Unsichere Cloud-Speicher

Wer seine Dateien bei einem der zahlreichen Cloud-Speicherdienste ablegt, muss sich bewusst sein, dass sie dort alles andere als im Tresor lagern. Zu diesem Schluss kommt eine Studie des Fraunhofer-Institut für Sichere Informationstechnologie (SIT).

» Von Jens Stark , 19.09.2012 15:27.

weitere Artikel

«Kein Dienstanbieter erfüllt alle unsere Sicherheitsanforderung», gibt Sven Vowé, der die Studienergebnisse im Rahmen der Security-Zone in Zürich präsentierte. Untersucht wurden sieben Dienste, darunter auch sehr verbreitete Services wie Dropbox, Mozy und der an der ETH entstandene Online-Speicher Wuala. Letzterer gehöre in diesem Zusammenhang noch zu den sichersten Services, weiss der Fraunhofer-Forscher.

Erste Schwächen zeigen sich bereits bei der Registrierung. Bei drei Diensten würden keine Bestätigungs-E-Mail verschickt, welche die Echtheit der Adresse überprüften, berichtet Vowé. Lediglich ein Willkommens-Mail lande im Postfach des Mailadresseninhabers und werde von diesem in der Regel als Spam abgetan. Dadurch könnten Angreifer unter falschem Namen operieren und ihre Opfer bestehlen oder anschwärzen.

Auch in Sachen Verschlüsselung liegt einiges im Argen. Während einige Dienste gar kein Krypto-Verfahren verwenden, beschränkten sich die restlichen Services auf einen Server-seitigen Chiffriermechanismus. «Dadurch wird der Schlüssel auf dem Server des Anbieters gelagert und kann beispielsweise im Rahmen des Patriot Act an die US-Regierung ausgehändigt werden», warnt Vowé und gibt gleichzeitig zu bedenken, dass nicht nur US-Anbieter von solchen staatlichem Zugriff betroffen sind, sondern auch europäische.

Eine weitere Schwachstelle der Speicherdienste sind schliesslich die Deduplizierungsverfahren, welche die Anbieter aus Platz- und Spargründen verwenden. Kann man dem Dienst nämlich weissmachen, dass man im Besitz einer bereits gespeicherten Kopie ist, rückt dieser das Original heraus.

Schliesslich sind die Kollaborations-Mechanismen der Cloud-Speicherdienste unsicher. Viele erlauben ja, Dateien mit Hilfe von URLs zu teilen. Diese werden aber zum Teil nach einem ganz bestimmten Muster - etwa mit Hilfe einer fortlaufenden Zahlenreihe - erstellt und können somit «erraten» werden. Vowé berichtet in diesem Zusammenhang von einem Test, bei dem zum Teil Dateien mit sehr sensiblen Daten in die Hände der Forscher gelangten.

Die komplette Studie kann von der Institutsseite heruntergeladen werden.

Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.