Abo
  • Services:
Anzeige
Forscher bemängeln die Sicherheit von Cloud-Speicherdiensten.
Forscher bemängeln die Sicherheit von Cloud-Speicherdiensten. (Bild: Fraunhofer SIT)

Cloud-Speicher: Fraunhofer-Forscher warnen vor Dropbox & Co.

Forscher bemängeln die Sicherheit von Cloud-Speicherdiensten.
Forscher bemängeln die Sicherheit von Cloud-Speicherdiensten. (Bild: Fraunhofer SIT)

Cloud-Speicherdienste bieten oft eine unzureichende Sicherheit. Zu diesem Ergebnis kommt das Fraunhofer-Institut für sichere Informationstechnologie, das die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala getestet hat.

Das Fazit der Fraunhofer-Studie: "Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung." Die Tester bemängeln technische Probleme ebenso wie Schwächen in der Benutzerführung, die dazu führen können, dass vertrauliche Daten in Suchmaschinen landen.

Anzeige

So kommt Institutsleiter Michael Waidner zu dem Schluss: "Für manche private Nutzung mag der eine oder andere Dienst ausreichen, bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen."

Die Fraunhofer-Forscher nahmen in ihrer Studie zwischen Sommer 2011 und Januar 2012 die Dienste Dropbox, Cloudme, Crashplan, Mozy, Teamdrive, Ubuntu One und Wuala unter die Lupe und schauten sich vor allem die Verschlüsselung der Daten sowie die Absicherung der Kommunikation an. Bei allen Anbietern stellten sie Sicherheitsmängel fest, "selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen".

Cloudme, Dropbox und Wuala patzen nach Ansicht der Fraunhofer-Forscher bereits bei der Registrierung, da sie die verwendete E-Mail-Adresse neuer Kunden nicht verifizieren. So könne ein Angreifer einen Account im Namen eines anderen eröffnen, illegales Material hochladen und dies dann der Polizei melden.

Einige der Anbieter verwenden bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standardprotokolle. Crashplan, Teamdrive und Wuala verwenden demnach nicht SSL/TLS, sondern eigene, nicht veröffentlichte Protokolle, was die Forscher für einen sehr fehleranfälligen Ansatz halten. Cloudme verzichte komplett auf jede Verschlüsselung bei der Dateiübertragung.

Cloudme, Dropbox und Ubuntu One verzichten zudem auf eine clientseitige Verschlüsselung, so dass die Anbieter die Daten im Klartext erhalten. Die Nutzer müssen also darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben. Mozy verzichte auf die Verschlüsselung von Dateinamen und das konvergente Verschlüsselungsschema von Wuala sei anfällig für Angriffe auf Serverseite, so die Forscher.

Das Teilen von Daten halten die Fraunhofer-Forscher bei Cloudme, Dropbox, Teamdrive und Wuala für problematisch. Werden Dateien mit nicht angemeldeten Nutzern geteilt, stellen diese Dienste sie unter einer sehr langen, nicht vorhersagbaren URL zur Verfügung. Cloudme aber verschleiere die URL nicht adäquat und verhindere nicht, dass Suchmaschinen auf die Dateien zugreifen, Dropbox gebe unklare Details zur Teilen-Funktion, Teamdrive habe Schwächen, wenn Gruppenmitglieder wieder ausgeladen werden, und Wuala erlaube es, Daten zu sammeln, da der Nutzername in den öffentlichen URLs enthalten ist.

Bei Mozy und Wuala gibt es zudem Probleme durch die Deduplikation der Daten. So ist es hier in einigen Fällen möglich, abzufragen, ob eine Datei schon gespeichert ist oder nicht.

Die Forscher raten Nutzern daher, ihre Daten direkt auf dem Client mit Programmen wie Truecrypt, EncFS and GnuPrivacyGuard zu verschlüsseln und erst dann in die Cloud zu kopieren.

Neben diesen technischen Problemen machten die Forscher um Michael Waidner auch rechtliche Probleme aus. So müssten europäische Unternehmen darauf achten, ihre Daten nur bei Anbietern zu speichern, die ihren Sitz im europäischen Wirtschaftsraum haben und nicht zu einem Unternehmen aus den USA gehören. Andernfalls gebe es die Gefahr, dass unter Berufung auf den Patriot Act auf die Daten zugegriffen wird, auch wenn sie auf europäischen Servern gespeichert sind.

Die komplette Studie steht unter sit.fraunhofer.de zum Download bereit.


eye home zur Startseite
ND 08. Mai 2014

Ich verwende arXshare. Es macht auch die Verschlüsselung am Client und ist wesentlich...

Destroyer2442 24. Jul 2013

Möglicherweise vertue ich mich, aber wurde vom TE nicht ausdrücklich gesagt für den...

System k2 GmbH 12. Jan 2013

Es ist heute leider so, dass DropBox und Co. aufgrund ihrer (nicht wegzudiskutierenden...

1e3ste4 18. Mai 2012

Wo hast du die letzten Jahre gelebt? Die Lösung für das Problem heißt IMAP.

NeverDefeated 15. Mai 2012

Wenn ich irgendwann mal Zeit haben sollte den Sourcecode selber durchzugehen, die...


JIRA: System / 24. Mai 2012

[SYS-8661] Dropbox entfernen



Anzeige

Stellenmarkt
  1. STI - Gustav Stabernack GmbH, Lauterbach
  2. Continental AG, Babenhausen
  3. über Hanseatisches Personalkontor Freiburg, Kehl
  4. DZ PRIVATBANK S.A., Luxemburg


Anzeige
Top-Angebote
  1. 299,00€
  2. 47,99€
  3. 29,97€

Folgen Sie uns
       


  1. Datenbank

    Microsofts privater Bugtracker ist 2013 gehackt worden

  2. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  3. Robert Bigelow

    Aufblasbare Raumstation um den Mond soll 2022 starten

  4. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  5. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  6. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  7. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  8. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  9. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  10. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Patchen über Windows Update

    Kathuphazginimuri | 06:05

  2. Re: Und von mir wird es offiziell erst mal ignoriert

    teenriot* | 05:37

  3. kann man nur hoffen, dass die getrackten Bugs...

    Poison Nuke | 05:01

  4. erinnert mich an einen Webcomic

    Crass Spektakel | 04:40

  5. Re: eh alles Mumpitz...

    Rulf | 04:11


  1. 21:08

  2. 19:00

  3. 18:32

  4. 17:48

  5. 17:30

  6. 17:15

  7. 17:00

  8. 16:37


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel