Fraunhofer-Institut kritisiert Sicherheitsmängel bei Cloud-Speicherdiensten

Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft, so das Ergebnis einer Studie des Fraunhofer-Instituts für Sichere Informationstechnologie SIT. Vollständig erfüllen konnte die Sicherheitsanforderungen keiner der sieben getesteten Anbieter.

Das Fraunhofer SIT nahm für seine Studie CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala genauer unter die Lupe. Im Mittelpunkt stand die Verschlüsselung der Daten sowie die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf, und selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen: So verwenden manche Anbieter bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standardprotokolle.

Neben technischen Mängeln stören die Tester aber auch Schwächen in der Benutzerführung. Die könnten etwa dazu führen, dass sich vertrauliche Daten mit Suchmaschinen auffinden lassen. Bei einigen Diensten glauben Nutzer durch unklare Einstellungen fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, obwohl sie in Wahrheit unbemerkt von jedermann eingesehen werden können.

Minuspunkte gab es auch, wenn Daten unverschlüsselt in die Cloud übertragen werden. „Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind“, sagt Institutsleiter Michael Waidner. „Der Anbieter bekommt die Daten also im Klartext, und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben.“

Schon an der Registrierung scheiterten CloudMe, Dropbox und Wuala, da sie die Mailadresse eines neuen Kunden nicht überprüfen. Dadurch könne sich ein Angreifer mit der Mailadresse einer anderen Person anmelden und zum Beispiel illegales Material hochladen – ohne dass der eigentliche Besitzer der Mailadresse sich später vernünftig verteidigen kann. Die Sicherheit beim Datentransport sehen die Fraunhofer-Experten bei CrashPlan, TeamDrive und Wuala als Problem, da sie SSL/TLS untersagen und stattdessen undokumentierte, selbsterstelle Protokolle nutzen.

CloudMe, Dropbox und Ubuntu One verschlüsseln die Daten erst, wenn sie beim Cloud-Provider sind – und nicht, wie es sich die Fraunhofer-Experten wünschen, bereits auf dem Rechner des Anwenders. Mit den Möglichkeiten, Daten zu teilen, waren die Tester bei CloudMe, Dropbox, TeamDrive und Wuala unzufrieden. Das geschieht bei allen durch Versand einer langen, unvorhersehbaren URL. CloudMe verschleiert diese nicht angemessen. Dropbox mache die Details des Teilens nicht klar, und TeamDrive habe Schwächen gezeigt, wenn ein Mitglied aus der Gruppe wieder ausgeschlossen wurde. Bei Wuala schließlich haben die Fraunhofer-Experten Bedenken, weil der Nutzername in einer öffentlichen URL auftaucht, und CloudMe bietet sogar Suchmaschinen Zugang zum Workspace.

„Für manche private Nutzung mag der eine oder andere Dienst genügen“, sagt Waidner. „Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen.“ Hinderlich beim Einsatz in Firmen sei zudem, dass es für gruppentaugliche Verschlüsselung noch an überzeugenden Konzepten fehle, um das Ideal einer sicheren Speicherung von Daten in einer Umgebung, die man als unsicher betrachtet, auch tatsächlich zu erreichen. Die vollständige Studie steht in englischer Sprache kostenlos zum Download bereit.

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.

Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.