Fraunhofer-Institut warnt vor Dropbox & Co.

Das Fraunhofer-Institut für sichere Informationstechnologie kommt in einer Studie zu dem Ergebnis, dass Cloud-Anbieter oftmals über eine unzureichende Sicherheit verfügen. Getestet wurden bekannte Dienste wie Dropbox, Cloudme, Mozy, Crashplan, Wuala, Teamdrive und Ubuntu One. Wie  Golem.de berichtete, stellten die Fraunhofer-Forscher fest, dass technische Probleme und Schwächen in puncto Benutzerführung dazu führen könnten, dass Daten, die eigentlich vertraulich behandelt werden sollten, in den Suchmaschinen landen. Michel Waidner (Institutsleiter) äußerte sich folgendermaßen dazu:

Keiner der gestesten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung. Für manche private Nutzung mag der eine oder andere Dienst ausreichen, bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen.

Den Testern war in erster Linie die Verschlüsselung von persönlichen Daten und die Absicherung der Kommunikation wichtig. Doch gerade in diesen Bereichen konnten die Anbieter wenig punkten, denn laut Michael Waidner schaffte es kein Anbieter die grundsätzlichen Sicherheitsanforderungen vollständig zu erfüllen. Im Einzelnen stellten die Forscher des Fraunhofer-Instituts bei den sieben getesteten Anbietern folgendes fest:

Dropbox:

Laut den Ergebnissen der Forscher macht Dropbox bereits bei der Registrierung bzw. der Anmeldung einen für den Nutzer schwerwiegenden Fehler. Die von den Neukunden angelegten E-Mail-Adressen werden nicht verifiziert. Ein Angreifer könnte dadurch im Namen des Users einen Account eröffnen und zum Beispiel illegales oder pornografisches Material ungehindert hochladen. Sollte der Angreifer dies dann auch noch der Polizei melden, kann das für den eigentlichen Besitzer des Accounts ganz böse enden. Auch in puncto Verschlüsselung besteht für Dropbox Nachholbedarf. Nur durch eine clientseitige Verschlüsselung die Daten im Klartext an den Anbieter übermittelt werden. Ist dies nicht der Fall, können persönliche Daten auch nicht wirklich vertraulich behandelt werden. Des Weiteren besitzt Dorpbox eine unzureichende Sicherheit, wenn es um das Teilen von Daten geht. Teilt ein Dopbox-User beispielsweise verschiedene Daten mit einem anderen nicht angemeldeten Nutzer, werden diese von Dropbox auf einer sehr langen und nicht vorhersagbaren URL zur Verfügung gestellt.

Cloudme:

Auch bei Cloudme sehen die Forscher des Fraunhofer-Instituts noch große Sicherheitslücken, die dringend behoben werden sollten. Ähnlich wie Dropbox oder Wuala, können auch die angegebenen E-Mail-Adressen der Neukunden schnell von Hackern oder Angreifern genutzt werden. Beim Teilen von Daten geht auch Cloudme mit keinem guten Beispiel voran. Der Anbieter verschleiert laut den Forschern die URL nicht ausreichend und verhindert auch nicht, dass Suchmaschinen auf die geteilten Daten zugreifen kann.

Mozy:

Mozy gehört fast schon zu den eher unauffälligeren Anbietern in dieser Statistik. Hier liegt das Hauptproblem darin, dass Mozy wie auch Wuala eine sogenannte Datendeduplizierung zulassen. Durch dieses Verfahren werden redundante Daten erkannt und ersetzt, wodurch eine wesentlich höhere Verdichtung von Daten erreicht werden kann.  Zudem verzichtet auch Mozy auf eine Verschlüsselung der Daten und ist dadurch sehr anfällig für Angriffe auf den Server.

Crashplan:

Crashplan verwendet genauso wie Teamdrive und Wuala keine SSL/TLS Protokolle, sondern eigene und nicht veröffentlichte Protokolle. Die Forscher sehen diese Form als sehr fehleranfällig an.

Wuala:

Wuala weist laut den Forschern des Fraunhofer-Instituts, dieselben Fehler wie Cloudme und Dropbox auf. Auch hier werden die E-Mail-Adressen von Neukunden nicht verschlüsselt und sind somit gefundenes Futter für jeden Angreifer. Des Weiteren nutzt Wuala aktuell immer noch SSL/TLS Protokolle, stellt geteilte Dateien auf eine lange, unvorhersehbare URL zur Verfügung, erlaubt es vertrauliche Daten der Nutzer zu sammeln, da der Username ganz öffentlich in den URLs enthalten ist, und betreibt genauso wie Mozy die Deduplikation von Daten.

Teamdrive:

Auch der Anbieter Teamdrive schneidet bei den Ergebnissen der Forscher nicht sonderlich gut ab. Hier gab es die selben Sicherheitslücken wie dies bei Wuala der Fall war.

Ubuntu One:

Ubuntu One verzichtet genauso wie Cloudme und Dropbox auf eine clientseitige Verschlüsselung und kann die Daten somit nicht im Klartext erhalten.

Was können Nutzer dagegen tun?

Das Fraunhofer-Institut rät dazu, die jeweiligen Daten direkt auf den Client zu packen und die Daten mit Hilfe eines Verschlüsselungsprogramms wie Truecrypt, EncFS oder GnuPrivacyGuard zu verschlüsseln. Erst danach sollte man die Daten in die Cloud kopieren. Da die Forscher neben den sicherheitstechnischen Lücken auch rechtliche Probleme aufweisen konnten, raten sie dazu, die Daten nur bei den Anbietern zu speichern, die ihren Sitz in Europa haben. Wer einen Anbieter aus den USA beispielsweise nutzt, muss davon ausgehen, dass unter der Berufung des Patriot Act dennoch auf die Daten zugegriffen wird.