Das Fraunhofer Institut für Sicherheit in der Informationstechnik (Fraunhofer SIT) hat die Sicherheit von Cloud-Diensten überprüft und kommt zu einem vernichtenden Urteil.
Foto: Fraunhofer SIT
Neben den Marktführer Dropbox prüfte Fraunhofer SIT die Sicherheit sechs weiterer Cloud-Speicherdienste, dazu gehörten CloudMe, CrashPlan, Mozy, TeamDrive, Ubuntu One und der Schweizer Anbieter Wuala. Die Tester konzentrierten sich insbesondere auf die Verschlüsselung der Daten sowie auf die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf. Dazu zählen nach Angaben der Forscher (PDF) eine unverschlüsselte Übertragung von Daten auf die Server des Anbieters, der Verzicht auf die Verwendung von Standard-Sicherheitsprotokollen zugunsten eigener Lösungen sowie Schwächen bei der Benutzerführung, die dazu führen können, das vertrauliche Daten sich mit Hilfe von Suchmaschinen finden lassen.
Registrierung
Zugang
Verschlüsselung
Verteilung
Deduplizierung
++ sehr gut
+ gut
+/- Schwächen
- schlecht
-- sehr schlecht
% nicht vorhanden
CloudMe
--
--
--
-
%
CrashPlan
+
+/-
+
%
+
Dropbox
-
+ -
-
+/-
+
Mozy
+/-
+
+/-
%
-
TeamDrive
+/-
+/-
+
+/-
%
Ubuntu One
++
+
--
++
+
Wuala
-
+/-
+/-
+/-
-
Bei den Diensten CloudMe, Dropbox und Wuala gibt es Schwächen bei der Registrierung. Die angegebene E-Mail-Adresse wird nicht verifiziert, so dass sich Kriminelle unter falschem Namen registrieren und mit fremder Identität illegale Inhalte veröffentlichen können. Auch der Zugang zu den Speicherdiensten ist unsicher. So benutzen CrashPlan, TeamDrive und Wuala statt des Standardprotokolls SSL/TLS eigene, selbst entwickelte Lösungen. Nach Meinung des Fraunhofer SIT eine sehr fehleranfällige Entscheidung. CloudMe überträgt alle Daten sogar unverschlüsselt.
Die Verschlüsselung der Kundendaten ist ebenfalls bei vielen Anbietern ein Problem. So werden diese von CloudMe, Dropbox und Ubuntu One erst auf den Servern mit einem Sicherheitsprotokoll vor dem Zugriff anderer geschützt. Der Anbieter selbst bekommt die Daten dagegen im Klartext zu sehen und der Nutzer muss darauf vertrauen, dass seine privaten Daten auch vertraulich bleiben. Das Sicherheitsprotokoll von Wuala ist zudem anfällig für serverseitige Attacken.
Cloud-Dienste
Tools für die Cloud-Daten Für die meisten Anwender ist der Einsatz von Cloud-Speicher wie Dropbox oder die Verwendung von Google Docs bereits ein fester Bestandteil ihrer Arbeit. Wir stellen Tools vor, die diese Arbeit erleichtern und verbessern können.
Die Installation startet sofort: Wer die Software für Google Cloud Connect verwenden will, bekommt sie nach dem „Abnicken“ der Nutzungsbedingung direkt auf seinem System installiert – eine weitere Auswahl steht leider nicht zur Verfügung.
Augenfällige Veränderung: Nach der Installation der Google-Software zeigt sich ein Plugin in den Anwendungen von Microsoft Office.
Warnung von der Online-Anwendung: Die Google Webseite kann nicht verifizieren, dass es sich bei der Anwendung wirklich um Google Cloud Connect handelt.
Eine wenig befriedigende Erläuterung: Hier wird eine Softwarebibliothek auf das System installiert, die von der Anwendung BoxCryptor benötigt wird. Welchem Zweck sie (erlaubt leichtere Einbindung Dateisystem-Treiber – entspricht der Fuse-Library unter Linux) dient, muss der Anwender selbst herausfinden.
BoxCryptor steht auch auf Android- und iOS zur Verfügung: Der Hinweis auf ein Backup der Konfigurationsdatei ist gut und kommt zum rechten Zeitpunkt bei Abschluss der Installation.
Die Oberfläche von BoxCryptor: Sie bietet insgesamt nicht allzu viele Einstellmöglichkeiten, da der Einsatz mehrerer verschlüsselter Container erst in der kostenpflichtigen Version möglich ist.
Gut, wenn der Anwender weiß, was auf seinem PC installiert ist: Die Software SecretSync benötigt Java, damit sie richtig arbeiten kann.
Ein wichtiger Hinweis: Im Gegensatz zur Lösung BoxCryptor wird der Ordner von SecretSync nicht immer Dropbox-Ordner angelegt – die Lösung verschlüsselt die Dateien und synchronisiert sie dann in den Ordner hinein.
Eher unauffällig: Die Anwendung SecretSync benötigt keine aufwändige Oberfläche und ist im Prinzip nur durch die Links im Startmenü und/oder auf dem Desktop sichtbar.
Verschlüsselte Dateien auch über die Plattform-Grenzen hinweg: Der Client von SecretSync arbeitet auch unter MacOS X in der gleichen unauffälligen Weise wie auf den Windows-Systemen.
Jeden Speicherplatz im Internet direkt im Windows-Explorer einbinden: Mit dem Gladinet Cloud Desktop ist das ziemlich einfach möglich. So verliert selbst die Einbindung des Windows Live Skydrive ihre Schrecken.
Vielfältige Möglichkeiten: Fast alle großen Provider von Cloud-Space stehen vorkonfiguriert zur Verfügung, aber auch die Anbindung eigner FTP-Server ist beispielsweise möglich.
Umfangreiche Konfigurationseinstellungen und die zukünftige Anbindung an den eigenen Cloud-Bereich des Herstellers: Schon die freie Version des Cloud Desktop bietet viele Möglichkeiten.
Wer Linux-Erfahrung und die nötige Geduld besitzt, der kann mit dieser Software seine eigene Cloud-Installation aufbauen: ownCloud kann sowohl auf gemieteten Web-Space als auch direkt auf einem eigenen Server betrieben werden.
Das können viele andere Cloud-Tools nicht: Das Projekt „ownCloud“ bietet nicht nur viele Möglichkeiten bei der Konfiguration sondern eine – wenn auch noch nicht komplette – Unterstützung der deutschen Sprache an.
Einfache Oberfläche und schnelle Konfiguration: Mit der Software BDrive ist ohne viel Umstände möglich, schnell und einfach einen eigenen Cloud-Server aufzusetzen.
Der BDrive-Server auf einem System unter MacOS X Snow Leopard: Kaum Unterschied zur Windows-Version und genauso einfache Installation und Konfiguration. Das Passwort für den Zugriff sollte man aber auf jedem Fall explizit setzen.
Die eigene „BDrive-Cloud“ von der Client-Seite aus: Die Software BDrive Classic steht im Android Market kostenlos bereit und kann problemlos sowohl auf den Server auf dem Windows- als auch auf den Server auf dem MacOS zugreifen.
Die Verzeichnisse stehen direkt auf dem Android-System (hier unter Android 2.2) zur Verfügung: Auch der Zugriff auf die Dateien klappt problemlos.
Nach Angaben des Fraunhofer SIT gibt es auch Sicherheitsprobleme, wenn der Nutzer Daten für Kollegen, Freunde oder Bekannte freigibt oder doppelte Datensätze abgeglichen werden. Auch dass manche Anbieter ihre Server im Ausland stehen haben und unter dortiges Recht fallen, kann ein Risiko sein. Das Institut rät deshalb zumindest Unternehmen dringend davon ab, schon jetzt solche Online-Lösungen zu benutzen. Privatanwender sollten sich der Risiken bewusst sein und im Zweifel vertrauliche Daten doch lieber auf einer Festplatte bei sich zu Hause sichern. Denn letztendlich ist jeder Nutzer selbst vorrangig für die Sicherheit seiner Daten verantwortlich.