Fehlende Verschlüsselung
Dropbox & Co.: Fraunhofer-Studie offenbart Sicherheitsmängel
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat die Sicherheit von sieben Cloud-Speicherdiensten untersucht - mit überraschendem Ergebnis: Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung. Getestet wurden Dropbox, CloudMe, CrashPlan, Mozy, TeamDrive, UbuntuOne und Wuala.
- 1 von 8
Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat sieben Cloud-Speicherdienste unter die Lupe genommen. (Bild: sxc.hu)
Cloud Computing war bisher ein Thema, das Konzerne, Dienstleister, Beratungsunternehmen Trendforscher und Analysten unter sich ausmachen. Für die IT-Manager, die entscheiden sollen, ob sie Cloud-Services in ihrem Unternehmen nutzen, kann das gelegentlich zur Verwirrung führen.
Dropbox führt Nutzer mit unqualifizierten Aussagen in die Irre und nutzt nicht die besten Verschlüsselungstechniken. Diese Vorwürfe erhebt ein US-amerikanischer Sicherheitsexperte in einer Beschwerde bei der FTC.
Anmeldung ohne Passwort: Aufgrund eines Update-Fehlers am Sonntag, 19. Juni, hätten Anwender für kurze Zeit in andere Dropbox-Accounts schnüffeln können. Mittlerweile hat das Unternehmen den Fehler wieder beseitigt.
Besitzer des Samsung Galaxy S3 können sich 50 Gigabyte Gratis-Speicher im Cloud-Service Dropbox sichern. Die App ist bereits ab Werk auf dem Smartphone installiert, um den geschenkten Speicher zu erhalten, sind jedoch einige Schritte zunächst durchzuführen. Netzwelt erklärt, welche.
Dropbox macht seinen Speicherplatz günstiger und passt seine Preisstruktur damit der Konkurrenz an: Statt 50 Gigabyte gibt es jetzt 100 Gigabyte. Neu hinzu kommt ein Tarif für 500 Gigabyte.
Apples iPhone wird zunehmend auch in Unternehmen eingesetzt. Für Sicherheit soll bei Verlust eine Code-Sperre sorgen. Forschern des Fraunhofer Instituts gelang es nun allerdings diese binnen Minuten zu umgehen.
Mozy bietet neben seinem Online-Backup-Angebot nun auch einen Synchronisierungsdienst für verschiedene Endgeräte an. Damit kann etwa vom Smartphone und vom Computer aus auf den gesamten Datenbestand zugegriffen werden. Cloud-Speicherdienste versprechen einen einfachen Zugriff auf digitale Inhalte, von überall. Doch die Sicherheit der Anbieter ist verbesserungswürdig, wie eine aktuelle Studie des Fraunhofer-Instituts für Sichere Informationstechnologie ergab. Neben technischen Mängeln fanden die Tester auch Schwächen in der Benutzerführung, die dazu führen können, dass vertrauliche Daten mithilfe von Suchmaschinen gefunden werden.
Teilweise keine Verifizierung der E-Mail-Adressen
Laut Studie ist CloudMe anfällig für eine Reihe von Angriffen, wie Nutzernamenaufzählung, das Versenden unerwünschter Emails und die Übernahme von Benutzerkonten. Bei CrashPlan sei es nicht möglich, individuelle Einstellungen zu entfernen. Dropbox verifiziert E-Mail-Adressen bei der Registrierung nicht. Zudem werden Nutzer-Daten beim Hochladen nicht automatisch verschlüsselt. "Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind", sagt Institutsleiter Michael Waidner.
Mozy verschlüsselt Dateien, aber nicht Dateinamen. Der Dienst verwaltet Duplikate zwischen Nutzern nicht sicher. Das bedeutet, dass Nutzer nach Dateinamen suchen können, die bereits von anderen bei Mozy hochgeladen wurden. Zudem würden schwache Passwörter akzeptiert, ohne dass der Nutzer informiert werde.
Bei TeamDrive sei es nicht möglich, Geräte wieder zu entfernen, nachdem sie aktiviert wurden. Wenn Teilnehmer entfernt würden, würde der Verschlüsselungscode nicht geändert. Ubuntu One biete keine Verschlüsselung.
Untersuchung vom Januar 2012
Wuala verifiziere E-Mail-Adressen nach der Registrierung nicht. Die Codierung schütze nicht gegen Angreifer, die Zugang auf unverschlüsselte Dateien haben. URLs, die mit Nicht-Abonnenten geteilt werden, enthalten die Nutzernamen.
Das Fraunhofer-Institut hat die Dienste bereits im Januar 2012 untersucht. Seither sind einige Veränderungen vorgenommen worden. Die Liste finden Sie hier. Bei Mozy etwa tritt eine Schutzfunktion nach einer dreimaligen falschen Eingabe des Passworts ein. Dropbox verlangt inzwischen eine Verifizierung der E-Mail-Adresse, wenn Dateien mit Änderungsrechten mit anderen geteilt werden. Auch bei CloudMe, CrashPlan und TeamDrive wurde eine Reihe von Verbesserungen vorgenommen.
Beiträge
insgesamt 2 BeiträgeDoch, Sicher. Dropbox kannst du weiterhin benutzen. Es hat hier, wie der letzte Absatz ja auch sagt, Nachbesserungen gegeben. Würde aber grundsätzlich immer dazu raten genau abzuwägen, welche Daten ich zu so einem...
Kann ich die Dropbox jetzt nicht mehr nutzen?