19.09.2012, 15:27 Uhr

Unsichere Cloud-Speicher

Wer seine Dateien bei einem der zahlreichen Cloud-Speicherdienste ablegt, muss sich bewusst sein, dass sie dort alles andere als im Tresor lagern. Zu diesem Schluss kommt eine Studie des Fraunhofer-Institut für Sichere Informationstechnologie (SIT).
Sven Vowé vom Fraunhofer-Institut präsentiert an der Security-Zone in Zürich die Sicherheitsmängel in Cloud-Speicherdiensten
«Kein Dienstanbieter erfüllt alle unsere Sicherheitsanforderung», gibt Sven Vowé, der die Studienergebnisse im Rahmen der Security-Zone in Zürich präsentierte. Untersucht wurden sieben Dienste, darunter auch sehr verbreitete Services wie Dropbox, Mozy und der an der ETH entstandene Online-Speicher Wuala. Letzterer gehöre in diesem Zusammenhang noch zu den sichersten Services, weiss der Fraunhofer-Forscher. Erste Schwächen zeigen sich bereits bei der Registrierung. Bei drei Diensten würden keine Bestätigungs-E-Mail verschickt, welche die Echtheit der Adresse überprüften, berichtet Vowé. Lediglich ein Willkommens-Mail lande im Postfach des Mailadresseninhabers und werde von diesem in der Regel als Spam abgetan. Dadurch könnten Angreifer unter falschem Namen operieren und ihre Opfer bestehlen oder anschwärzen. Auch in Sachen Verschlüsselung liegt einiges im Argen. Während einige Dienste gar kein Krypto-Verfahren verwenden, beschränkten sich die restlichen Services auf einen Server-seitigen Chiffriermechanismus. «Dadurch wird der Schlüssel auf dem Server des Anbieters gelagert und kann beispielsweise im Rahmen des Patriot Act an die US-Regierung ausgehändigt werden», warnt Vowé und gibt gleichzeitig zu bedenken, dass nicht nur US-Anbieter von solchen staatlichem Zugriff betroffen sind, sondern auch europäische. Eine weitere Schwachstelle der Speicherdienste sind schliesslich die Deduplizierungsverfahren, welche die Anbieter aus Platz- und Spargründen verwenden. Kann man dem Dienst nämlich weissmachen, dass man im Besitz einer bereits gespeicherten Kopie ist, rückt dieser das Original heraus. Schliesslich sind die Kollaborations-Mechanismen der Cloud-Speicherdienste unsicher. Viele erlauben ja, Dateien mit Hilfe von URLs zu teilen. Diese werden aber zum Teil nach einem ganz bestimmten Muster - etwa mit Hilfe einer fortlaufenden Zahlenreihe - erstellt und können somit «erraten» werden. Vowé berichtet in diesem Zusammenhang von einem Test, bei dem zum Teil Dateien mit sehr sensiblen Daten in die Hände der Forscher gelangten. Die komplette Studie kann von der Institutsseite heruntergeladen werden.


Das könnte Sie auch interessieren