Fotos in einer Cloud <--> Datenschutz und Sicherheit = Geht das? Mit Einschränkungen?

Hi,

allem Voran, bin ich mir nicht sicher, ob dieses Thema hier hin, oder eher in Datenschutz gehört.
Habt auch ein wenig Rücksicht, mein Verständnis von der komplexen Welt der IT-Sicherheit und Datenschutz ist noch rudimentär.

ich würde gerne die gesamten Familienfotos für die einzelnen Familienmitglieder von unterwegs zugänglich machen und gleichzeitig vor Verlust schützen.
Ausreichenden Schutz vor Verlust hätte ich, wenn ich sie auf einen Server hochlade und gleichzeitig auf Platte vor Ort ein Backup, richtig?

Nun ist mir nach langer Zeit rumtummeln im Kuketz-Blog auch klar, dass so eine Onlinegeschichte beim Thema Datenschutz nicht gerade besticht. Gibt es dennoch gewichtige zu bedenkende Punkte die den Schutz der Daten erheblich erhöhen können?

Ich habe z.B. Hetzner.de ins Auge gefasst, da sie beim Storage ein sehr gutes Angebot haben (ca. 5€ für 1TB) und die Server in DE stehen. Weiterhin habe ich gedacht, dass so ein großer Name auch eventuell mit größeren Schutzmaßnahmen vor Angriffen und Verlust der Daten zu verbinden sei.
On Top bietet es nextcloud.

Selber so etwas über den heimeigenen Router aufzusetzen, schätze ich mit meinem Laienwissen, als gefährlicher ein (

Vielleicht ein paar konkretere Fragen dazu:

Wenn man die Fotos verschlüssen würde, könnte man die dann noch unkompliziert aufrufen und ansehen?
Gibt es sicherere Alternativen? Wenn ja, wieso?
Gibt es bei so etwas eine 2FA und bringt die was, oder verwechsel ich hier Birnen mit Äpfeln?

Wenn ich weitere, wichtige (und sensible) Daten zum Schutz verschlüsselt auf den Server lade, ist der Aufwand der Entschlüsselung dann noch seinen Inhalt wert? Also ich hab ja keinen CryptoKey mit Milliarden darauf, ich rede eher von so etwas wie wichtigen Urkunden und Unterlagen…

Welche praktischen Alternativen nutzt ihr?

Vielen Dank im Voraus für eure Unterstützung und die Geduld mit den ewig währenden Anfängerfragen.

harlan

Hi Harlan

Wo liegen die denn heute? Gesammelt auf einem Rechner, verteilt auf den Geräten der Familienmitglieder?

Vermute mal, es geht um Zugriff von mobilen Endgeräten aus. Apple, Android, sonstige?

Willst du Features wie Bildervorschau oder Resize-Darstellung mit niedrigerer Auflösung (damit nicht erst ein z. B. 5 MB großes Bild komplett runtergeladen werden muss um zu sehen, was es ist)?

zur Zeit liegen die Bilder teilweise verteilt auf mobilen Geräten, Rechner und ext HDD und ich würde sie gerne zentral zusammenführen und dann daraus auch ein Backup machen.

Also ich möchte sie auch von in einer Liste als Vorschau angezeigt kriegen, aber auch zügig durch die Bilder wischen können, wie ich es gewohnt bin bei Bildern auf meinem mobilen Endgerät.

Das ist eher ein schwieriges Unterfangen, Foto, Daten auf einem Server zu verschlüsseln braucht Zeit. Das kann bei Fotos schon einige Zeit dauern…
Bei Hetzner eine Storage zu mieten ist ein verlockendes Angebot, nur a) sind die für diesen Zweck zu langsam und b) bei Verschlüsselung viel zu langsam. (habe selbst eine gemietet)
Das Einzige, was so halbwegs funktioniert, wird wohl eine Nextcloud sein. Bei der Nextcloud kann man die Daten auch verschlüsseln, dort wird aber auch die Geschwindigkeit darunter leiden. Dann kommt hinzu, Kenntnisse um einen Server selbst zu hosten, die ganzen fertigen Lösungen sind so na ja…
Also wie du siehst, alles nicht so einfach, ich betreibe selbst eine Nextcloud seit einigen Jahren, ich weiß, wovon ich rede.

Ich habe einen Raspi 4B mit dietpi auf einer 500 GB M2 SSD laufen und dort meine Nextcloud, die nur aus dem Heimnetz respektive via Wireguard erreichbar ist. Wem ich Zugang gewähren möchte, erstelle ich ein Wireguard- und ein Nextcloud-Profil. War für mich der einfachste, schnellste und kostengünstigste sowie privacyfreundlichste Weg. Jede Nacht läuft ein Backup auf eine zweite SSD.

Ich hab auch was bei Hetzner gemietet und es mit paar Fotos ausprobiert, also die anzuschauen finde ich jetzt nicht zu langsam. Sie sind halt nicht verschlüsselt. Aber vielleicht gibt es noch eine zusätzliche Sicherheitsoption mit 2FA, weißt du da was?

Die Verschlüsselung bezog sich eher da drauf, sensible Daten bereits verschlüsselt hochzuladen und ob dies eine ausreichend sichere Option ist.

Wir reden von der Storage Box 1 TB, oder? Es kommt immer darauf an, wann du zugreifst, am Abend etwas langsamer am Morgen geht. Wenn, du die Fotos nicht verschlüsselst, geht das sicher, aber ohne Verschlüsselung im Netz? Falls es die Storage Box sein sollte, ist nur das SFTP Protokoll verschlüsselt, das andere nicht.
Bei der Storage Box gibt es kein 2FA! Wie sendest du die verschlüsselten Daten, ZIP, oder ähnliches, sollte schon funktionieren.

Ja, genau.

Wäre das die sehr langsame Variante?

Ich hatte an sowas wie Cryptomator oder ähnliches gedacht. Aber genau kenn ich mich da auch nicht aus.

Aber nochmal zur Ausgangsfrage. Bei Hetzner seine Fotos hochladen und jederzeit für ausgewählte Benutzer abrufbar haben, ist was die Sicherheit der eigenen Daten angeht, sehr kritisch zu sehen, oder eher weniger?
Lässt man da ganz die Finger von, oder ist das schon weitaus besser, wie googlecloud icloud und co?

Welche Möglichkeiten gebe es denn noch? Es wäre schon schön alles einheitlich von überallaus zu haben, da ja auch mehrere Benutzer Fotos dort hochladen würden. Und irgendwann sind es halt verdammt viele, der Aufwand sie über andere Wege alleine nur schon zu sortieren, wäre ein großer, zeitlicher Aufwand.

Eine weitere Empfehlung, die ich aus einem anderen Post hier im Forum entnommen habe, ist hosting.de
Für Laien klingt die Darstellung von hosting zuerstmal als wären sie ein paar Schritte mehr gegangen, um die Daten zu schützen.

Hat nichts mit schnell oder langsam zu tun, wie erklärst du den, Anwendern wie sie bei ihrem Smartphone eine Verbindung herstellen. Es gibt sicher Wege, aber einfach ist auch was anderes.
SFTP ist das Protokoll, wie du dich mit der Storage Box verbindest.

Ich glaube, diese FRAGE, musst du selbst beantworten, nur eines musst du wissen, die Storage Box ist einfach eine große Festplatte, die verschiedene Leute benutzten. Das Gleiche wäre ein vServer, die auch verschiedene Leute benutzen, auch dieser Server muss abgesichert werden. Sonst ist er offen wie ein Scheunentor für Angriffe von außen, auf das warten nur die Hacker da draußen.
Bei dem großen Cloud-Anbieter hast du zwar vielleicht mehr Sicherheit, aber du zahlst dann halt mit deinen Daten.
Das mit dem Foto sollte ein lokales Storage sein, alles, was Online ist, ist mit sehr viel Aufwand verbunden. Die Nextcloud bei hosting.de habe ich auch schon mal versucht, war sehr, sehr langsam, aber das sollte jeder selbst versuchen, da ich keinen auf den Schuh treten will.

Deswegen habe ich auch dann meine eigenen Nextcloud aufgesetzt, mit viel lernen und Interesse kann das funktionieren.

Vielleicht hat ja jemand noch andere Tipps?

ok überredet ich werde mich dem eingängiger widmen. Als weitere Frage, ist denn diese private Cloud dann sicherer? Und wodurch?

Zu der Bezahlung mit den Daten, hast du da eine Quelle das dies bei hetzner so ist? hosting z.b. schreibt explizit auf ihrer Seite, dass keine Nutzung der Daten erfolgt, auf keinste Weise.

Mike mal eine Anleitung geschrieben, wie man eine eigene Nextcloud aufsetzt. Die Anleitung findest du hier
Darauf kannst du dann per VPN von überall zugreifen.

Die Beurteilung von Datenschutz und Sicherheit ist letztlich eine Abwägung zwischen eigenen Bedürfnissen und Wahrscheinlichkeiten.

Bei Providern mit Unternehmenssitz in Deutschland und -im Idealfall- mehrheitlich ebensolchen Inhabern, wird man bei der aktuellen Rechtslage davon ausgehen können, dass nicht grundlos auf die Daten von Kunden zugegriffen wird. Dazu ist i.d.R. auch keine Zeit
Gibt es einen Gerichtsbeschluß, wird dem hierbei sehr wahrscheinlich bei korrekter Zustellung entsprochen.

Wenn man die Daten nicht nur zu Hause und auch im Internet habe möchte, ist da einzig sichere -auch nicht 100%- ein eigener Server im gemieteten Rack. Danach folgen dann Stufen vom gemieteten Root-Server bis hin zur VPS auf Containerbasis.

Es gilt nun, das dem eigenen Bedüfnis und Risikoprofil entsprechende Modell zu finden.
Man könnte als Kompromiss z.B. einen günstigen VPS mit passender HDD mieten, dort eine Datei mit verschlüsseltes Dateisystem mounten. In diesem befinden sich die Nextcloud-Daten und Konfiguration.
Solange das System läuft, kann der Provider-Admin der VM auf das gemountete FS zugreifen und auch ggfs. aus dem RAM im Betrieb für eine spätere Entschlüsselung den Key auslesen.

Darüberhinaus sind die Daten aber bei Blick auf das FS des ausgeschalteten VPS nicht lesbar.
Man muss natürlich nach Reboot entschlüsseln. Bei einem privaten System wahrscheinlich verschmerzbar.

Überreden wollen wir überhaupt keinen, jeder muss seine Entscheidung selbst treffen, wir können nur das wiedergeben, was wir an Wissen haben, aber entscheiden musst du selbst, dafür sind wir nicht hier.

Das hast du falsch verstanden oder ich habe mich falsch ausgedrückt, ich meinte da Google, Amazon Clouds, nicht die von Hetzner.

Die können seit einiger Zeit auch Thumbnails für Bilder, aber zum Beispiel in der Dateien-App von iOS sind diese Vorschaubilder nicht einfach da, sondern müssen durch Antippen heruntergeladen werden. Außerdem wird es bei Cryptomator schwierig mit dem ‚Mehrbenutzerbetrieb‘, der in diesem Usecase wichtig ist, wenn ich das richtig verstehe.

Für meine eigenen Daten bin ich von Cryptomator sehr angetan, doch sind das fast nur textbasierte Dateien.

Also die iCloud ist datenschutztechnisch schon eine andere Hausnummer: lokales automatisches Tagging (statt serverseitig), so dass du alle deine Katzenbilder auf einen Schlag anschauen kannst Außerdem kann die iCloud inklusive Fotos per „Advanced Data Protection“, wie das in den Einstellungen heißt, ende-zu-ende-verschlüsselt werden.

IMHO kein Vergleich zum Datensammler Google. Wobei man etwas ketzerisch fragen könnte, was so schlimm daran ist, wenn man Google über die eigene Fotosammlung deren Mustererkennung für Katzen und Hunde trainieren lässt. Das Auto-Tagging für Personen kann man ja deaktivieren. Aber solche Fragen sollte man in einem datenschutzorientierten Forum vielleicht lieber nicht in den Raum stellen

Das war eher scherzhaft formuliert. Natürlich ist das meine eigene Entscheidung. Letztlich ist es auch eine Abwägung von Aufwand und Kompromiss den ich hier versuche abzuwägen.
Wenn die Tendenz dazu führen sollte, das die Familienfotoverwaltung anderen abzugeben schwerwiegende Nachteile hat, ist der Aufwand für einen Laien in das komplexe Thema des selbsthostings einzusteigen es ja doch wert; und vis versa

Aus meiner Sicht (und weil ich es schon mit nicht-IT-affinen Familienmitgliedern durchgespielt habe):

• Nimm etwas fertiges für zuhause, z.B. ein Synology NAS.
• So ein NAS hat fast immer eine Foto-Anwendung.
• Gib die Foto-Anwendung des NAS nach „Außen“ frei.
• Richte außerdem ein Backup von verschlüsselten Daten bei einem (fast) beliebigen Cloudanbieter ein. Die Daten werden dabei schon auf Deinem NAS verschlüsselt und als solches Paket dann beim Cloudanbieter abgelegt.

Die Fotos bleiben dann für Dich selber unverschlüsselt, lassen sich mit der im NAS eingebauten Foto-App auch z.B. während eines Urlaubs als Backup eines Handys einrichten und auf den Inhalt des vollverschlüsselten Backups kann keiner außer Dir zugreifen.

Das klingt super.

Zum Thema Synology NAS werde ich mal im Internet suchen. Kannst du mir noch etwas genauer beschreiben, wie ich das auf einen Server verachlüssle? Also selbst verschlüsseln und dann immer wieder hochladen, oder gibt es eine Lösung die in gewissen Abständen, auch nur die Veränderungen (in dem Fall Neue Fotos Up, und gelöschte Fotos raus) hochlädt?

Die Verschlüsselung der Dateien passiert lokal auf dem NAS. Erst danach werden sie auf einen von dir ausgewählten Cloud-Server hochgeladen. Dort sind sie für niemanden lesbar - auch nicht für dich, wenn du dich direkt einloggen würdest. Du kannst jedoch das Backup aus dem Cloud-Speicher wieder runterladen auf das NAS und dort entschlüsseln.

Ich mache das selbst auch so. Zwar mit QNAP anstelle Synology, aber das Prinzip ist das gleiche.

Dort nutze ich eine vorinstallierte Backup Anwendung auf dem NAS.
Die beherrscht auch das, was du mit „nur die Veränderungen“ ansprichst. Also inkrementelle Backups.

Hier dann noch auf das Thema Versionierung achten. Wäre doof, wenn du (versehentlich) Dateien löschst/schrottest und sie danach automatisch auch im Cloud Backup gelöscht/modifiziert werden. Kannst du alles einstellen, ob es x Versionen behalten soll oder ein Versionierungsschema anwenden wie: x tägliche Sicherungen plus y wöchentliche plus z monatliche.
Das können bzw. sollten auch zusätzlich lokale Sicherungen auf dem NAS sein, von denen dann die letzte(n) Version(en) in die Cloud wandern.

Gibt es denn spezifisch für was wir hier besprechen ein tutorial irgendwo?

Sowohl die lokale Verschlüsselung als auch das Backup mit und ohne Verschlüsselung wird vom Betriebssystem der Synology NAS („DSM“) bereitgestellt, d.h. ist alles eingebaut. Es dürfte auch Menschen, die nicht so oft eine Verschlüsselung einrichten, leicht fallen, das entsprechend einzustellen. Du wirst mit Sicherheit was auf Youtube finden, wenn Du nach „synolgy nas create encrypted shared folder“ oder „synolgy nas how to encrypted backup“ suchst.

Bei der lokalen Verschlüsselung handelt es sich um „data in rest“-Verschlüsselung, d.h. wenn jemand das ganze NAS klaut, sieht er/sie nur Datensalat. Bei einem „Hackerangriff“ auf ein laufendes NAS sind dagegen die Daten, auf die Du zugreifen kannst, auch für die Angreifer abgreifbar.
Das verschlüsselte (und versionierte) Backup woanders (z.B. in der Cloud) ist immer voll verschlüsselt und relativ sicher.

Wenn Du den „Clouds“ überhaupt nicht vertraust, könntest Du auch ein Backup von NAS zu NAS einrichten. Eines steht bei Dir, ein anderes bei einem Bekannten. Geht auch.

Es gibt viele Möglichkeiten - es geht mit Sicherheit schneller und preiswerter mit selbstgebauten Lösungen. Die NAS von QNAP oder Synology bieten aber auch unerfahrenen Anwendern genug Möglichkeiten zum Fotomanagement und dem Backup.