Cloud-Speicherdienste: Sicherheitsprobleme bei Dropbox und Konkurrenten
Fraunhofer-Forscher haben Speicherdienste wie Dropbox und Cloudme getestet. Fazit: Keiner ist wirklich sicher, teils können Kundendaten mit Suchmaschinen gefunden werden.
Cloud-Speicherdienste bieten oft nur unzureichende Sicherheitsvorkehrungen. Zu diesem Ergebnis kommt das Fraunhofer-Institut für Sichere Informationstechnologie, das die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala getestet hat.
Das Fazit der Fraunhofer-Studie: "Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung." Die Tester bemängeln technische Probleme ebenso wie Schwächen in der Benutzerführung, die sogar dazu führen können, dass vertrauliche Daten über Suchmaschinen gefunden werden können.
So kommt Institutsleiter Michael Waidner zu dem Schluss: "Für manche private Nutzung mag der eine oder andere Dienst ausreichen, bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen."
Die Fraunhofer-Forscher nahmen in ihrer Studie zwischen Sommer 2011 und Januar 2012 die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala unter die Lupe und schauten sich vor allem die Verschlüsselung der Daten sowie die Absicherung der Kommunikation an. Bei allen Anbietern stellten sie Sicherheitsmängel fest, "selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen".
Cloudme, Dropbox und Wuala patzen nach Ansicht der Fraunhofer-Forscher bereits bei der Registrierung, da sie die verwendete E-Mail-Adresse neuer Kunden nicht verifizieren. So könne ein Angreifer einen Account im Namen eines anderen eröffnen, illegales Material hochladen und dies dann der Polizei melden.
Einige der Anbieter verwenden bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standard-Protokolle. Crashplan, Teamdrive und Wuala verwenden demnach nicht SSL/TLS, sondern eigene, nicht veröffentlichte Protokolle, was die Forscher für einen sehr fehleranfälligen Ansatz halten. Cloudme verzichte komplett auf jede Verschlüsselung bei der Dateiübertragung.
Cloudme, Dropbox und Ubuntu One verzichten zudem auf eine Client-seitige Verschlüsselung, so dass die Anbieter die Daten im Klartext erhalten. Die Nutzer müssen also darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben. Mozy verzichte auf die Verschlüsselung von Dateinamen und das konvergente Verschlüsselungsschema von Wuala sei anfällig für Angriffe auf Serverseite, so die Forscher.
Die Leute vom Fraunhofer-Institut haben sicher recht. Gleichzeitig sollte man jedoch nicht übersehen, dass diese Dienste nicht für sensible Daten gedacht sind. Es geht um das austauschen von Urlaubsbildern, ein bisschen Musik, den Bookmarks und ähnlichen Dingen.
Wer Unternehmensdaten über das Internet verfügbar machen will, tut immer noch gut daran, das auf einem eigenen Server einzurichten. Dort kann man nicht nur den Stecker ziehen, wenn mal was schief läuft, es entfällt auch das hochladen der Daten.
Wer Firmendaten dort ablegt ist selber Schuld. Ich kenne sogar Firmen, die ihren Mitarbeitern explizit verbieten, die Cloud-Dienste zu nutzen, um arbeitsrelevante Dateien zu speichern.
Es gibt aber genug sinnvolle und nicht sicherheitsrelevante Nutzungsszenarien. Ich sammle und sortiere dort z.B. wissenschaftliche Veröffentlichungen, die ich später für eine Recherche brauchen könnte. Die Sachen sind ohnehin im Netz verfügbar, insofern spielt die Verfügbarkeit für andere keine Rolle. Für mich ist es aber eine große Erleichterung, die Daten lokal und dazu noch synchronisiert auf mehreren Rechnern zu haben.
Wuala verschlüsselt die Daten lokal und lädt sie dann hoch. Es ist also im Grunde absolut egal ob eine verschlüsselte Verbindung beim Upload genutzt wird. Ohne Passwort kann man das Paket nicht entschlüsseln. Wobei das natürlich abhängig ist von der Passwortstärke.
Wuala hat meiner Ansicht nach nur den Nachteil, dass sie keine so tolle Oberfläche wie Dropbox haben und das Teilen der Dateien nicht so intiutiv wie dort gelöst wurde und die Apps für Smartphones kein Auto-Sync unterstützen. Daher nutze ich auch noch Dropbox, denn Komfort geht nun mal häufig vor Sicherheit. Warum das kein Anbieter anständig macht, verstehe ich sowieso nicht. Kann ja nicht so schwer sein.
"Warum das kein Anbieter anständig macht, verstehe ich sowieso nicht. Kann ja nicht so schwer sein."
Man kann den Dollar nur einmal investieren, in eine gute Oberfläche (es ist durchaus aufwendig eine solche zu implementieren), oder in gute Security.
Das eine zieht User an wie ... die Fliegen, das andere schert niemanden...
...wohin wird der Dollar fließen ?
Wer Dropbox verschlüsselt haben will schiebt halt nur TrueCrypt Container dorthin...
...so what.
"Warum das kein Anbieter anständig macht, verstehe ich sowieso nicht. Kann ja nicht so schwer sein."
Man kann den Dollar nur einmal investieren, in eine gute Oberfläche (es ist durchaus aufwendig eine solche zu implementieren), oder in gute Security.
Das eine zieht User an wie ... die Fliegen, das andere schert niemanden...
...wohin wird der Dollar fließen ?
Wer Dropbox verschlüsselt haben will schiebt halt nur TrueCrypt Container dorthin...
...so what.
"Warum das kein Anbieter anständig macht, verstehe ich sowieso nicht. Kann ja nicht so schwer sein."
Man kann den Dollar nur einmal investieren, in eine gute Oberfläche (es ist durchaus aufwendig eine solche zu implementieren), oder in gute Security.
Das eine zieht User an wie ... die Fliegen, das andere schert niemanden...
...wohin wird der Dollar fließen ?
Wer Dropbox verschlüsselt haben will schiebt halt nur TrueCrypt Container dorthin...
...so what.
...die amerikanische Regierung mit ihrer hysterischen Paranoia ihren eigenen Unternehmen das Cloudgeschäft zerschlägt.
Denn, jedes europäische Unternehmen, das z.B. Daten über Mitarbeiter in einer amerikanischen Cloud speichert, macht sich schlicht strafbar.
Die BESTEN der BESTEN der BESTEN, Sir!
Wer eine gute Verschlüsselungsmöglichkeit sucht, sollte auf BoxCryptor zurückgreifen. Funktioniert mit mehreren Clouddiensten. Unter anderem Dropbox.
Hier wäre eventuell der Preis ein Entscheidungskriterium. Der B*xcr*t*r kostet bei Datenmengen jenseits der 2GB 29,99 Euro einmalig für Privatleute, Truecrypt ist kostenlos.
Hier wäre eventuell der Preis ein Entscheidungskriterium. Der B*xcr*t*r kostet bei Datenmengen jenseits der 2GB 29,99 Euro einmalig für Privatleute, Truecrypt ist kostenlos.
Es gibt verstärkt in großen Firmen das von den Mitarbeitern gewünschte Prinzip des Bring-Your-Own-Device. Es werden immer öfter auch ganz offiziell Unternehmensdaten auf privaten Geräten gespeichert, die sich der Kontrolle der Administratoren und damit der CC entziehen - gerade SmartPhones und Tabletts.
Da heute alles "in die Cloud" geladen wird, um es auf verschiedenen Geräte verfügbar zu halten, ist es IMHO schon wichtig, dass auch in erster Linie privat genutzte Dienste einem deutlichen Datenschutzgedanken pflegen sollten.
Ich erinnere in diesem Zusammenhang gerne daran, dass Mitarbeiter der Bundespolizei sich noch 2011 dienstliche eMails auf ihre privaten, teilweise Freemail-Konten umgeleitet und zusammen mit einer vollkommend unzureichenden AV-Lösung auf diese Weise ein erhebliches Trojaner-Problem geschaffen haben.
https://omnicloudapp.com ist anscheinend vom Frauenhofer Institut mitentwickelt worden. Ob das nun ein Interessenskonflikt sein könnte oder geschicktes Marketing, muss man erst selbst herausfinden.
Bitte melden Sie sich an, um zu kommentieren