18.05.2012 (eh)
4 von 5, (6 Bewertungen)

Cloud-Storage: Fraunhofer warnt vor Dropbox und Co

  • Inhalt dieses Artikels
  • Vorsicht bei sensiblen Unternehmensdaten in der Cloud
  • Daten kommen beim Anbieter unverschlüsselt an
  • Anwender sollten ihre Daten auf jeden Fall selbst verschlüsseln
Fraunhofer-Resümee: Keiner packt's (Bild: Fraunhofer-Studie)
Fraunhofer-Resümee: Keiner packt's (Bild: Fraunhofer-Studie)

Unter Privatanwender boomen Cloud-Storage-Angebote wie Dropbox und Co. Vor allem, weil sie sehr günstig sind, oftmals sogar kostenlos. Doch letztendlich sollte sich jeder darüber im Klaren sein: Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft. Das ist das Ergebnis einer Studie des Fraunhofer-Institut für Sichere Informationstechnologie (SIT), das neben Dropbox noch die Online-Speicherdienste Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und die des schweizer Anbieters Wuala getestet hat.

Demnach konnte keiner der getesteten Anbieter die Sicherheitsanforderungen vollständig erfüllen. Was vor allem bemängelt wurde ist, dass teilweise eine ordentliche Verschlüsselung fehlte. Neben technischen Mängeln fanden die Tester auch Schwächen in der Benutzerführung. Letzteres könne dazu führen, dass vertrauliche Daten sich mithilfe von Suchmaschinen finden ließen.

Vorsicht bei sensiblen Unternehmensdaten in der Cloud

»Für manche private Nutzung mag der eine oder andere Dienst ausreichen«, meint Fraunhofer-Institutsleiter Michael Waidner. »Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen.« Die vollständige Studie kann jedermann kostenlos unter www.sit.fraunhofer.de herunterladen.

Erschreckend bei der Untersuchung: Jeder Anbieter wies Sicherheitsmängel auf, und selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen: So verwenden manche Anbieter bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standard-Protokolle. Abwertungen gab es auch, wenn Daten unverschlüsselt in die Cloud wanderten.

Daten kommen beim Anbieter unverschlüsselt an

»Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind«, sagt Waidner. »Der Anbieter bekommt die Daten also im Klartext, und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben.«

Bei einigen Diensten glaubten die Nutzer fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, während sie in Wahrheit unbemerkt von jedermann eingesehen werden können. Kritisch ist dieses File-Sharing auch, wenn die Daten verschlüsselt sind. »Für gruppentaugliche Verschlüsselung«, erläutert Waidner, »fehlt es noch an überzeugenden Konzepten, um das Ideal einer sicheren Speicherung von Daten in einer Umgebung, die man als unsicher betrachtet, auch tatsächlich zu erreichen.«

Anwender sollten ihre Daten auf jeden Fall selbst verschlüsseln

Crashplan, Teamdrive und Wuala verwenden für die verschlüsselte Datenübertragung nicht SSL/TLS, sondern eigene, nicht veröffentlichte Protokolle. Dies halten die Forscher für einen fehleranfälligen Ansatz. Cloudme verzichte komplett auf jede Verschlüsselung bei der Dateiübertragung. Die Fraunhofer-Experten raten Nutzern daher, ihre Daten direkt auf dem Client mit Programmen wie »Truecrypt, EncFS« und »GnuPrivacyGuard« zu verschlüsseln und erst dann in die Cloud zu kopieren.

Überdies verweisen Forscher um Waidner auch auf mögliche rechtliche Probleme. Wenn europäische Unternehmen Daten in der Cloud speichern wollen, müssen sie darauf, dass die entsprechenden Anbieter ihren Sitz auch im europäischen Wirtschaftsraum haben, und nicht Tochter eines US-Unternehmens sind. Denn der »Patriot Act« erlaube es US-Behörden bei Bedarf, auf die Daten von Servern von US-Unternehmen zuzugreifen, auch wenn diese auf europäischen Servern gespeichert sind.

Kommentar von speicherguide.de

Engelbert Hörmannsdorfer

Das, was Fraunhofer in ihrer Studie bemängelt, kann man eigentlich nicht komplett so stehen lassen. Die standardmäßige Verschlüsselung etlicher Cloud-Storage-Anbieter im Einsteiger-Segment ist zwar in der Tat sehr oft bemängelungswürdig. Aber dass Crashplan, Mozy, Teamdrive und Wuala kritisiert werden, weil sie eigene Verschlüsselungsprotokolle – und nicht Open-Source-Code – verwenden, ist extrem verwunderlich.

Denn Open-Source-Verschlüsselungsprotokolle sind für gewiefte Programmierer knackbar. Uns ist bisher kein Fall bekannt, wo Crashplan, Mozy, Teamdrive und Wuala geknackt worden sind – dies dürfte vermutlich genau an den eigenen Verschlüsselungsprotokollen liegen.

Abgesehen davon hat Fraunhofer SIT vor rund einem halben Jahr ihr eigenes Cloud-Storage-Verschlüsselungskonzept OmniCloud vorgestellt; das Konzept wird zwar in der Studie nicht explizit angesprochen, aber es ist logisch, dass es die vermeintlichen Probleme der jetzigen Anbieter adressiert – ein Schelm, der böses dabei denkt.

.