Schwere Sicherheitsmängel bei Dropbox & Co

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat in der Studie On the Security of Cloud Storage Services (PDF-Datei) die Sicherheit von Cloud-Diensten geprüft. Die Sicherheitsexperten wollten herausfinden, wie gut Nutzer von Cloud-Diensten vor Angriffen geschützt sind. Getestet wurden dabei die Angebote von Dropbox, Ubuntu One, Mozy, CloudMe, CrashPlan, TeamDrive und Wuala in folgende Kategorien: Registrierung und Login, Sicherheit bei der Datenübertragung, Verschlüsselung, Datenfreigabe und Deduplizierung (identische Dateien werden nur einmal gespeichert).

Positiv wurde erwähnt, dass offenbar alle Cloud-Anbieter „die extreme Wichtigkeit von Datensicherheit und Privatsphäre“ ernstnehmen. Ansonsten sind die Ergebnisse alles andere als erfreulich, denn keines der Produkte erfüllte die Sicherheitskriterien der Forscher. Am schlechtesten fiel das Urteil für das schwedische CloudMe aus. Dieser Anbieter bekam in allen Bereichen die Note mangelhaft. Das liegt unter anderem daran, dass dort die Datenverbindungen zwischen Kunden-Rechner und Cloud-Speicher überhaupt nicht verschlüsselt werden.

Aber auch die anderen Produkte mussten Kritik einstecken. Dabei achteten die Forscher auch auf Details, die offenbar leicht unterschätzt werden. Beispielsweise wurde bei Dropbox, Wuala und CloudMe kritisiert, dass keine Gegenprüfung der E-Mail-Adressen von Neukunden stattfindet. Übelwollende Personen können sich beispielsweise mit einer fremden E-Mail-Adresse registrieren und dann rechtlich bedenkliches Material hochlanden. Danach könnten Sie die Behörden über die illegalen Inhalte informieren und so den Besitzer der E-Mail-Adresse in Misskredit bringen.

Bedenklich sehen die Experten auch die zahlreichen Möglichkeiten für Filesharing. Offenbar verschleiern manche Cloud-Produkte die Dateien der Nutzer nicht ausreichend oder sie konnten über Suchmaschinen gefunden werden. Das gefährdet die Daten der Nutzer, die ihre Daten mit einem größeren Kreis teilen möchten. In den Tests wurde auch festgestellt, dass CrashPlan, TeamDrive und Wuala selbst entwickelte Verschlüsselungs-Verfahren benutzen, die möglicherweise fehleranfällig sind.

Weiter wird bemängelt, dass Dropbox, CloudMe und Ubuntu One die gespeicherten Daten nur im eigenen Rechnerzentrum verschlüsseln und nicht schon zuvor auf dem Nutzer-Rechner. Das verschafft dem Dienstanbieter unberechtigten Zugriff auf die Nutzerdaten. Mit diesem Problem hat sich allerdings Dropbox inzwischen intensiv auseinandergesetzt.

Insgesamt ist die Studie sehr ausführlich und praxisorientiert. Anhand von Angriffs-Beispielen werden die Gefahren anschaulich demonstriert. Grundsätzlich sieht das Fraunhofer-Institut noch einige juristische Frage in Bezug auf Datenverarbeitung noch nicht abschließend geklärt. Da die reale Gefahr besteht, dass amerikanische Behörden auf US-Server zugreifen, empfehlen die Experten, europäische Cloud-Dienste zu verwenden.

Da die Untersuchung auf Daten von Januar 2012 beruht, sind inzwischen einige der Mängel von den Anbietern beseitigt worden. Über die Änderungen gibt das Dokument On the Security of Cloud Storage Services Addendum Auskunft (PDF-Datei).