Fraunhofer-Studie Forscher bemängeln Sicherheit von Cloud-Diensten

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor Sicherheitsmängeln bei Cloud-Diensten. Zwar nähmen die meisten Anbieter Datensicherheit sehr ernst - viele scheiterten letztlich aber bei der Umsetzung.
Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen

Foto: Corbis

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat die Sicherheit von Cloud-Diensten untersucht. In der Studie mit dem Titel "On the Security of Cloud Storage Services " (PDF-Datei , 5,83 MB) untersuchen die Forscher, in wie weit Anbieter von Cloud-Diensten ihre Zugangssoftware gegen Missbrauchsversuche zu schützen. Auf den Seziertisch kamen Dropbox, Ubuntu One, Mozy, CloudMe, CrashPlan, TeamDrive und Wuala. Die getesteten Angebote wurden von den Forschern aufgrund ihrer einfachen Bedienung ausgewählt.

Das Ergebnis: Alle Cloud-Anbieter nehmen "die extreme Wichtigkeit von Datensicherheit und Privatsphäre" ernst, schreiben die IT-Experten. Aber auch, dass keiner der Anbieter alle von den Forschern aufgestellten Sicherheitskriterien erfüllt. Eines der getesteten Angebote, das schwedische CloudMe, wurde von den Forschern sogar in allen untersuchten Punkten als mangelhaft bewertet.

Zu den von den Forschern aufgedeckten Problemen gehören scheinbar triviale Sicherheitslücken - zum Beispiel, dass Dropbox, Wuala und CloudMe die E-Mail-Adresse eines Neukunden nicht gegenprüfen. Damit könnten diese Dienste, befürchten die Forscher, als Fallen missbraucht werden, um Dritten inkriminierendes Material unterzujubeln.

Auch seien die Filesharing-Möglichkeiten problematisch: Wer einzelne Dateien seiner Cloud einem größeren Nutzerkreis anbieten will, stößt bei den untersuchten Diensten auf Probleme. Einige der Zum Test dort eingelagerten Dateien waren leicht über Suchmaschinen auffindbar, andere Angebote verschleierten die Identität des Anbieters nicht ausreichend.

Wie Dienstanbieter sich selbst Zugriff auf Nutzerdaten verschaffen

Schwerer wiegt, dass CrashPlan, TeamDrive und Wuala einen selbstgestrickten Verschlüsselungsalgorithmus einsetzten ("sehr fehlerträchtig") und CloudMe die Datenverbindung zwischen Kunden-Rechner und Cloud-Speicher erst gar nicht verschlüssele. Das Abhören von Daten bei der Cloud-Synchronisation sei damit besonders leicht.

Dropbox, CloudMe und Ubuntu One, so ein weiterer Vorwurf, würden die gespeicherte Daten nicht schon auf dem Nutzer-Rechner verschlüsseln, sondern erst im eigenen Rechenzentrum - womit der Dienstanbieter Zugriff auf die Nutzerdaten bekomme (ein Problem, auf das Dropbox bereits ausführlich eingegangen ist ). Zudem seien juristische Fragen bezüglich der Datenverarbeitung und -sicherheit in der Cloud nicht abschließend geklärt. Weil sie fürchten, amerikanische Behörden könnten sich Zugang zu US-Servern verschaffen, empfehlen die Forscher die Nutzung europäischer Cloud-Dienste.

Die Studie ist umfangreich und praxisnah, gibt Angriffs-Beispiele und erklärt Sicherheits-Dilemmas. Sie zeigt die typischen Probleme und Anforderungen aus Nutzer-, Juristen- und Entwicklersicht auf und schlägt Lösungen vor. Und sie ist so geschrieben, dass sie auch für Computerlaien verständlich ist, sofern diese über ausreichende Englischkenntnisse verfügen.

Wer ein Gefühl für die Risiken der privaten Cloud-Nutzung bekommen will, sollte das lesen. Zumal die Studienbefunde gerade durch ein Addendum mit den neuesten Sicherheitsbemühungen der Anbieter  aktualisiert wurden.

fko