Fraunhofer-Institut kritisiert Cloud-Speicherdienste als unsicher

CloudData & StorageIT-ManagementIT-ProjekteSicherheitSicherheitsmanagementStorage

Getestet wurden CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala. Schwächen machten die Experten bei der Verschlüsselung, beim Datentransport und bei den Möglichkeiten, Dritten Zugriff auf die Daten zu gewähren aus. Für eine gewerbliche Nutzung halten sie keinen für geeignet.

Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft. Das ist das Ergebnis eines Tests des Fraunhofer-Instituts für Sichere Informationstechnologie. Von den getesteten Anbietern konnte keiner die Sicherheitsanforderungen vollständig erfüllen. Bei einigen bemängeln die Forscher das Fehlen einer ordentlichen Verschlüsselung.

Neben technischen Mängeln stören die Tester auch Schwächen in der Benutzerführung. Das kann in ungünstigen Fällen dazu führen, dass sich vertrauliche Daten mit Suchmaschinen finden lassen. Bei einigen Diensten glauben Nutzer fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, während sie in Wahrheit unbemerkt von jedermann eingesehen werden können.

Das Fraunhofer SIT prüfte im Rahmen seiner Studie die Sicherheit von CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala. Im Mittelpunkt stand die Verschlüsselung der Daten sowie die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf. Selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen.

Minuspunkte gab es etwa, wenn Daten unverschlüsselt in die Cloud übertragen werden. “Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind”, sagt Institutsleiter Michael Waidner. “Der Anbieter bekommt die Daten also im Klartext, und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben.”

Schon an der Registrierung scheiterten CloudMe, Dropbox und Wuala, da sie die Mailadresse eines neuen Kunden nicht verifzieren. Dadurch könne sich ein Angreifer mit der Mailadresse einer anderen Person anmelden und zum Beispiel illegales Material hochladen – ohne dass der eigentliche Besitzer der Mailadresse sich später vernünftig verteidigen kann. Die Sicherheit beim Datentransport sehen die Fraunhofer-Experten bei CrashPlan, TeamDrive und Wuala als Problem, da sie SSL/TLS untersagen und stattdessen undokumentierte, selbsterstelle Protokolle nutzen.

CloudMe, Dropbox und Ubuntu One verschlüsseln die Daten erst, wenn sie beim Cloud-Provider sind – und nicht, wie es sich die Fraunhofer-Experten wünschen, bereits auf dem Client des Anwenders. Mit den Möglichkeiten, Daten zu teilen, waren sie bei CloudMe, Dropbox, TeamDrive und Wuala unzufrieden. Das geschieht bei allen durch Versand einer langen, unvorhersehbaren URL. CloudMe verschleiert diese nicht angemessen. Dropbox mache die Details des Teilens nicht klar und TeamDrive habe Schwächen gezeigt, wenn ein Mitglied aus der Grupe wider ausgeschlossen wurde. Bei Wuala schließlich haben die Fraunhofer-Experten Bedenken, weil der Nutzername in einer öffentlichen URL auftaucht und CloudMe bietet sogar Suchmaschinen Zugang zum Workspace.

“Für manche private Nutzung mag der eine oder andere Dienst ausreichen”, sagt Waidner. “Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen.“ Hinderlich beim Einsatz in Firmen sei zudem, dass es für gruppentaugliche Verschlüsselung noch an überzeugenden Konzepten fehlt, um das Ideal einer sicheren Speicherung von Daten in einer Umgebung, die man als unsicher betrachtet, auch tatsächlich zu erreichen. Die vollständige Studie steht für Interessenten kostenlos zum Download bereit.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen