22.04.2014, 11:01 Uhr

Haben «sichere» Cloud-Dienste doch Zugriff auf User-Daten?

Computerwissenschaftler der Johns Hopkins University haben eine mögliche Lücke im Umgang mit der Verschlüsselungstechnik in «sicheren» Cloud-Storage-Diensten, darunter auch in Wuala, entdeckt. Der Schweizer Service hat auf Anfrage bereits Stellung genommen.
Sind Dateien auch in sogenannten Secure-Cloud-Diensten sicher?
Cloud-Storage-Dienste, die sich als besonders sicher präsentieren, weil alle Daten vor der Speicherung in der Cloud von einem Benutzer-Client verschlüsselt werden, könnten in gewissen Fällen doch vom Anbieter mitgelesen werden. Zu diesem Schluss kommen zwei Computerwissenschaftler der Johns Hopkins University, welche ihre These anhand dreier Dienste, darunter auch dem Schweizer Online-Service Wuala, in einem kürzlich verffentlichten Paper belegen. Laut den Autoren der Studie, Duane Wilson und Guiseppe Ateniese, ist es zwar kaum möglich auf Dokumente in diesen Diensten zuzugreifen, wenn diese vom Anwender dort abgelegt und auch wieder heruntergealden werden, da die Verschlüsselung jeweils im Client des User stattfinde und die Betreiber des Services keinen Zugriff hätten. Eine Möglichkeit bestünde aber dann, wenn die Anwender per Link ein Dokument oder einen Ordner mit anderen Anwendern im Internet teilen würden. Hier könnten die Cloud-Anbieter rein theoretisch die Dokumente entschlüsseln, indem sie gefälschte Zertifikate ausstellten, welche wiederum für die Verschlüsselung zwischen Link-Sender und -Empfänger dienten. Allerdings gehen Wilson und Ateniese davon aus, dass diese Schnüffel-Möglichkeit bislang noch nicht genutzt worden sei.

Wuala ein Sonderfall?

Wie Wuala-Pressesprecher Gianluca Pirrera auf Anfrage von Computerworld erklärt, sei die Untersuchung der beiden Computerwissenschaftler interessant, aber in Bezug auf den eigenen Dienst «nicht vollständig korrekt». «Gemäss dem Bericht könnten wir bei gesharten Dateien eine Man-in-the-Middle Attacke durchführen und so vielleicht an Daten unserer Kunden kommen. Allerdings geht dieser Bericht davon aus, dass der Schlüssel zum Sharing durch einen Server generiert wird, was nicht der Fall ist. Beim Sharing wird ein Key vom lokalen Wuala-Client generiert und kann vom Benutzer selbstverständlich geändert werden», erklärt Pirrera. Es sei ihnen demnach nicht möglich, Zugriff auf die Daten zu erhalten oder einen Angriff durchzuführen, betont er.



Das könnte Sie auch interessieren