Suchen

Problem erkannt, doch an der Umsetzung hapert‘s

Fraunhofer-Studie bemängelt Sicherheit bei Cloud-Speicherdiensten

Seite: 3/4

Firmen zum Thema

Die Analyse des Fraunhofer SIT kam zu einem eher unbefriedigenden Ergebnis. Studienleiter Michael Herfert, Abteilungsleiter Cloud Computing and Identity & Privacy, erkennt dringenden Verbesserungsbedarf bei allen untersuchten Cloud Storage Providern: „Unsere Untersuchung brachte zum Teil eklatante Sicherheitslücken zutage. Wir empfehlen Nutzern daher, anhand unseres Bewertungsschemas zu entscheiden, welche Sicherheitsmängel für sie akzeptabel sind und welche nicht. Die Verantwortung liegt zurzeit also bei den Nutzern allein, die die Sicherheitsmaßnahmen der Anbieter in jedem Einzelfall explizit prüfen und hinterfragen müssen.“

Oftmals falle es Anwendern auch schwer, die Sicherheitsaussagen der Anbieter zu verstehen, kritisiert Herfert: „Eine ‚military grade encryption‘, wie es gern formuliert wird, suggeriert vielen Nutzern: Was auch das Militär nutzt, kann nur gut und sicher sein! Dabei bezieht sich der Begriff ‚encryption‘ oftmals nur auf die Sicherheit durch eine SSL-Verschlüsselung während der Datenübertragung. Am Ende liegen die Daten aber auf der Anbieterseite wieder im Klartext vor.“

Bildergalerie

Mangelnde Datensicherheit

Das Registrierungsprozedere bei CloudMe, Dropbox und Wuala sieht nicht vor, die eMail-Adresse eines neuen Kunden zu überprüfen. So ist es möglich, dass eine Person A sich mit der eMail-Adresse einer Person B bei diesen Diensten anmelden kann und diese für seine Zwecke missbrauchen kann. So könnten beispielsweise die Daten anderer Nutzer – Freunde der Person B – ausgespäht werden. Der Eindringling A könnte aber auch die Rechner anderer Nutzer mit Malware infizieren. Beide Angriffsszenarien setzen zwar eine gewissen Unaufmerksamkeit auf Opferseite voraus, das Sicherheitsloch sollte dennoch geschlossen werden, rät das Fraunhofer SIT.

Für CrashPlan, TeamDrive und Wuala stellten die Fraunhofer-Beobachter Sicherheitslücken während der Datenübertragung fest. Alle drei Dienste verzichten auf SSL/TLS-Verschlüsselung. Stattdessen nutzen sie selbstgemachte und unveröffentlichte Protokolle – eine äußerst fehleranfällige Vorgehensweise. CloudMe verzichtet sogar komplett auf Maßnahmen zum Schutz der Daten während der Übertragung.

Besonders fahrlässig, so das Fraunhofer SIT, agieren verschiedene Dienste bei der Verschlüsselung. CloudMe, Dropbox und Ubuntu One bieten gar keine Client-seitige Verschlüsselung an und sind damit als Provider in der Lage, die Daten ihrer Nutzer zu lesen. Mozy verzichtet auf eine Verschlüsselung der Dateinamen. Und das konvergente Verschlüsselungsschema, das Wuala verwendet, ermöglicht Angriffe von Server-Seite aus.

Probleme traten auch beim Austausch von Daten bei CloudMe, Dropbox, TeamDrive und Wuala auf. Und zwar immer dann, sobald Nicht-Abonnenten Dateien mit langen, unvorhersehbaren URLs übertrugen. CloudMe verschlüsselte nach Ansicht des Fraunhofer SIT diese URLs nicht angemessen. Dropbox – so die Kritik – beschreibt die Sharing-Details sehr ungenau.

TeamDrive hatte Schwierigkeiten, Gruppenmitglieder auszuschließen, und Wuala machte Information Gathering möglich, indem der Benutzername in der öffentlichen URL genannt wurde. CloudMe gewährte zudem Suchmaschinen ungehinderten Zugang zum Arbeitsbereich. Mozy und Wuala zeigten Sicherheitslücken bei der Deduplizierung. So war es in einigen Fällen möglich, bei den Cloud-Storage-Anbieter nachzufragen, ob eine Datei bereits gespeichert wurde oder nicht.

(ID:33747020)