Cloud-Speicher: Fraunhofer-Forscher warnen vor Dropbox & Co.

Das Fazit der Fraunhofer-Studie: "Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung." Die Tester bemängeln technische Probleme ebenso wie Schwächen in der Benutzerführung, die dazu führen können, dass vertrauliche Daten in Suchmaschinen landen.

So kommt Institutsleiter Michael Waidner zu dem Schluss: "Für manche private Nutzung mag der eine oder andere Dienst ausreichen, bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen."

Die Fraunhofer-Forscher nahmen in ihrer Studie zwischen Sommer 2011 und Januar 2012 die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala unter die Lupe und schauten sich vor allem die Verschlüsselung der Daten sowie die Absicherung der Kommunikation an. Bei allen Anbietern stellten sie Sicherheitsmängel fest, "selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen".

Cloudme, Dropbox und Wuala patzen nach Ansicht der Fraunhofer-Forscher bereits bei der Registrierung, da sie die verwendete E-Mail-Adresse neuer Kunden nicht verifizieren. So könne ein Angreifer einen Account im Namen eines anderen eröffnen, illegales Material hochladen und dies dann der Polizei melden.

Einige der Anbieter verwenden bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standardprotokolle. Crashplan, Teamdrive und Wuala verwenden demnach nicht SSL/TLS, sondern eigene, nicht veröffentlichte Protokolle, was die Forscher für einen sehr fehleranfälligen Ansatz halten. Cloudme verzichte komplett auf jede Verschlüsselung bei der Dateiübertragung.

Cloudme, Dropbox und Ubuntu One verzichten zudem auf eine clientseitige Verschlüsselung, so dass die Anbieter die Daten im Klartext erhalten. Die Nutzer müssen also darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben. Mozy verzichte auf die Verschlüsselung von Dateinamen und das konvergente Verschlüsselungsschema von Wuala sei anfällig für Angriffe auf Serverseite, so die Forscher.

Das Teilen von Daten halten die Fraunhofer-Forscher bei Cloudme, Dropbox, Teamdrive und Wuala für problematisch. Werden Dateien mit nicht angemeldeten Nutzern geteilt, stellen diese Dienste sie unter einer sehr langen, nicht vorhersagbaren URL zur Verfügung. Cloudme aber verschleiere die URL nicht adäquat und verhindere nicht, dass Suchmaschinen auf die Dateien zugreifen, Dropbox gebe unklare Details zur Teilen-Funktion, Teamdrive habe Schwächen, wenn Gruppenmitglieder wieder ausgeladen werden, und Wuala erlaube es, Daten zu sammeln, da der Nutzername in den öffentlichen URLs enthalten ist.

Bei Mozy und Wuala gibt es zudem Probleme durch die Deduplikation der Daten. So ist es hier in einigen Fällen möglich, abzufragen, ob eine Datei schon gespeichert ist oder nicht.

Die Forscher raten Nutzern daher, ihre Daten direkt auf dem Client mit Programmen wie Truecrypt, EncFS and GnuPrivacyGuard zu verschlüsseln und erst dann in die Cloud zu kopieren.

Neben diesen technischen Problemen machten die Forscher um Michael Waidner auch rechtliche Probleme aus. So müssten europäische Unternehmen darauf achten, ihre Daten nur bei Anbietern zu speichern, die ihren Sitz im europäischen Wirtschaftsraum haben und nicht zu einem Unternehmen aus den USA gehören. Andernfalls gebe es die Gefahr, dass unter Berufung auf den Patriot Act auf die Daten zugegriffen wird, auch wenn sie auf europäischen Servern gespeichert sind.

Die komplette Studie steht unter sit.fraunhofer.de zum Download bereit.