Online-Speicherdienste
Experten warnen vor Dropbox und Co.

Forscher des Fraunhofer-Instituts haben Online-Schließfächer wie Dropbox und CloudMe unter die Lupe genommen und dabei starke Mängel bei der Verschlüsselung festgestellt. Ein Anbieter schützt die Daten seiner Nutzer nicht einmal vor dem Zugriff von Suchmaschinen.

Speicherplatz im Internet ist einer Studie zufolge noch immer ein großes Sicherheitsrisiko. Das in Darmstadt ansässige Fraunhofer-Institut für Sichere Informationstechnologie (SIT) zeigt in einer nun vorgestellten Untersuchung Mängel bei gleich sieben Dienstleistern auf, darunter auch dem beliebten Anbieter Dropbox.

"Der Nutzer kann nur darauf vertrauen, dass Dropbox die Daten nicht einsehen will", sagte der Fraunhofer-Forscher Michael Herfert der Nachrichtenagentur dapd. In seiner Studie kommt Herfert zu dem Schluss, dass Dropbox gleich mehrere Sicherheitsstandards nicht erfüllt.

So verschlüsselt der Dienst den Forschern zufolge die Daten seiner gut 50 Millionen Nutzer nur beim Transport zwischen den Computern, nicht aber, wenn diese auf den Rechnern abgelegt sind. Herfert leitet den Forschungsbereich Cloud-Sicherheit und kümmert sich damit um den Schutz von Daten im Netz.

Unverständnis über Sicherheitsmängel
"Grundsätzlich ist die Verschlüsselung der Daten keine Besonderheit mehr", sagte Herfert weiter. "Wir sind uns sicher, dass Dropbox das einrichten könnte - andere Dienstleister haben diese Funktion ja auch längst in ihr Angebot integriert." Ein Grund, warum Dropbox bis heute darauf verzichte, könne aber sein, dass der US-Anbieter dann seine vielen Funktionen für die Nutzer wieder einschränken müsste. Die Forscher legen Endanwendern nahe, ihre Daten vor dem Hochladen ins Netz selbst zu verschlüsseln.

Das Fraunhofer-Institut testete neben Dropbox auch sechs andere Anbieter, darunter TeamDrive, CloudMe und Wuala. Bei allen stellten die Forscher Sicherheitsmängel fest, teilweise sehr gravierende. So verschlüssele beispielsweise der Dienst CloudMe die Daten seiner Nutzer nicht einmal beim Transport zwischen heimischen Computern und Servern, zudem sei die URL für verlinkte Daten schlecht zu einfach und theoretisch sogar für Suchmaschinen auslesbar.

Noch nicht getestet wurden die Online-Festplatten Sky Drive von Microsoft und Google Drive. Die Darmstädter Informatiker planen allerdings bereits neue Tests mit weiteren Anbietern.

Fraunhofer-Institut gibt Cloud-Speichern schlechte Noten
15.05.2012 09:28

Die Experten vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben mehrere Cloud-Speicherdienste getestet und sind zu einem eindeutigen Ergebnis gekommen. Sie bewerten die Sicherheit der Services oft als mangelhaft.
Von den getesteten Anbietern konnte keiner die Sicherheitsanforderungen des Fraunhofer-Instituts für Sichere Informationstechnologie vollständig erfüllen. Bei einigen bemängeln die Forscher das Fehlen einer ordentlichen Verschlüsselung. Getestet wurden CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala.

Neben technischen Mängeln stören die Tester auch Schwächen in der Benutzerführung. Das kann in ungünstigen Fällen dazu führen, dass sich vertrauliche Daten mit Suchmaschinen finden lassen. Bei einigen Diensten glauben Nutzer fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, während sie in Wahrheit unbemerkt von jedermann eingesehen werden können.

Im Mittelpunkt der Tests stand die Verschlüsselung der Daten sowie die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf. Selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen.

Minuspunkte gab es etwa, wenn Daten unverschlüsselt in die Cloud übertragen werden. “Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind”, sagt Institutsleiter Michael Waidner. “Der Anbieter bekommt die Daten also im Klartext, und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben.”

Schon an der Registrierung scheiterten CloudMe, Dropbox und Wuala, da sie die Mailadresse eines neuen Kunden nicht verifzieren. Dadurch könne sich ein Angreifer mit der Mailadresse einer anderen Person anmelden und zum Beispiel illegales Material hochladen – ohne dass der eigentliche Besitzer der Mailadresse sich später vernünftig verteidigen kann. Die Sicherheit beim Datentransport sehen die Fraunhofer-Experten bei CrashPlan, TeamDrive und Wuala als Problem, da sie SSL/TLS untersagen und stattdessen undokumentierte, selbsterstelle Protokolle nutzen.

CloudMe, Dropbox und Ubuntu One verschlüsseln die Daten erst, wenn sie beim Cloud-Provider sind – und nicht, wie es sich die Fraunhofer-Experten wünschen, bereits auf dem Client des Anwenders. Mit den Möglichkeiten, Daten zu teilen, waren sie bei CloudMe, Dropbox, TeamDrive und Wuala unzufrieden. Das geschieht bei allen durch Versand einer langen, unvorhersehbaren URL. CloudMe verschleiert diese nicht angemessen. Dropbox mache die Details des Teilens nicht klar und TeamDrive habe Schwächen gezeigt, wenn ein Mitglied aus der Grupe wider ausgeschlossen wurde. Bei Wuala schließlich haben die Fraunhofer-Experten Bedenken, weil der Nutzername in einer öffentlichen URL auftaucht und CloudMe bietet sogar Suchmaschinen Zugang zum Workspace.

“Für manche private Nutzung mag der eine oder andere Dienst ausreichen”, sagt Waidner. “Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen.” Hinderlich beim Einsatz in Firmen sei zudem, dass es für gruppentaugliche Verschlüsselung noch an überzeugenden Konzepten fehlt, um das Ideal einer sicheren Speicherung von Daten in einer Umgebung, die man als unsicher betrachtet, auch tatsächlich zu erreichen. Die vollständige Studie steht kostenlos zum Download bereit.

Bitte wenn möglich die vollständige Studie anhängen! Danke!

http://www.sit.fraunhofer.de/content/dam/sit/en/studies/Cloud-Storage-Security_a4.pdf

Cloud-SpeicherFraunhofer Institut stellt Sicherheitsmängel bei Dropbox fest

Das Fraunhofer Institut hat die Sicherheit von Dropbox, Wuala, TeamDrive & Co. untersucht. Das Ergebnis ist ernüchternd.

In der Studie „One the Security of Cloud Storage Services“ nimmt das Fraunhofer Institut CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala unter die Lupe. Dabei fand eine Einteilung in die Kategorien “Registrierung”, “Datenübertragung”, “Verschlüsselung”, “Datenweitergabe” und “Deduplizierung“ statt.

In der Kategorie „Registrierung“ schnitten CloudMe, Dropbox und Wuala schlecht ab, weil Sie die Mail-Adresse der User nicht verifizieren. Somit könne sich ein Angreifer mit der Mail-Adresse seines Opfers anmelden und dann illegale Dateien auf den Cloudspeicher des Opfers hochladen. Zuletzt könne der Angreifer die Polizei von den illegalen Uploads in Kenntnis setzen.

Auch bei der „Datenübertragung“ hat das Fraunhofer Institut einiges zu beanstanden: CrashPlan, TeamDrive und Wuala nutzen keine SSL/TLS-Verschlüsselung. Stattdessen nutzen sie eigene Verschlüsselungsmethoden, deren Wirkungskraft nicht bekannt sind. CloudMe soll gar keine Verschlüsselung zur Datenübertragung einsetzen.
Sobald die Daten auf dem Cloudspeicher angekommen sind, liegen sie dort offen sichtbar für den Speicher-Anbieter. Es sei denn, sie verschlüsseln die Daten. Die gute Nachricht laut Fraunhofer Institut: Das tun alle getesteten Anbieter. Die schlechte: Mozy verschlüsselt die Dateinamen nicht. Wuala nutzt eine Verschlüsselungsmethode, die serverseitig verwundbar ist. Und CloudMe, Dropbox und Ubuntu One verzichten auf eine client-seitige Verschlüsselung. Die Verschlüsselung finde erst auf den Servern der Anbieter statt. Der User muss sich auf die Anbieter verlassen.

Tipp: Mit Truecrypt können Sie die Daten schon auf Ihrem Rechner verschlüsseln, bevor Sie diese hochladen.

Bei der „Datenweitergabe“ versagen laut Institut CloudMe, Dropbox, TeamDrive und Wuala. Zumindest dann, wenn Daten an nicht angemeldete User weitergegeben werden. Die Weitergabe erfolgt dann über eine lange URL. CloudMe soll die URL nicht verschleiern, Dropbox mache nicht klar, was genau geteilt wird und TeamDrive zeige Schwächen beim Ausladen einmal eingeladener User. Bei Wuala könne man Userdaten sammeln, weil der User-Name in den Links integriert ist. Bei CloudMe können sogar Suchmaschinen die freigegeben Daten indizieren, sagt das Fraunhofer Institut.

Mozy und Wuala sollen es Neugierigen außerdem ermöglichen, abzufragen, ob eine Datei auf Ihrem Cloud-Speicher vorhanden sei oder nicht.