• IT-Karriere:
  • Services:

Cloud-Speicher: Fraunhofer-Forscher warnen vor Dropbox & Co.

Cloud-Speicherdienste bieten oft eine unzureichende Sicherheit. Zu diesem Ergebnis kommt das Fraunhofer-Institut für sichere Informationstechnologie, das die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala getestet hat.

Artikel veröffentlicht am ,
Forscher bemängeln die Sicherheit von Cloud-Speicherdiensten.
Forscher bemängeln die Sicherheit von Cloud-Speicherdiensten. (Bild: Fraunhofer SIT)

Das Fazit der Fraunhofer-Studie: "Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung." Die Tester bemängeln technische Probleme ebenso wie Schwächen in der Benutzerführung, die dazu führen können, dass vertrauliche Daten in Suchmaschinen landen.

Stellenmarkt
  1. Allianz Beratungs und Vertriebs-AG, München-Unterföhring
  2. Linde Material Handling GmbH, Hamburg, Aschaffenburg

So kommt Institutsleiter Michael Waidner zu dem Schluss: "Für manche private Nutzung mag der eine oder andere Dienst ausreichen, bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen."

Die Fraunhofer-Forscher nahmen in ihrer Studie zwischen Sommer 2011 und Januar 2012 die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala unter die Lupe und schauten sich vor allem die Verschlüsselung der Daten sowie die Absicherung der Kommunikation an. Bei allen Anbietern stellten sie Sicherheitsmängel fest, "selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen".

Cloudme, Dropbox und Wuala patzen nach Ansicht der Fraunhofer-Forscher bereits bei der Registrierung, da sie die verwendete E-Mail-Adresse neuer Kunden nicht verifizieren. So könne ein Angreifer einen Account im Namen eines anderen eröffnen, illegales Material hochladen und dies dann der Polizei melden.

Einige der Anbieter verwenden bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standardprotokolle. Crashplan, Teamdrive und Wuala verwenden demnach nicht SSL/TLS, sondern eigene, nicht veröffentlichte Protokolle, was die Forscher für einen sehr fehleranfälligen Ansatz halten. Cloudme verzichte komplett auf jede Verschlüsselung bei der Dateiübertragung.

Cloudme, Dropbox und Ubuntu One verzichten zudem auf eine clientseitige Verschlüsselung, so dass die Anbieter die Daten im Klartext erhalten. Die Nutzer müssen also darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben. Mozy verzichte auf die Verschlüsselung von Dateinamen und das konvergente Verschlüsselungsschema von Wuala sei anfällig für Angriffe auf Serverseite, so die Forscher.

Das Teilen von Daten halten die Fraunhofer-Forscher bei Cloudme, Dropbox, Teamdrive und Wuala für problematisch. Werden Dateien mit nicht angemeldeten Nutzern geteilt, stellen diese Dienste sie unter einer sehr langen, nicht vorhersagbaren URL zur Verfügung. Cloudme aber verschleiere die URL nicht adäquat und verhindere nicht, dass Suchmaschinen auf die Dateien zugreifen, Dropbox gebe unklare Details zur Teilen-Funktion, Teamdrive habe Schwächen, wenn Gruppenmitglieder wieder ausgeladen werden, und Wuala erlaube es, Daten zu sammeln, da der Nutzername in den öffentlichen URLs enthalten ist.

Bei Mozy und Wuala gibt es zudem Probleme durch die Deduplikation der Daten. So ist es hier in einigen Fällen möglich, abzufragen, ob eine Datei schon gespeichert ist oder nicht.

Die Forscher raten Nutzern daher, ihre Daten direkt auf dem Client mit Programmen wie Truecrypt, EncFS and GnuPrivacyGuard zu verschlüsseln und erst dann in die Cloud zu kopieren.

Neben diesen technischen Problemen machten die Forscher um Michael Waidner auch rechtliche Probleme aus. So müssten europäische Unternehmen darauf achten, ihre Daten nur bei Anbietern zu speichern, die ihren Sitz im europäischen Wirtschaftsraum haben und nicht zu einem Unternehmen aus den USA gehören. Andernfalls gebe es die Gefahr, dass unter Berufung auf den Patriot Act auf die Daten zugegriffen wird, auch wenn sie auf europäischen Servern gespeichert sind.

Die komplette Studie steht unter sit.fraunhofer.de zum Download bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 555,55€ (zzgl. Versandkosten)

ND 08. Mai 2014

Ich verwende arXshare. Es macht auch die Verschlüsselung am Client und ist wesentlich...

Destroyer2442 24. Jul 2013

Möglicherweise vertue ich mich, aber wurde vom TE nicht ausdrücklich gesagt für den...

System k2 GmbH 12. Jan 2013

Es ist heute leider so, dass DropBox und Co. aufgrund ihrer (nicht wegzudiskutierenden...

1e3ste4 18. Mai 2012

Wo hast du die letzten Jahre gelebt? Die Lösung für das Problem heißt IMAP.

NeverDefeated 15. Mai 2012

Wenn ich irgendwann mal Zeit haben sollte den Sourcecode selber durchzugehen, die...


Folgen Sie uns
       


Pocketalk Übersetzer - Test

Mit dem Pocketalk können wir gesprochene Sätze in eine andere Sprache übersetzen lassen. Im Test funktioniert das gut, allerdings macht Pocketalk auch nicht viel mehr als gängige und kostenlose Übersetzungs-Apps.

Pocketalk Übersetzer - Test Video aufrufen
Interview: Die Liebe für den Flight Simulator war immer da
Interview
"Die Liebe für den Flight Simulator war immer da"

Die prozedural erstellte Erde, der Quellcode vom letzten MS-Flugsimulator und eine Gemeinsamkeit mit Star Citizen: Golem.de hat mit Jörg Neumann über Technik und das Fliegen gesprochen. Neumann leitet bei Microsoft die Entwicklung des Flight Simulator.
Ein Interview von Peter Steinlechner

  1. Flug-Simulation Microsoft bereitet Alphatest des Flight Simulator vor
  2. Microsoft Neuer Flight Simulator soll Fokus auf Simulation legen

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Microsoft Xbox Scarlett streamt möglicherweise schon beim Download
  2. Apple und Google Die wollen nicht nur spielen
  3. Medienbericht Twitch plant Spielestreaming ab 2020

Echo Dot mit Uhr und Nest Mini im Test: Amazon hängt Google ab
Echo Dot mit Uhr und Nest Mini im Test
Amazon hängt Google ab

Amazon und Google haben ihre kompakten smarten Lautsprecher überarbeitet. Wir haben den Nest Mini mit dem neuen Echo Dot mit Uhr verglichen. Google hat es sichtlich schwer, konkurrenzfähig zu Amazon zu bleiben.
Ein Test von Ingo Pakalski

  1. Digitale Assistenten Amazon verkauft dreimal mehr smarte Lautsprecher als Google
  2. Googles Hardware-Chef Osterloh weist Besuch auf smarte Lautsprecher hin
  3. Telekom Smart Speaker im Test Der smarte Lautsprecher, der mit zwei Zungen spricht

    •  /