Nerdzine Technik-Magazin rund um Smartphones, Gadgets und ComputerEine Studie des Fraunhofer Instituts für sichere Informationstechnologie (SID) deckt Sicherheitsmängel von Cloud-Diensten auf. Das Ablegen von privaten Daten bei Dropbox und anderen Anbietern birgt Risiken.
Ob bei Anmeldung, Verschlüsselung oder den Zugriff auf Daten – bei den Cloud-Diensten fanden die Tester zahlreiche sicherheitskritische Schwachstellen. Im Test waren die Dienste Dopbox, Crashplan, Mozy, Cloudme, Teamdrive, Wuala und Ubuntu One. Alle der Anbieter setzen einen Client voraus über den auf den Cloud-Dienst zugegriffen wird. Keiner der Anbieter konnte die gesetzten Sicherheitsanforderungen erfüllen.
Cloud-Dienst - so funktioniert's (Bild: Dropbox.com)
Neben technischen Mängeln wurde von der Forscher-Gruppe auch die Benutzerführung bemängelt. So kann es passieren, dass hochgeladene Daten von Suchmaschinen indiziert werden.
CloudMe eindeutiger Verlierer im Sicherheits-Check
Am schlechtesten schnitt CloudMe ab. Grund: Daten werden weder vor noch während des Transfers verschlüsselt. Aber auch CrashPlan, Wuala und CrashPlan wurden vom Fraunhofer-Institut kritisiert. Die drei Anbieter nutzen ein eigenes nicht veröffentlichtes Protokoll zur Verschlüsselung. Besser und nicht so anfällig wäre der Standard SSL/TLS, so die Fraunhofer-Forscher.
Fehlende E-Mail-Verifizierung bei Neukunden
Bei den Anbietern Dropbox, Cloudme und Wuala fand keine E-Mailverifizierung bei der Anmeldung eines neuen Kunden statt. Kriminelle könnten im Namen einer Person einen Account anlegen und illegale Daten hochladen.
Verschlüsselung auf Client-Seite nicht vorhanden
Vertrauliche Daten sollten bei einigen Anbietern nicht hochgeladen werden. So sollen Cloudme, Dropbox und Ubuntu One die Daten nicht auf Client-Seite verschlüsseln. Die Cloud-Dienste empfangen und legen die Daten im Klartext ab. Nutzer müssen also darauf vertrauen, dass die Daten vertraulich behandelt werden und nicht abhanden kommen.
Das Fraunhofer-Institut rät Unternehmen ab derartige Cloud-Dienste zu nutzen. Privatanwender sollten im Hinterkopf behalten, dass die Anbieter Sicherheitsmängel aufweisen. Demnächst ist laut SIT-Sprecher auch ein weiterer Test mit weiteren großen Anbietern, wie Google Drive und Microsofts Sky Drive, geplant.
Die englisch-sprachige Studie mit der Bezeichnung “On the Security of Cloud Storage Services” kann kostenlos heruntergeladen werden: PDF-Dokument (0,1 MB).
Nerdzine-Redaktion: Daten sollten bei allen Anbietern vor dem Upload zu den Cloud-Diensten lokal verschlüsselt werden. Bis zu 2 GByte können z.B. mit Boxcrypter kostenlos verschlüsselt werden. Des Weiteren sollten private Daten nicht in Ordner geladen werden, die öffentlich zugänglich sind.
