Forscher warnen vor Cloud-Speicherdiensten

15.05.2012

Forscher des Fraunhofer Institute for Secure Information Technology (SIT) die Ende letzten und Anfang diesen Jahres die Cloud-Speicherdienste CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala unter die Lupe nahmen, warnen vor deren Gebrauch. Kein einziger Dienst erfülle auch nur alle grundlegenden Sicherheitsanforderungen.

Für Ihre Untersuchung hatten die Fraunhofer-Forscher zunächst grundlegende Funktionen solcher Speicherdienste wie das Kopieren, Synchronisieren, Sichern und den gemeinsamen Zugriff auf den Speicher herausgearbeitet und dann deren Sicherheitsanforderungen untersucht. Dabei stellten sich die Registrierung, die Verschlüsselung der Daten, der sichere Datentransport, das Teilen der gespeicherten Daten (Sharing) und die Dedupilkation als kritische Bereiche heraus. Keiner der Dienste konnte in allen Disziplinen überzeugen. Am schlechtesten schnitt CloudMe mit mangelhaften Leistungen in allen Punkten ab, am vergleichsweise besten UbuntuOne mit sehr guter Registrierung und sehr gut gesichertem Sharing, aber Schwächen bei der Verschlüsselung.

Neben CloudMe verzichteten auch Dropbox und Wuala auf eine Verifizierung im Zuge der Registration, so dass sich dort beispielsweise jeder unter einem fremden Namen anmelden, strafbare Inhalte hochladen und die fremde Person anzeigen kann. CrashPlan, TeamDrive und Wuala verwenden nicht das standardisierte  SSL/TLS zur Verschlüsselung auf dem Übertragungsweg, sondern benutzen selbst gebastelte Protokolle, was nach Ansicht der Fraunhofer-Mitarbeiter unsicher und fehlerträchtig ist. CloudMe, DropBox und UbuntuOne verschlüsseln nicht clientseitig, so dass der Provider alle Daten im Klartext erhält. Mozy verschlüsselt keine Filenamen, das Verschlüsselungssystem von Wuala ist angreifbar. Beim Sharing zeigten CloudMe, Dropbox, TeamDrive und Wuala diverse Schwächen.

Rechtlich ist der Nutzer für die Sicherheit seiner Daten verantwortlich. er muss berücksichtigen, inwieweit der Provider ihm den Datenschutz zusichern kann. Aufgrund fehlender internationaler Regelungen müssen europäische Firmen Anbieter aus der European Economic Area (EEA) wählen, die auch keine Tochterfirmen von Unternehmen in den USA sein dürfen, weil andernfalls der Patriot Act dennoch einen Zugriff auf dort gespeicherte Daten erlauben würde,

Ähnliche Artikel

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021