Fraunhofer-Institut sieht Sicherheitsmängel bei Dropbox & Co.

Das Fraunhofer Institut für sichere Informationstechnologie hat die Sicherheit ausgewählter Cloud-Speicherdienste untersucht. Defizite gebe es unter anderem bei der Verschlüsselung und beim Datenschutz.

In Pocket speichern vorlesen Druckansicht 146 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Christian Kirsch

Sieben Anbieter von Cloud-Speicherdiensten untersucht eine Studie (PDF-Datei) des Fraunhofer Instituts für sichere Informationstechnologie (SIT). Die Autoren fanden dabei unter anderem Schwachstellen bei Registrierung und Anmeldung, Verschlüsselung sowie dem gemeinsamen Zugriff auf Daten.

Betrachtet wurden CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala. Diesen Diensten ist gemeinsam, dass ein PC-Client jeweils die Nutzung unmittelbar erlaubt. Angebote wie Amazons S3, das nur per API zugänglich ist, haben die Wissenschaftler nicht untersucht. Eine geplante Nachfolgestudie solle sich mit weiteren großen Anbietern beschäftigen, sagte ein SIT-Sprecher auf Nachfrage.

Bei den Diensten ging es um die Funktionen "Kopieren", "Datensicherung", "Synchronisierung" und "Sharing", die lediglich TeamDrive und Wuala komplett bieten. Bei CrashPlan und Mozy gibt es nur Backups, was wiederum bei CloudMe, Dropbox und Ubuntu One fehlt.

Bezüglich der untersuchten Sicherheitsaspekte schnitt CloudMe am schlechtesten ab: Es verschlüsselt Daten weder vor noch während der Übertragung. Kritik übten die Forscher an CrashPlan, TeamDrive und Wuala, weil diese Dienste für die Transportverschlüsselung ein eigenes, nicht veröffentlichtes Protokoll statt des Standards SSL/TLS verwenden.

Minuspunkte erhielten zudem CloudMe, Dropbox und Ubuntu One. Sie benutzen keine Client-seitige Verschlüsselung, sodass der Anbieter die gespeicherten Daten lesen kann. Wuala biete diese Funktion zwar, doch aufgrund des deterministischen Verschlüsselungsverfahren könne der Anbieter Dateiduplikate erkennen, bemängelten die SIT-Wissenschaftler.

Ein Kapitel der Studie widmet sich rechtlichen Aspekten. Dort weisen die Autoren unter anderem darauf hin, dass bei US-amerikanischen Unternehmen gespeicherte Daten wegen des Antiterror-Gesetzpakets Patriot Act nicht demselben Datenschutz unterliegen wie in der EU. Von den untersuchten Anbietern sind nur CloudMe (Schweden), TeamDrive (Deutschland) und Wuala (Schweiz) vor den Auswirkungen des Patriot Act gefeit. (ck)