Cloud-Speicher

Fraunhofer Institut stellt Sicherheitsmängel bei Dropbox fest

Dienstag, 15.05.2012 | 11:25 von Benjamin Schischka
Fraunhofer Institut testet Sicherheit von Dropbox & Co.
Vergrößern Fraunhofer Institut testet Sicherheit von Dropbox & Co.
© istockphoto.com/barisonal
Das Fraunhofer Institut hat die Sicherheit von Dropbox, Wuala, TeamDrive & Co. untersucht. Das Ergebnis ist ernüchternd.
In der Studie „One the Security of Cloud Storage Services“ nimmt das Fraunhofer Institut CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala unter die Lupe. Dabei fand eine Einteilung in die Kategorien “Registrierung”, “Datenübertragung”, “Verschlüsselung”, “Datenweitergabe” und “Deduplizierung“ statt.

In der Kategorie „Registrierung“ schnitten CloudMe, Dropbox und Wuala schlecht ab, weil Sie die Mail-Adresse der User nicht verifizieren. Somit könne sich ein Angreifer mit der Mail-Adresse seines Opfers anmelden und dann illegale Dateien auf den Cloudspeicher des Opfers hochladen. Zuletzt könne der Angreifer die Polizei von den illegalen Uploads in Kenntnis setzen.


Auch bei der „Datenübertragung“ hat das Fraunhofer Institut einiges zu beanstanden: CrashPlan, TeamDrive und Wuala nutzen keine SSL/TLS-Verschlüsselung. Stattdessen nutzen sie eigene Verschlüsselungsmethoden, deren Wirkungskraft nicht bekannt sind. CloudMe soll gar keine Verschlüsselung zur Datenübertragung einsetzen.

Sobald die Daten auf dem Cloudspeicher angekommen sind, liegen sie dort offen sichtbar für den Speicher-Anbieter. Es sei denn, sie verschlüsseln die Daten. Die gute Nachricht laut Fraunhofer Institut: Das tun alle getesteten Anbieter. Die schlechte: Mozy verschlüsselt die Dateinamen nicht. Wuala nutzt eine Verschlüsselungsmethode, die serverseitig verwundbar ist. Und CloudMe, Dropbox und Ubuntu One verzichten auf eine client-seitige Verschlüsselung. Die Verschlüsselung finde erst auf den Servern der Anbieter statt. Der User muss sich auf die Anbieter verlassen.

Tipp: Mit Truecrypt können Sie die Daten schon auf Ihrem Rechner verschlüsseln, bevor Sie diese hochladen.

Bei der „Datenweitergabe“ versagen laut Institut CloudMe, Dropbox, TeamDrive und Wuala. Zumindest dann, wenn Daten an nicht angemeldete User weitergegeben werden. Die Weitergabe erfolgt dann über eine lange URL. CloudMe soll die URL nicht verschleiern, Dropbox mache nicht klar, was genau geteilt wird und TeamDrive zeige Schwächen beim Ausladen einmal eingeladener User. Bei Wuala könne man Userdaten sammeln, weil der User-Name in den Links integriert ist. Bei CloudMe können sogar Suchmaschinen die freigegeben Daten indizieren, sagt das Fraunhofer Institut.

Mozy und Wuala sollen es Neugierigen außerdem ermöglichen, abzufragen, ob eine Datei auf Ihrem Cloud-Speicher vorhanden sei oder nicht.
 
Zum PDF des Fraunhofer Instituts

Dienstag, 15.05.2012 | 11:25 von Benjamin Schischka
Kommentieren Kommentare zu diesem Artikel (1)
  • Navigatiko 12:04 | 15.05.2012

    Künstliche Probleme

    Also daß jemand Illegales hochlädt ist schonmal völlig unwahrscheinlich - zum Glück ist die überwiegende Mehrheit der Menschen normal! Alleine mit der E-Mailadresse kann man Dropbox nicht öffnen - dazu benötigt man ein Passwort. Aber selbst wenn alle Dämme reißen würden: wenn der Betroffene in einem Rechtsstaat lebt, muß ihm bewiesen werden, daß er das Zeug hochgeladen hat - gut, oft sieht die Realität anders aus. Da die Server aber in USA stehen, kann über das Internetprotokoll leicht nachgewiesen werden, daß der Hochladt über eine ganz andere Region erfolgte, als der Beroffene lebt. Also mehr etwas fürs Gruselkabinet des Dr. Paranoia!! Navi.

    Antwort schreiben
1464531