Fraunhofer-Studie Forscher bemängeln Sicherheit von Cloud-Diensten

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor Sicherheitsmängeln bei Cloud-Diensten. Zwar nähmen die meisten Anbieter Datensicherheit sehr ernst - viele scheiterten letztlich aber bei der Umsetzung.

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen
Corbis

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen


Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat die Sicherheit von Cloud-Diensten untersucht. In der Studie mit dem Titel "On the Security of Cloud Storage Services" (PDF-Datei, 5,83 MB) untersuchen die Forscher, in wie weit Anbieter von Cloud-Diensten ihre Zugangssoftware gegen Missbrauchsversuche zu schützen. Auf den Seziertisch kamen Dropbox, Ubuntu One, Mozy, CloudMe, CrashPlan, TeamDrive und Wuala. Die getesteten Angebote wurden von den Forschern aufgrund ihrer einfachen Bedienung ausgewählt.

Das Ergebnis: Alle Cloud-Anbieter nehmen "die extreme Wichtigkeit von Datensicherheit und Privatsphäre" ernst, schreiben die IT-Experten. Aber auch, dass keiner der Anbieter alle von den Forschern aufgestellten Sicherheitskriterien erfüllt. Eines der getesteten Angebote, das schwedische CloudMe, wurde von den Forschern sogar in allen untersuchten Punkten als mangelhaft bewertet.

Zu den von den Forschern aufgedeckten Problemen gehören scheinbar triviale Sicherheitslücken - zum Beispiel, dass Dropbox, Wuala und CloudMe die E-Mail-Adresse eines Neukunden nicht gegenprüfen. Damit könnten diese Dienste, befürchten die Forscher, als Fallen missbraucht werden, um Dritten inkriminierendes Material unterzujubeln.

Auch seien die Filesharing-Möglichkeiten problematisch: Wer einzelne Dateien seiner Cloud einem größeren Nutzerkreis anbieten will, stößt bei den untersuchten Diensten auf Probleme. Einige der Zum Test dort eingelagerten Dateien waren leicht über Suchmaschinen auffindbar, andere Angebote verschleierten die Identität des Anbieters nicht ausreichend.

Wie Dienstanbieter sich selbst Zugriff auf Nutzerdaten verschaffen

Schwerer wiegt, dass CrashPlan, TeamDrive und Wuala einen selbstgestrickten Verschlüsselungsalgorithmus einsetzten ("sehr fehlerträchtig") und CloudMe die Datenverbindung zwischen Kunden-Rechner und Cloud-Speicher erst gar nicht verschlüssele. Das Abhören von Daten bei der Cloud-Synchronisation sei damit besonders leicht.

Dropbox, CloudMe und Ubuntu One, so ein weiterer Vorwurf, würden die gespeicherte Daten nicht schon auf dem Nutzer-Rechner verschlüsseln, sondern erst im eigenen Rechenzentrum - womit der Dienstanbieter Zugriff auf die Nutzerdaten bekomme (ein Problem, auf das Dropbox bereits ausführlich eingegangen ist). Zudem seien juristische Fragen bezüglich der Datenverarbeitung und -sicherheit in der Cloud nicht abschließend geklärt. Weil sie fürchten, amerikanische Behörden könnten sich Zugang zu US-Servern verschaffen, empfehlen die Forscher die Nutzung europäischer Cloud-Dienste.

Die Studie ist umfangreich und praxisnah, gibt Angriffs-Beispiele und erklärt Sicherheits-Dilemmas. Sie zeigt die typischen Probleme und Anforderungen aus Nutzer-, Juristen- und Entwicklersicht auf und schlägt Lösungen vor. Und sie ist so geschrieben, dass sie auch für Computerlaien verständlich ist, sofern diese über ausreichende Englischkenntnisse verfügen.

Wer ein Gefühl für die Risiken der privaten Cloud-Nutzung bekommen will, sollte das lesen. Zumal die Studienbefunde gerade durch ein Addendum mit den neuesten Sicherheitsbemühungen der Anbieter aktualisiert wurden.

fko



Forum - Diskutieren Sie über diesen Artikel
insgesamt 9 Beiträge
Alle Kommentare öffnen
Seite 1
tatortreiniger 15.05.2012
1. Cloud-Dienste
Zitat von sysopCorbisDas Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor Sicherheitsmängeln bei Cloud-Diensten. Zwar nähmen die meisten Anbieter Datensicherheit sehr ernst - viele scheiterten letztlich aber bei der Umsetzung. http://www.spiegel.de/netzwelt/web/0,1518,833209,00.html
Ich hab’s ja schon mal zu diesem Thema geschrieben: Wer solche Dienste nutzt, hat nicht mehr alle Tassen im Schrank..
Tahlos 15.05.2012
2. Die berechtigten Bedenken
weniger wird die Geschäftemacher und Profiteure nicht davon abhalten dieses Geschäftsmodell weiterhin aggressiv zu bewerben. Persönlich bin ich lediglich darauf gespannt, wann der erste Daten-Supergau in dieser "Cloud"-Geschichte passieren wird. Und freue mich schon auf das Geheule der Geschädigten.
andymo 15.05.2012
3. Auf Sicherheit setzen...
Ja es ist schon selsam wie manche mit Ihren Daten umgehen, obwohl es doch Alternativen gibt. Ich selbst nutze z.B. SYNCING.NET - dor werden die Daten verschlüsselt von Rechner zu Rechner übertragen. Das ist zwar nicht so sexy wie Dropbox aber ich muss mir keine Gedanken mehr machen, ob meine Daten sicher sind..
n+1 15.05.2012
4. Über
Zitat von Tahlosweniger wird die Geschäftemacher und Profiteure nicht davon abhalten dieses Geschäftsmodell weiterhin aggressiv zu bewerben. Persönlich bin ich lediglich darauf gespannt, wann der erste Daten-Supergau in dieser "Cloud"-Geschichte passieren wird. Und freue mich schon auf das Geheule der Geschädigten.
das Unglück anderer soll man sich nicht freuen. Aber der Supergau findet schon statt. Die meisten Server stehen in den USA. Warum wohl? Richtig, damit die NSA eine Kopie davon bekommt. Die Cloud ist das größte Wirtschaftsspionage-Vorhaben der Geschichte. Der einzige Ausweg ist wohl "...by Design" von SAP. Bleibt die Frage, wozu Cloud-Computing gut sein soll Für weniger als 1000,- kann man sich seinen Serverpark extern administrieren und warten lassen. SELinux als Betriebssystem und dumme Terminals. Das ergibt einen brauchbaren Sicherheits-Standard.
don.giovanni 15.05.2012
5. Unsinn...
Die Aussage, dass Wuala die Verschlüsselungsmethode nicht publiziert, ist schlicht falsch. In der Studie steht eindeutig, dass AES256 verwendet wird. Kritisiert wurde lediglich der Einsatz einer proprietären Methode für die Verschlüsselung am Transportweg. Da die Daten vor dem Transport aber schon verschlüsselt wurden, ist das eher eine akademische Diskussion.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.