Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

Fraunhofer-Studie: Forscher bemängeln Sicherheit von Cloud-Diensten

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor Sicherheitsmängeln bei Cloud-Diensten. Zwar nähmen die meisten Anbieter Datensicherheit sehr ernst - viele scheiterten letztlich aber bei der Umsetzung.

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen Zur Großansicht
Corbis

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat die Sicherheit von Cloud-Diensten untersucht. In der Studie mit dem Titel "On the Security of Cloud Storage Services" (PDF-Datei, 5,83 MB) untersuchen die Forscher, in wie weit Anbieter von Cloud-Diensten ihre Zugangssoftware gegen Missbrauchsversuche zu schützen. Auf den Seziertisch kamen Dropbox, Ubuntu One, Mozy, CloudMe, CrashPlan, TeamDrive und Wuala. Die getesteten Angebote wurden von den Forschern aufgrund ihrer einfachen Bedienung ausgewählt.

Das Ergebnis: Alle Cloud-Anbieter nehmen "die extreme Wichtigkeit von Datensicherheit und Privatsphäre" ernst, schreiben die IT-Experten. Aber auch, dass keiner der Anbieter alle von den Forschern aufgestellten Sicherheitskriterien erfüllt. Eines der getesteten Angebote, das schwedische CloudMe, wurde von den Forschern sogar in allen untersuchten Punkten als mangelhaft bewertet.

Zu den von den Forschern aufgedeckten Problemen gehören scheinbar triviale Sicherheitslücken - zum Beispiel, dass Dropbox, Wuala und CloudMe die E-Mail-Adresse eines Neukunden nicht gegenprüfen. Damit könnten diese Dienste, befürchten die Forscher, als Fallen missbraucht werden, um Dritten inkriminierendes Material unterzujubeln.

Auch seien die Filesharing-Möglichkeiten problematisch: Wer einzelne Dateien seiner Cloud einem größeren Nutzerkreis anbieten will, stößt bei den untersuchten Diensten auf Probleme. Einige der Zum Test dort eingelagerten Dateien waren leicht über Suchmaschinen auffindbar, andere Angebote verschleierten die Identität des Anbieters nicht ausreichend.

Wie Dienstanbieter sich selbst Zugriff auf Nutzerdaten verschaffen

Schwerer wiegt, dass CrashPlan, TeamDrive und Wuala einen selbstgestrickten Verschlüsselungsalgorithmus einsetzten ("sehr fehlerträchtig") und CloudMe die Datenverbindung zwischen Kunden-Rechner und Cloud-Speicher erst gar nicht verschlüssele. Das Abhören von Daten bei der Cloud-Synchronisation sei damit besonders leicht.

Dropbox, CloudMe und Ubuntu One, so ein weiterer Vorwurf, würden die gespeicherte Daten nicht schon auf dem Nutzer-Rechner verschlüsseln, sondern erst im eigenen Rechenzentrum - womit der Dienstanbieter Zugriff auf die Nutzerdaten bekomme (ein Problem, auf das Dropbox bereits ausführlich eingegangen ist). Zudem seien juristische Fragen bezüglich der Datenverarbeitung und -sicherheit in der Cloud nicht abschließend geklärt. Weil sie fürchten, amerikanische Behörden könnten sich Zugang zu US-Servern verschaffen, empfehlen die Forscher die Nutzung europäischer Cloud-Dienste.

Die Studie ist umfangreich und praxisnah, gibt Angriffs-Beispiele und erklärt Sicherheits-Dilemmas. Sie zeigt die typischen Probleme und Anforderungen aus Nutzer-, Juristen- und Entwicklersicht auf und schlägt Lösungen vor. Und sie ist so geschrieben, dass sie auch für Computerlaien verständlich ist, sofern diese über ausreichende Englischkenntnisse verfügen.

Wer ein Gefühl für die Risiken der privaten Cloud-Nutzung bekommen will, sollte das lesen. Zumal die Studienbefunde gerade durch ein Addendum mit den neuesten Sicherheitsbemühungen der Anbieter aktualisiert wurden.

fko

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 9 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Cloud-Dienste
tatortreiniger 15.05.2012
Zitat von sysopCorbisDas Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor Sicherheitsmängeln bei Cloud-Diensten. Zwar nähmen die meisten Anbieter Datensicherheit sehr ernst - viele scheiterten letztlich aber bei der Umsetzung. http://www.spiegel.de/netzwelt/web/0,1518,833209,00.html
Ich hab’s ja schon mal zu diesem Thema geschrieben: Wer solche Dienste nutzt, hat nicht mehr alle Tassen im Schrank..
2. Die berechtigten Bedenken
Tahlos 15.05.2012
weniger wird die Geschäftemacher und Profiteure nicht davon abhalten dieses Geschäftsmodell weiterhin aggressiv zu bewerben. Persönlich bin ich lediglich darauf gespannt, wann der erste Daten-Supergau in dieser "Cloud"-Geschichte passieren wird. Und freue mich schon auf das Geheule der Geschädigten.
3. Auf Sicherheit setzen...
andymo 15.05.2012
Ja es ist schon selsam wie manche mit Ihren Daten umgehen, obwohl es doch Alternativen gibt. Ich selbst nutze z.B. SYNCING.NET - dor werden die Daten verschlüsselt von Rechner zu Rechner übertragen. Das ist zwar nicht so sexy wie Dropbox aber ich muss mir keine Gedanken mehr machen, ob meine Daten sicher sind..
4. Über
n+1 15.05.2012
Zitat von Tahlosweniger wird die Geschäftemacher und Profiteure nicht davon abhalten dieses Geschäftsmodell weiterhin aggressiv zu bewerben. Persönlich bin ich lediglich darauf gespannt, wann der erste Daten-Supergau in dieser "Cloud"-Geschichte passieren wird. Und freue mich schon auf das Geheule der Geschädigten.
das Unglück anderer soll man sich nicht freuen. Aber der Supergau findet schon statt. Die meisten Server stehen in den USA. Warum wohl? Richtig, damit die NSA eine Kopie davon bekommt. Die Cloud ist das größte Wirtschaftsspionage-Vorhaben der Geschichte. Der einzige Ausweg ist wohl "...by Design" von SAP. Bleibt die Frage, wozu Cloud-Computing gut sein soll Für weniger als 1000,- kann man sich seinen Serverpark extern administrieren und warten lassen. SELinux als Betriebssystem und dumme Terminals. Das ergibt einen brauchbaren Sicherheits-Standard.
5. Unsinn...
don.giovanni 15.05.2012
Die Aussage, dass Wuala die Verschlüsselungsmethode nicht publiziert, ist schlicht falsch. In der Studie steht eindeutig, dass AES256 verwendet wird. Kritisiert wurde lediglich der Einsatz einer proprietären Methode für die Verschlüsselung am Transportweg. Da die Daten vor dem Transport aber schon verschlüsselt wurden, ist das eher eine akademische Diskussion.
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Stichwort: Cloud Computing
Prinzip
Das Endgerät ist beim Cloud Computing nur ein Fenster auf einen stets aktuellen Datenbestand. Wer am Rechner einen Termin einträgt, sieht ihn später auch beim Blick in den Handy-Kalender, wer mobil einen Kontakt einträgt, kann ihn später am PC abrufen - immer nur online, versteht sich. Das Gleiche gilt für Adressbücher, E-Mails, online abgelegte Fotos, Dokumente und so weiter.
Anbieter
Viele Anbieter versuchen derzeit, sich als erste Adresse für den Zugang zur Datenwolke zu positionieren. Dazu gehören beispielsweise Google, Microsoft, der Hardware-Hersteller Apple mit MobileMe und der Handy-Produzent Nokia mit seinem Dienst Ovi. Auch Vodafone will künftig stärker auf Netzdienste setzen.
Business-Funktionen
Für Unternehmen hat Cloud Computing eine weitere Bedeutung: Sie können rechen- oder datenintensive Aufgaben an Datenzentren auslagern, gewissermaßen Rechner - oder Speicherkapazität in der Wolke nach Bedarf für bestimmte Aufgaben anmieten. Vorreiter ist hier Amazon mit seinen Web Services (AWS), etwa dem Speicherdienst S3. Es gibt aber auch zahlreiche andere Anbieter, etwa die Plattform Force.com von Salesforce.
Musik: Die Cloud-Konkurrenz
Worum geht es?
REUTERS
Die eigene Musiksammlung im Internet, immer und überall verfügbar, mit angeschlossenem Online-Shop: Klingt einfach, ist aber immer noch keine Selbstverständlichkeit. Vor allem die Musiklabels sperren sich gegen die neuen Online-Angebote, zudem behindert internationales Lizenzchaos innovative Angebote. Die EU-Kommission plant deswegen nun einen gemeinsamen europäischen Online-Binnenmarkt.
Amazon Cloud Drive
Der Online-Händler Amazon hat als erster Internetriese einen Online-Musikdienst gestartet. Auf die Online-Festplatte Cloud-Drive lassen sich bei Amazon eingekaufte Werke kopieren. Eine spezielle Genehmigung für das Streaming-Angebot hat sich Amazon nicht eingeholt.
Dropbox
Der Online-Speicherdienst Dropbox synchronisiert automatisch Dateien und Ordner zwischen Computern, außerdem kann über ein Webinterface und eine App auf die eigenen Daten zugegriffen werden. Auch die eigene Musiksammlung lässt sich in den Webspeicher verlegen - und auf das iPhone streamen.
iTunes in the Cloud
Bei Apple eingekaufte Musik steht künftig über "iTunes in the Cloud" automatisch auf allen registrierten Geräten bereit. US-Nutzer können für eine Jahresgebühr von rund 25 Dollar außerdem über das Netzwerk auf Musikstücke zugreifen, die sie als Datei auf ihrem Rechner liegen haben, ohne sie bei Apple (oder anderswo) gekauft zu haben. Vorausgesetzt, der iTunes Store führt das Lied im Angebot.
Music Beta by Google
REUTERS
Im Mai hat Google auf einer Konferenz einen eigenen Online-Musikdienst vorgestellt - zunächst aber nur als Beta-Version und nur für US-Nutzer. Die können ihre eigene Musiksammlung auf die Google-Server laden, einen eigenen Online-Musikladen bietet Google bisher nicht an.
Simfy
Über Werbung und kostenpflichtige Premium-Angebote finanziert sich der Streaming-Dienst Simfy - bisher stehen im deutschsprachigen Raum rund acht Millionen Lieder zur Verfügung. Bisher ist die iPad-App des Unternehmens nicht von Apple genehmigt worden.
Spotify (und Facebook)
AFP
Bisher in sieben Ländern nutzbar ist der Musik-Streamingdienst Spotify. Deutschland und die USA fehlen allerdings. Für die mobile Spotify-App wird eine Gebühr fällig. Für Aufsehen sorgten Meldungen, wonach eine enge Integration in Facebook geplant sein soll.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: