Sicherheitsprobleme bei P2P-Groupware Groove

Groove Networks hält große Stücke auf die Sicherheit der Daten, die man der Peer-to-Peer-Groupware Groove Workspace anvertraut. Alle Daten werden verschlüsselt gespeichert und übertragen. Die auf Rollen basierenden Zugriffsrechte lassen sich jedoch allzu leicht aushebeln.

Wenn man mit mehreren Teilnehmern in einem gemeinsamen Telespace arbeitet, so kann man diesen eine von drei Rollen zuweisen: Manager, Participant oder Guest. Für jede dieser Rollen läßt sich für den gesamten Telespace oder einzelne Werkzeuge darin festlegen, welche Rechte den Teilnehmern zustehen. Typischerweise darf ein Participant zum Beispiel nur eigene Beiträge in einem Diskussionsforum bearbeiten, während der Manager das Recht für sich in Anspruch nimmt, auch fremde Beiträge zu bearbeiten oder zu löschen. Auf diese Weise kann man für einen Bereich (ein Tool) eines Telespaces bestimmen, dass dort nur Manager Lesezugriff haben. Andere Teilnehmer sehen zwar diesen Bereich, können dennoch nicht in die Daten Einsicht nehmen.

Wie einige Groove-Entwickler bereits in Version 1.3 festgestellt und an Groove Networks als Fehler gemeldet haben, läßt sich dieser Schutz jedoch leicht aushebeln. Man muss lediglich eine lokale Kopie eines Telespaces anlegen und erhält dort als einziger Teilnehmer einen Zugriff als Manager und hat damit Einsicht in alle Daten. In Version 2.1 gibt es nun auch eine Backup/Restore-Funktion, die dem Anwender ebenfalls Manager-Rechte einräumt.

Auf Anfrage von heise online hat Groove Networks nun eine Technote veröffentlicht, in der man für sich in Anspruch nimmt, es handle sich bei der inkriminierten Funktion gar nicht um ein Sicherheitsfeature, das die Daten schützen soll. Vielmehr gehe es nur darum, den Zugriff auf das Tool zu verhindern. Das hat zur Konsequenz, dass Groove Workspace nicht in der Lage ist, Daten innerhalb eines Telespace selektiv nur einzelnen Teilnehmern zur Verfügung zu stellen. Alle Mitglieder eines Space haben stets die gleichen Zugriffsrecht auf die Daten. Will man Daten vor einzelnen Teilnehmern verbergen, dann muss man für den Rest der Gruppe einen eigenen Space anlegen.

Die Möglichkeit, Zugriffsrechte so leicht auszuhebeln, hat durchaus auch Konsequenzen für andere Bereiche des Produktes. So hilft es nicht viel, dass man Teilnehmer später ausladen und ihnen verwehren kann, einen Telespace lokal weiter zu behalten, wenn diese vorher jederzeit eine lokale Kopie erstellen können. Datenschutz und Datensicherheit stehen hier im Gegensatz zueinander.

Lotus Notes kämpft mit einem ähnlichen Problem. Auch dort lassen sich lokale Repliken von Datenbanken anlegen. Lotus hat jedoch vier Mechanismen gefunden, um zu verhindern, dass sich lokale Anwender zum Herr über alle Daten machen: Leser-Felder, selektive Verschlüsselung, lokale Zugriffsrechte (enforce consistent ACL) sowie in Notes 6 ein optionales Verbot, überhaupt eine lokale Replik anlegen zu dürfen.

Da die Daten beim Anwender verschlüsselt gespeichert sind, hat Groove Networks immerhin die Chance zu einer schnellen Nachbesserung: So könnte man ein weiteres Zugriffsrecht an die Rollen knüpfen: "Darf Space duplizieren". Einstweilen zieht sich Groove Networks darauf zurück, der Anwender habe es missverstanden: Die Zugriffsrechte seien gar nicht dazu gedacht, die Daten zu schützen. (Volker Weber) / (jk)