Fraunhofer-Institut gibt Cloud-Speichern schlechte Noten
Die Experten vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) haben mehrere Cloud-Speicherdienste getestet und sind zu einem eindeutigen Ergebnis gekommen. Sie bewerten die Sicherheit der Services oft als mangelhaft.
Von den getesteten Anbietern konnte keiner die Sicherheitsanforderungen des Fraunhofer-Instituts für Sichere Informationstechnologie vollständig erfüllen. Bei einigen bemängeln die Forscher das Fehlen einer ordentlichen Verschlüsselung. Getestet wurden CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala.
Neben technischen Mängeln stören die Tester auch Schwächen in der Benutzerführung. Das kann in ungünstigen Fällen dazu führen, dass sich vertrauliche Daten mit Suchmaschinen finden lassen. Bei einigen Diensten glauben Nutzer fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, während sie in Wahrheit unbemerkt von jedermann eingesehen werden können.
Im Mittelpunkt der Tests stand die Verschlüsselung der Daten sowie die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf. Selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen.
Minuspunkte gab es etwa, wenn Daten unverschlüsselt in die Cloud übertragen werden. “Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind”, sagt Institutsleiter Michael Waidner. “Der Anbieter bekommt die Daten also im Klartext, und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben.”
Schon an der Registrierung scheiterten CloudMe, Dropbox und Wuala, da sie die Mailadresse eines neuen Kunden nicht verifzieren. Dadurch könne sich ein Angreifer mit der Mailadresse einer anderen Person anmelden und zum Beispiel illegales Material hochladen – ohne dass der eigentliche Besitzer der Mailadresse sich später vernünftig verteidigen kann. Die Sicherheit beim Datentransport sehen die Fraunhofer-Experten bei CrashPlan, TeamDrive und Wuala als Problem, da sie SSL/TLS untersagen und stattdessen undokumentierte, selbsterstelle Protokolle nutzen.
CloudMe, Dropbox und Ubuntu One verschlüsseln die Daten erst, wenn sie beim Cloud-Provider sind – und nicht, wie es sich die Fraunhofer-Experten wünschen, bereits auf dem Client des Anwenders. Mit den Möglichkeiten, Daten zu teilen, waren sie bei CloudMe, Dropbox, TeamDrive und Wuala unzufrieden. Das geschieht bei allen durch Versand einer langen, unvorhersehbaren URL. CloudMe verschleiert diese nicht angemessen. Dropbox mache die Details des Teilens nicht klar und TeamDrive habe Schwächen gezeigt, wenn ein Mitglied aus der Grupe wider ausgeschlossen wurde. Bei Wuala schließlich haben die Fraunhofer-Experten Bedenken, weil der Nutzername in einer öffentlichen URL auftaucht und CloudMe bietet sogar Suchmaschinen Zugang zum Workspace.
“Für manche private Nutzung mag der eine oder andere Dienst ausreichen”, sagt Waidner. “Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen.” Hinderlich beim Einsatz in Firmen sei zudem, dass es für gruppentaugliche Verschlüsselung noch an überzeugenden Konzepten fehlt, um das Ideal einer sicheren Speicherung von Daten in einer Umgebung, die man als unsicher betrachtet, auch tatsächlich zu erreichen. Die vollständige Studie steht kostenlos zum Download bereit.
[Mit Material von Peter Marwan, itespresso.de]
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.