateien auf einer solchen Liste.
Martin Steiger: Ich finde das noch eindrücklich. Ich muss auch wissen, in der Schweiz haben Provider keine Pflicht, Nutzerinhalt zu überwachen. Sie machen es gemäss dem Kenntnisstand im Normalfall auch nicht. Anders als in den USA. Die mechanischen Cloud-Anbieter müssen den Inhalt der Nutzer scannen. Auf bestimmte potenzielle verbotene Inhalte geht es wirklich erstlinig um das CSAM, also salopp gesagt, Kinderpornografie, sonstige verbotene Inhalte. Also auch hier wieder der Punkt, Was machen die eigentlich? Wieso machen sie das freiwillig? Und du hast jetzt gesagt, mit diesen Hash-Werten… Wenn ich das richtig verstehe, wie so ein Hash funktioniert, dann muss man ja zuerst mal den Hash erstellen. Also man weiss, was das für eine Datei ist, erstellt den Hash-Wert, speichert es irgendwie ab, scannen es, aber ist das dann noch Zero-Knowledge?
Marcel Waldvogel: Zero-Knowledge ist ein Wort, das heutzutage für fast alles gebraucht wird. Nein, 0 ist es nicht. Insbesondere kann man damit auch feststellen, dass zwei Leute die gleiche Datei haben. Und das kann natürlich auch schon ganz interessante Korrelationen geben, insbesondere oder auch sonst, wenn man eben irgendeine Datei hat, wo man weiss, dass nur ein paar wenige Leute, die ganz besondere Geheimnisse darauf zugreifen. Irgendwelche Staatssicherheitsdokumente kann man so die entsprechenden Leute herausfinden. Also diese Hashes können sehr verräterisch sein. Ich würde mir diese nicht unbedingt abspeichern. Es hat aber nochmals einen anderen technischen Vorteil. Man kann dann, wenn zwei Nutzer unabhängig voneinander die gleichen Dateien abspeichern, dann kann man diese nur einmal auf der Festplatte speichern. Das wurde früher häufig gebraucht, als der Festplattenspeicher noch etwas knapper war. Auch für solche Zwecke.
Martin Steiger: Das schreibt pCloud auch, dass sie das machen dürfen. Also ausdrücklich. Vielleicht ist da auch die Antwort dahinter mit den zwei Terabyte, die sie immer auch sehr günstig im Moment anbieten. Sie könnten auch diesen Hintergrund haben. Mich beschäftigt das aber trotzdem. Mich beschäftigt es auch als Anwalt. Als Anwalt hat man vielleicht aufgrund von bestimmten Mandaten auch mal Daten, die potenziell verboten sind. Die muss man natürlich anschauen, in Form von digitalen Akten. Und da würde man jetzt sagen, so ein Anbieter wie pCloud, hat man es vielleicht auch genutzt. Weil eben auf den ersten Blick sieht es ja gut aus, sie haben all diese Passwords usw. Vielleicht auch, wenn man jetzt als Laien ist, auch mal irgendwo gelesen hat, auf was man schauen muss, dann sieht das eigentlich so schlecht nicht aus. Dann wird der Account gesperrt. Das kann erhebliche Folgen haben. Auf den ersten Blick sieht es gut aus. Man findet viel Auffälligkeit. Ein weiterer Klassiker ist, dass sie sagen, sie würden die Datenschutzgrundverordnung der EU, DSGVO, englisch GDPR, vollständig einhalten. Da bin ich immer skeptisch, aber okay, muss man natürlich sagen. Aber das machen sie offensichtlich nicht, weil sie keine EU-Datenschutzvertretung haben. Ein Provider in der Schweiz, wo das Angebot sich einer Person im arabischen Wirtschaftsraum richtet, braucht eine EU-Datenschutzvertretung gemäss Artikel 27. Das weiss ich sehr gut, weil Datenschutzpartner, bei denen ich auch engagiert bin, das unter anderem anbieten. Ich fand es zumindest nicht, auch in der Datenschutzerklärung nicht. Also das ist übrigens ein sehr guter Test, wenn behauptet wird, DSGV, die werde ich umsetzen. Wer das nicht hat, der hat den Erklärungsbedarf, weil es gibt Ausnahmen, aber die greifen eigentlich nie, auch sicher nicht bei pCloud.
Marcel Waldvogel: Insbesondere wenn sie ja eine relativ starke Basis in Bulgarien haben, wäre das ja eigentlich fast trivial, für Sie das entsprechend auch umzusetzen. Also das ist so eine der Fragen, die sich raufkommen. Das andere, wegen Vertrauen und Nutzung von einem Cloud-Dienst, wenn man einen lokalen Cloud-Dienst will, Weil man ja häufig auch die Möglichkeit hat, lokal mit dem Support zu kontaktieren. Und das ist jetzt in diesem Fall, wenn ich von dir weiss, auch ein bisschen schwierig.
Martin Steiger: Ja, also wir müssen davon ausgehen, ich war jetzt nicht vor Ort in Bar. Aber es ist jetzt auch nicht gerade die klassische Briefkastenfirma auf den ersten Blick. Wahrscheinlich haben es tatsächlich ein paar Büros dort. Aber eben von der ganzen Konstruktion her, hättest du auch erwähnt, der Aals-Kollege aus Zürich, die sehen jetzt auf den ersten Blick nicht aus, als würden die operativ so einen Cloud-Storage-Anbieter schmeissen.
Marcel Waldvogel: Eben, und die Kommunikation findet auf Englisch statt. Ist das auch eine Schwierigkeit?
Martin Steiger: Da bin ich nicht mal so sicher. Ich gehe davon aus, dass sie auch mit anderen Sprachen kommunizieren. Die Webseite ist mehrsprachig. Ich könnte mir vorstellen, dass das nicht das Hauptproblem ist. Ich mache das auch bei solchen Anbietern, die auf Englisch starten. Auch wenn es nicht meine Muttersprache ist, das geht ja schon. Heute kann man auch noch AI zur Hilfe rufen, wenn man ein Problem hat, eine Jet GPT etc. Aber ich glaube, der Support funktioniert wohl schon. Das Unbefriedigende ist, unabhängig von der Sprache, dass die wirklich einfach sagen, ja, bad file, sorry, tschüss, man könnte ja nicht helfen. Wenn du etwas willst, dann musst du halt wieder den Rechtsweg beschreiten. Und das ist natürlich einfach sehr unbefriedigend, auch wenn man so klassische Empfehlungen anschaut, jetzt bei Cloud Services, dann müsste das das eigentlich nicht möglich sein. Das ist ein klassischer Zielkonflikt, unabhängig von pCloud. Jeder anbietet sich vor, bestimmte Bedingungen fristlos zu kündigen. Das ist fast nicht lösbar, weil man schon am kürzeren Hebelans kommt.
Marcel Waldvogel: Ja, und eben häufig hat man ja eben diesen Cloud-Provider genau darum ausgewählt, weil man nicht alle Daten dauernd mit sich herumschleppen wollte. Das heisst, man verliert seine Daten, man verliert potenziell seine E-Mails je nach Cloud-Service-Anbieter, man verliert seine Kontaktdaten, man verliert Familienfotos von, wie die Kinder aufgewachsen sind oder von sonstigen wichtigen Ereignissen. Ja, wir haben unser ganzes Leben dort dran. Und dann wäre es schon irgendwie gut, wenn dieser Wert auch von der anderen Seite entgegengebracht würde.
Martin Steiger: Bei pCloud ist es immerhin so, es ist einfach ein Cloud-Storage-Provider. Also man hat investiert Dateien dort abgelegt, Es gibt keine Services etc. Es ist nicht ein Apple- oder Google-Account. Den kann man genauso jederzeit verlieren. Was wir auch sagen, da hängt noch etwas mehr dran. Es ist aus meiner Sicht nicht lösbar. Es gibt keinen entsprechenden Konsument- oder Verbraucherschutz, zumindest in der Schweiz. In Deutschland gibt es Rechtsprechung. Dort sagt die Rechtsprechung zwar, unter gewissen Bedingungen darf man fristlos künden. Ist auch klar. Ist auch ein Teil der Vertragsfreiheit. Aber es wird zum Beispiel verlangt, dass man Stellung nehmen kann als betroffene Person. Eben auch hier steht der Vorwurf im Raum. Das ist doch noch happig. Ich habe es noch einmal rasch aufgerufen. Also da wird gesagt, es sei eine von drei Möglichkeiten bei dem FAT-File. Entweder Malware-File, also Shot-Software, terrorbezogene Videos oder Kinderpornografie. Ich fände es jetzt nicht so lustig, wenn man mir das unterstellt.
Marcel Waldvogel: Also ich definitiv auch nicht. Und eben, wie gesagt, du hast vorher noch Apple und Google angesprochen. Da gibt es ein paar Fälle aus den USA, wo bei diesen grossen Multi-Provider dann halt eben das ganze Konto gesperrt wurden. Unter anderem, weil man seinem Arzt irgendwelche Fotos während der Pandemie von einer Entzündung beim Sohn im Genitalbereich schicken, um zu wissen, was wir jetzt hier machen müssen. Und das war der Grund, weshalb das Konto gesperrt wurde. Alle Daten weg, alle E-Mails weg. Und obwohl nachher die Polizeibehörden, die Strafverfolgungsbehörden gesagt haben, nein, das ist alles okay. Er hat das Foto von seinem Sohn dürfen seinem Arzt schicken. Hat der Cloud-Provider nicht mehr die Möglichkeit Videos oder Kinderpornografie. Ich fände es jetzt nicht so lustig, wenn man mir das unterstellt.
Martin Steiger: So Meldungen aus den USA gelangen dann immer wieder auch in die Schweiz. Wenn es mir reicht, ist das Bundesamt für Polizei, das Fedpol, gemäss Medienberichten nicht eines der Probleme, dass viele von diesen Meldungen einfach Inhalt betreffen, die offensichtlich nicht strafbar sind, also die man dann entsprechend aussatieren muss. E-Mail muss ich sagen, bei Peak Cloud scheint es einen Support zu geben, den man erreichen kann. Er ist zwar nicht hilfreich, aber er ist erreichbar. So bei Google und Microsoft ist das ja im Normalfall fast noch schlimmer. Also man kommt dann gar nicht ans Ziel. Marcel, ganz zum Schluss, ist es dir möglich, zu sagen, wenn man einen sicheren Cloud-Dienst sucht, wo man Daten aufbewahren will, als Laien, ohne gleich dich zu beauftragen, um das genau unter die Lupe zu nehmen, auf was du empfehlen würdest, sollte man so ein bisschen schauen? Einfach so ein Grub-Check, ohne Verbindlichkeit, einfach, dass man mal so die typischen Probleme aussortieren kann.
Marcel Waldvogel: Also ich würde die ganz kleinen eher vorsichtig nehmen. Also jetzt bringt es nicht zu mir, weil es ist doch relativ viel Aufwand da, damit man die Sicherheit eines Dienstes rund um die Uhr gewährleisten kann. Das ist bei einer Einzelperson oder einem kleinen Team eher schwierig. Das andere wäre für mich wichtig, ein bisschen zu wissen, wer dahintersteht. Und eben auch unter Umständen die Möglichkeit zu haben, immer mal ein schwieriges Problem mit diesen Leuten direkt zu telefonieren, direkt vor Ort zu sein. Also von dem her eben ein nicht allzu kleiner Provider mit gutem Support, der halt auch in den Problemfeldern immer noch einen guten Support bietet. Aber das ist natürlich auch schwierig abzuschätzen. Und eben, wo halt auch mit seinem guten Namen für diese Qualität und für diese Dienststellen.
Martin Steiger: Von meiner Seite noch Indikatoren, zum Beispiel pCloud. Für mich ist immer ein bisschen verdächtig, wenn man mit so unglaublichen Rabatten werben muss. pCloud im Moment wirbt mit 85 % Rabatt. Das erinnert mich an die Werbung typischer VPN-Anbieter. Auch ein Thema, das wir schon in der Datenschutz-Blog-Reihe hatten. Anbieter, wieso sollte man so viele Rabatt geben? Das macht überhaupt keinen Sinn. Ein Warnzeichen sind für mich auch immer die Lifetime-Angebote. Vom Geschäftsmodell her ist das einfach etwas fragwürdig. Die Erfahrung ist ja dann auch, dass die Lifetime-Angebote eben doch nicht das Leben lang gültig sind. Entweder werden sie tatsächlich eingestellt, kommt immer mal wieder vor, oder es wird dann so umstrukturiert, dass das Angebot nichts mehr wert ist. Für alle, die finden, sie wollen in der Schweiz unterwegs sein, bei einem Schweizer Anbieter, da muss man genau hinschauen. Wie schweizerisch ist dieser Anbieter? Viele Anbieter, die Schweizer-Fans schwenken, sagen, die Schweiz sei Am besten beim Datenschutz, bei der Datensicherheit. Das ist nicht nur falsch. Denn unser Datenschutzrecht ist verglichen mit dem Liberalen sicher nicht das strengste der Welt. Die Schweiz ist ein ausgewachsener Überwachungsstaat. Behörden haben das sehr viele Möglichkeiten, häufig mehr Möglichkeiten als in anderen Ländern. Aber wenn es trotzdem wichtig ist, eben genau hinschauen. Jetzt bei pCloud, unser Data Center in Luxemburg oder in den USA. Man kann auswählen. Man sieht eben auch, dass die eigentlich aus Bulgarien heraus operieren. Das ist alles nicht schlimm, aber sie machen es nicht transparent, was dann für mich schon wieder verdächtig ist. Man könnte problemlos sagen, hey, wir sind ein Unternehmen mit Sitz in der Schweiz, aber unsere tollen Leute sitzen in Bulgarien. Das ist ja nicht verwerflich oder so. Und eben, wir sind auf Europa ausgerichtet. Aber da auch genau hinschauen und von wegen Europa, wenn schon, die DSGVO als Goldstandard anheben soll, dann rasch schauen. Die Datenschutzerklärung wird der Datenschutzvertretung erwähnt. Falls nicht, ist die Wahrscheinlichkeit höher, dass die DSGVO eben nicht eingehalten wird an diesem ganz einfachen Punkt. Marcel, vielen Dank, du warst heute dabei. Vielleicht kommen wir ja noch spannende Rückmeldungen über. Auf ein anderes Mal. Macht’s gut, Marcel.
Marcel Waldvogel: Danke gleichfalls. Tschüss, Martin.
Nachtrag II: Schwerwiegende Sicherheitslücken bei pCloud
Im Oktober 2024 veröffentlichten Forscher der ETH Zürich unter anderem schwerwiegende Sicherheitslücken bei pCloud.
Beitragsbild: Microsoft Bing Image Creator.
Vielen Dank für diese beiden sehr erhellenden Episoden!
Ist es möglich, so etwas zu Proton zu wiederholen?
@Ernest:
Ja, das ist denkbar, aber Proton steht heute deutlich besser da, allein schon, weil wesentlich mehr Transparenz besteht. Auch gehe ich davon aus, dass Proton aus früheren Fehlern gelernt hat.
Hallo, vielen Dank für den super Beitrag! Bin pCloud Nutzer und würde gerne mehr zu den Hintergründen wissen. Gibt es ein Transkript? Ich würde gerne alles komplett verstehen, aber mein Schwitzerdütsch is nicht so gut…
Viele Grüße!
@Andre:
Du kannst gerne aus den downloadbaren Audio-Dateien selbst ein Transkript erstellen lassen. Dafür gibt es inzwischen ja zahlreiche Dienste.
In diesem Fall habe ich das Transkript, wie es CastMagic geliefert hat, nun aber veröffentlicht.
VIelen dank für die Podcast. Eine aktuelle Einschätzung zu Proton und deren zahlreichen Dienstleistungen wäre tatsächlich sehr gewünscht!
Super Beitrag Danke! Ist für mich ein „no go“ pCloud unter den Bedingungen. Proton und die Lösungen von infomaniak (kDrive) stehen bei mir aktuell zur Diskussion. Eure Meinung zu den Diensten von infomaniak würde mich sehr interessieren.
Ja, ein genauer Blick auf kDrive von Infomaniak würde mich auch brennend interessieren!