Lade Daten...
15.05.2012
Schrift:
-
+

Fraunhofer-Studie

Forscher bemängeln Sicherheit von Cloud-Diensten

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen
Corbis

Cloud Computing (Symbolbild): Nicht immer so sicher, wie sie sein sollen - und wollen

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor Sicherheitsmängeln bei Cloud-Diensten. Zwar nähmen die meisten Anbieter Datensicherheit sehr ernst - viele scheiterten letztlich aber bei der Umsetzung.

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat die Sicherheit von Cloud-Diensten untersucht. In der Studie mit dem Titel "On the Security of Cloud Storage Services" (PDF-Datei, 5,83 MB) untersuchen die Forscher, in wie weit Anbieter von Cloud-Diensten ihre Zugangssoftware gegen Missbrauchsversuche zu schützen. Auf den Seziertisch kamen Dropbox, Ubuntu One, Mozy, CloudMe, CrashPlan, TeamDrive und Wuala. Die getesteten Angebote wurden von den Forschern aufgrund ihrer einfachen Bedienung ausgewählt.

Das Ergebnis: Alle Cloud-Anbieter nehmen "die extreme Wichtigkeit von Datensicherheit und Privatsphäre" ernst, schreiben die IT-Experten. Aber auch, dass keiner der Anbieter alle von den Forschern aufgestellten Sicherheitskriterien erfüllt. Eines der getesteten Angebote, das schwedische CloudMe, wurde von den Forschern sogar in allen untersuchten Punkten als mangelhaft bewertet.

Zu den von den Forschern aufgedeckten Problemen gehören scheinbar triviale Sicherheitslücken - zum Beispiel, dass Dropbox, Wuala und CloudMe die E-Mail-Adresse eines Neukunden nicht gegenprüfen. Damit könnten diese Dienste, befürchten die Forscher, als Fallen missbraucht werden, um Dritten inkriminierendes Material unterzujubeln.

Auch seien die Filesharing-Möglichkeiten problematisch: Wer einzelne Dateien seiner Cloud einem größeren Nutzerkreis anbieten will, stößt bei den untersuchten Diensten auf Probleme. Einige der Zum Test dort eingelagerten Dateien waren leicht über Suchmaschinen auffindbar, andere Angebote verschleierten die Identität des Anbieters nicht ausreichend.

Wie Dienstanbieter sich selbst Zugriff auf Nutzerdaten verschaffen

Schwerer wiegt, dass CrashPlan, TeamDrive und Wuala einen selbstgestrickten Verschlüsselungsalgorithmus einsetzten ("sehr fehlerträchtig") und CloudMe die Datenverbindung zwischen Kunden-Rechner und Cloud-Speicher erst gar nicht verschlüssele. Das Abhören von Daten bei der Cloud-Synchronisation sei damit besonders leicht.

Dropbox, CloudMe und Ubuntu One, so ein weiterer Vorwurf, würden die gespeicherte Daten nicht schon auf dem Nutzer-Rechner verschlüsseln, sondern erst im eigenen Rechenzentrum - womit der Dienstanbieter Zugriff auf die Nutzerdaten bekomme (ein Problem, auf das Dropbox bereits ausführlich eingegangen ist). Zudem seien juristische Fragen bezüglich der Datenverarbeitung und -sicherheit in der Cloud nicht abschließend geklärt. Weil sie fürchten, amerikanische Behörden könnten sich Zugang zu US-Servern verschaffen, empfehlen die Forscher die Nutzung europäischer Cloud-Dienste.

Die Studie ist umfangreich und praxisnah, gibt Angriffs-Beispiele und erklärt Sicherheits-Dilemmas. Sie zeigt die typischen Probleme und Anforderungen aus Nutzer-, Juristen- und Entwicklersicht auf und schlägt Lösungen vor. Und sie ist so geschrieben, dass sie auch für Computerlaien verständlich ist, sofern diese über ausreichende Englischkenntnisse verfügen.

Wer ein Gefühl für die Risiken der privaten Cloud-Nutzung bekommen will, sollte das lesen. Zumal die Studienbefunde gerade durch ein Addendum mit den neuesten Sicherheitsbemühungen der Anbieter aktualisiert wurden.

fko

Forum

Diskutieren Sie über diesen Artikel
insgesamt 8 Beiträge
    Seite 1    
Alle Kommentare öffnen
1. Cloud-Dienste
tatortreiniger 15.05.2012
Ich hab’s ja schon mal zu diesem Thema geschrieben: Wer solche Dienste nutzt, hat nicht mehr alle Tassen im Schrank..
Zitat von sysopDas Fraunhofer-Institut für Sichere Informationstechnologie (SIT) warnt vor Sicherheitsmängeln bei Cloud-Diensten. Zwar nähmen die meisten Anbieter Datensicherheit sehr ernst - viele scheiterten letztlich aber bei der Umsetzung. Fraunhofer warnt vor Cloud-Sicherheitslücken - SPIEGEL ONLINE (http://www.spiegel.de/netzwelt/web/0,1518,833209,00.html)
Ich hab’s ja schon mal zu diesem Thema geschrieben: Wer solche Dienste nutzt, hat nicht mehr alle Tassen im Schrank..
2. Die berechtigten Bedenken
Tahlos 15.05.2012
weniger wird die Geschäftemacher und Profiteure nicht davon abhalten dieses Geschäftsmodell weiterhin aggressiv zu bewerben. Persönlich bin ich lediglich darauf gespannt, wann der erste Daten-Supergau in dieser [...]
weniger wird die Geschäftemacher und Profiteure nicht davon abhalten dieses Geschäftsmodell weiterhin aggressiv zu bewerben. Persönlich bin ich lediglich darauf gespannt, wann der erste Daten-Supergau in dieser "Cloud"-Geschichte passieren wird. Und freue mich schon auf das Geheule der Geschädigten.
3. Auf Sicherheit setzen...
andymo 15.05.2012
Ja es ist schon selsam wie manche mit Ihren Daten umgehen, obwohl es doch Alternativen gibt. Ich selbst nutze z.B. SYNCING.NET - dor werden die Daten verschlüsselt von Rechner zu Rechner übertragen. Das ist zwar nicht so sexy wie [...]
Ja es ist schon selsam wie manche mit Ihren Daten umgehen, obwohl es doch Alternativen gibt. Ich selbst nutze z.B. SYNCING.NET - dor werden die Daten verschlüsselt von Rechner zu Rechner übertragen. Das ist zwar nicht so sexy wie Dropbox aber ich muss mir keine Gedanken mehr machen, ob meine Daten sicher sind..
4. Über
n+1 15.05.2012
das Unglück anderer soll man sich nicht freuen. Aber der Supergau findet schon statt. Die meisten Server stehen in den USA. Warum wohl? Richtig, damit die NSA eine Kopie davon bekommt. Die Cloud ist das größte [...]
Zitat von Tahlosweniger wird die Geschäftemacher und Profiteure nicht davon abhalten dieses Geschäftsmodell weiterhin aggressiv zu bewerben. Persönlich bin ich lediglich darauf gespannt, wann der erste Daten-Supergau in dieser "Cloud"-Geschichte passieren wird. Und freue mich schon auf das Geheule der Geschädigten.
das Unglück anderer soll man sich nicht freuen. Aber der Supergau findet schon statt. Die meisten Server stehen in den USA. Warum wohl? Richtig, damit die NSA eine Kopie davon bekommt. Die Cloud ist das größte Wirtschaftsspionage-Vorhaben der Geschichte. Der einzige Ausweg ist wohl "...by Design" von SAP. Bleibt die Frage, wozu Cloud-Computing gut sein soll Für weniger als 1000,- kann man sich seinen Serverpark extern administrieren und warten lassen. SELinux als Betriebssystem und dumme Terminals. Das ergibt einen brauchbaren Sicherheits-Standard.
5. Unsinn...
don.giovanni 15.05.2012
Die Aussage, dass Wuala die Verschlüsselungsmethode nicht publiziert, ist schlicht falsch. In der Studie steht eindeutig, dass AES256 verwendet wird. Kritisiert wurde lediglich der Einsatz einer proprietären Methode für die [...]
Die Aussage, dass Wuala die Verschlüsselungsmethode nicht publiziert, ist schlicht falsch. In der Studie steht eindeutig, dass AES256 verwendet wird. Kritisiert wurde lediglich der Einsatz einer proprietären Methode für die Verschlüsselung am Transportweg. Da die Daten vor dem Transport aber schon verschlüsselt wurden, ist das eher eine akademische Diskussion.
    Seite 1    
Alle Kommentare öffnen

Empfehlen

Verwandte Themen

Artikel

News verfolgen

Lassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter RSS
alles zum Thema Computersicherheit
RSS
Top

© SPIEGEL ONLINE 2013 Alle Rechte vorbehalten