Cloud-Dienste: Dropbox & Co. nicht sicher

Cloud-Dienste werden immer beliebter, erleichtern sie doch das virtuelle Leben in vielerlei Hinsicht. Man hat immer und überall Zugriff auf die in der virtuellen Wolke gespeicherten Daten, kann sie mit Freunden teilen, ohne dies gleich auf einer öffentlichen Plattform wie Facebook zu tun und kann Dokumente ohne großen Aufwand quasi überallhin mitnehmen. Es ist ein Markt dem eine große Zukunft prophezeit wird. Doch das Abspeichern von Inhalten auf den Servern der Anbieter birgt Risiken.

Fraunhofer Institut untersucht Cloud-Speicherdienste

Das Fraunhofer Institut für Sichere Informationstechnologie (SIT) hat Cloud-Dienste wie Dropbox unter die Lupe genommen und dabei gravierende Sicherheitsmängel entdeckt. Insgesamt sieben Anbieter von virtuellem Speicherplatz wurden für die Studie des SIT näher betrachtet: CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala. Der Schwerpunkt der Studie, die von Sommer 2011 bis Januar 2012 durchgeführt wurde lag auf der Verschlüsselung der Daten und auf der Absicherung der Kommunikation. Das erschreckende Ergebnis: Kein Dienst konnte die grundlegenden Sicherheitsanforderungen vollständig erfüllen. Auch eine ordentliche Verschlüsselung fehlte in manchen Fällen.

CloudMe verzichtet beispielsweise komplett auf die Verschlüsselung der Daten, Crashplan, Teamdrive und Wuala verwenden eigene Sicherheitsprotokolle statt der standardmäßigen SSL/TLS-Protokolle. Eine Client-seitige Verschlüsselung fehlt bei Cloudme, Dropbox und Ubuntu One. Das bedeutet, dass die in der Cloud gespeicherten Daten im Klartext, ohne Verschlüsselung bei den Anbietern landen. Dem Nutzer bleibt nur das Vertrauen an die Anbieter, dass diese mit den auf ihren Servern abgelegten Daten kein Schindlunder treiben.

Auch die Usability gerät in den Fokus der Kritik

Auch an der Benutzerführung der Cloud-Dienste gab es einiges auszusetzen. Nicht klar definierte Einstellungen lassen den Nutzer in dem Glauben, dass ihre Daten nicht öffentlich zugänglich sind, doch in der Realität können sie jederzeit von anderen eingesehen werden. Bei CloudMe kritisierten die Forscher beispielsweise, dass bei verlinkten Daten die URL unter Umständen von Suchmaschinen gefunden werden könnte, weil sie zu einfach ist. Auch die Registrierung ist bei einigen Anbietern mangelhaft. Dropbox, CloudMe und Wuala lassen die bei der Anmeldung angegebenen E-Mail-Adressen nicht verifizieren. Das kann im Ernstfall dazu führen, dass sich jemand mit einer fremden E-Mail-Adresse anmeldet und dort illegale Dateien und Dokumente hochlädt. Der betroffene Nutzer, dem die entsprechende E-Mail-Adresse gehört hat somit kaum eine Chance, sich zu verteidigen sollte beispielsweise die Staatsanwaltschaft bei ihm an die Tür klopfen.

Auch auf rechtliche Probleme weisen die Wissenschaftler des Fraunhofer Instituts hin. Wer bei einem US-amerikanischen Anbieter Daten in der Cloud speichert, der muss sich darüber im Klaren sein, dass sie unter Umständen vom Patriot Act betroffen sein könnten. Damit ist ein Datenschutz, wie er bei uns in Europa üblich ist, nicht gewährleistet. Denn unter Berufung auf den Patriot Act kann auf die Daten zugegriffen werden. Von den Anbietern, die das SIT unter die Lupe genommen hat sitzen nur CloudMe (Schweden), TeamDrive (Deutschland) und Wuala (Schweiz) nicht in den USA.

Nutzer sollen Daten selbst verschlüsseln

Institutsleiter Michael Waidner rät Nutzern von Cloud-Diensten dazu, ihre Daten selbst zu verschlüsseln, beispielsweise mit TruCrypt oder GnuPrivacyGuard. Außerdem sollte man sich im Vorfeld gut überlegen, welche Daten man in der Cloud speichert und welche nicht: "Für manche private Nutzung mag der eine oder andere Dienst genügen", sagt Waidner. "Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen." In einer weiteren Studie sollen zusätzliche Anbieter wie beispielsweise SkyDrive (Microsoft) oder Google Drive getestet werden. Die komplette Studie kann auf der Website des Fraunhofer Instituts abgerufen werden.