Kommentar: Fraunhofer Institut meldet Sicherheitsmängel bei Cloud-Speicherdiensten

Gestern Abend noch den Hinweis von Stephan auf eine Studie des Fraunhofer Instituts bekommen, die mit dem Titel „Sicherheitsmängel bei Cloud-Speicherdiensten“ natürlich sofort für Aufmerksamkeit sorgt. 140 englischsprachige Seiten hat das Gebilde, welches von euch heruntergeladen werden kann.

Dienste wie Cloudme, Dropbox und Ubuntu One verzichten demnach auf eine Client-seitige Verschlüsselung, sodass die Anbieter die Daten im Klartext erhalten einsehen können.

Crashplan, Teamdrive und Wuala verwenden nach Aussage des Fraunhofer Institus nicht SSL/TLS, sondern eigene Protokolle, was die Forscher für eine sehr fehleranfälligen Lösung halten. Das Teilen von Daten halten die Fraunhofer-Menschen bei Cloudme, Dropbox, Teamdrive und Wuala für problematisch.

Das Fraunhofer Institut erklärt aber auch, dass die Dienste für Privatpersonen ausreichend oft ausreichend sind, aber nicht für sensible Unternehmensdaten geeignet sind. Die Fraunhofer Forscher nahmen in ihrer Studie zwischen Sommer 2011 und Januar 2012, mittlerweile wurde aber zum Beispiel auch bei Dropbox das https-Protokoll bei öffentlichem Sharing eingeführt, zumindest wird dieses Feature getestet, wie ich ja bereits hier neulich schrieb.

Ein Kritikpunkt war auch, dass die E-Mail-Adresse nicht verifiziert werde. Ich könnte so im Namen meines Nachbarn einen Account eröffnen, illegalen Kram in die Cloud pusten und dies der Polizei melden.

Die Forscher raten uns Benutzern daher, die Daten direkt auf dem Client mit Sicherheits-Software wie Truecrypt, EncFS and GnuPrivacyGuard zu verschlüsseln und erst dann in die Cloud zu pusten. Um diese Aussage zu treffen, muss man übrigens kein Forscher sein, ich schreibe hier auch oft über die Verschlüsselung von Daten, jeder mit halbwegs gesundem Menschenverstand könnte darauf kommen. Übrigens: Google Drive läuft über https. (via Handelsblatt)

Mein Kommentar dazu:

1. Wenn du sensible Daten hast, die du online lagerst, dann verschlüssle sie zusätzlich.

Das ist die einzige Regel. Wenn ich nicht will, dass Bösewichte Zugriff erlangen, dann stelle ich den Kram nicht online (auch lokal kann man verschlüsseln ;) ). Ende aus, keine Diskussion. Und wenn ich schon aus Faulheitsgründen sensible Daten irgendwo online habe, dann kann ich die doch sogar verschlüsseln, oder? Dann nutze ich die Verschlüsselung, mit der ich am besten klar komme. Ob ihr Software kauft oder Open Source wie TrueCrypt nutzt: bleibt euch überlassen. Aber verschlüsselt. Es bringt nichts, dass ein Anbieter sagt: die Daten sind online verschlüsselt. Die Daten sind online.

Hat jemand Usernamen / Passwort, dann nützt die Verschlüsselung auf dem Server nichts – dann kann eine Verschlüsselung der Datei helfen. Oder vielleicht wird auch mal der Anbieter eures Cloud-Spaces kompromittiert. Man weiss es doch nicht, was alles passiert. Deshalb: Verschlüsseln. Wer unbedingt bezahlen möchte: Knox für Mac, BoxCryptor für Windows – wer es kostenlos mag: Linux, Windows und Mac OS: TrueCrypt.

Ich habe diese ganzen Verschlüsselungsbeiträge bestimmt nicht zum Scherz geschrieben. Also bitte: verschlüsselt, verschlüsselt, verschlüsselt. Auch vielleicht mit dem Nachteil, dass ihr den Cloud-Dienst vielleicht nicht über das Web-Interface mehr nutzen könnt. Das darf nicht der Preis für Unsicherheit sein. Unverschlüsselt sollten nur Daten gelagert werden, mit denen ihr kein Problem hättet, dass die ganze Welt sie sehen kann.

Verschlüsselung darf kein Thema sein, dass bei Hypes wie eine Sau durch das Dorf getrieben wird. Das muss uns Benutzern in Fleisch und Blut übergehen. Macht den Menschen keine Cloud-Dienste madig, empfehlt Leuten die Verschlüsselung und den sicheren Umgang mit Daten. Und wenn ihr Tipps habt, immer rein damit in die Kommentare: ich bin auch kein Raketenwissenschaftler, der alles weiss – sondern eben auch nur Blogger und Anwender :)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

23 Kommentare

  1. hats jemand überrascht?

  2. Kann ich verschlüsselt Daten auch weiterhin mit Google Docs lesen/bearbeiten?

    Ansonsten ist Google Docs doch ziemlich sinnlos oder?

  3. Absehbar, nur wieso wurden die großen Dienste von Microsoft (SkyDrive) und Google (Drive) nicht unter die Lupe genommen? Da wird es sicher auch Schwachstellen geben…

  4. Danke! Vor allem nicht den anderen die Dienste madig machen. Was mich noch interessieren würde: wie sicher sind die googledocs Dokumente die man ja per Browser erstellen kann und nutzt…
    Des weiteren: wie greift ihr mobil auf eure truecript container zu? Da gibts noch keine möglichkeit, oder habe ich da was übersehen?
    Gruß

  5. Wieder ein Fall für *rätätä* CAPTAIN OBVIOUS!

  6. Ich sachs ja immer: so wenig wie möglich „weggeben“, wenn das eben möglich ist. Das hat mit „madig machen“ der Cloud gar nix zu tun.

    Was ich nur lokal habe, kann in der Cloud nicht an- oder abgegriffen werden. Und das mit dem „immer Verschlüsseln“ ist leichter gesagt als getan – die menschliche Trägheit.

    Und je mehr da zu verschlüsseln ist/wäre, desto aufwendiger wird das. Auch die ENIGMA (wo oben ja einige Schlüsselwalzen zu sehen sind) wurde letzlich geknackt.

  7. kennt jmd. mittlerweile eine gute Möglichkeit TrueCrypt auf Android zu nutzen?

  8. DerLangenberger says:

    „Ein Kritikpunkt war auch, dass die E-Mail-Adresse nicht verifiziert werde. Ich könnte so im Namen meines Nachbarn einen Account eröffnen, […]“
    So was ist mir gerade mit Dropbox passiert, bei denen ich übrigens nicht aus eigenem Antrieb registriert bin.
    Am 9. Mai habe ich drei Mails bekommen – eine Einladung, die Bestätigung der Annahme derselben und die Nachricht, daß jemand unter meinem Namen, aber mit mir vollständig unbekannter eMail-Adresse, dafür zusätzliche 500MB bekommen hat. Ebenso wie „ich“.
    Daraufhin hab ich Dropbox angeschrieben, die Sache geschildert und um Kontolöschung gebeten. Auf deutsch, mit dem englischen Kommentar, sie mögen sich bitte melden, falls sie den Text auf englisch brauchen.
    Gestern (14. Mai) kam eine automatische Mail auf englisch. Sinngemäß: „Tut uns leid, wir haben im Moment eine Menge Anfragen und können nicht zeitnah antworten. Wenn Sie immer noch Probleme haben, antworten Sie bitte auf diese Mail, dann kümmern wir uns sobald wie möglich drum.“
    Heute hab ich das getan, auf englisch. Mal schauen, was da jetzt passiert.

    DerLangenberger

  9. War ja irgendwie klar, aber selbst schuld wer dort wichtige oder brisante Dinge ablegt.
    Das beste um Daten überall zu haben ist ein kleiner USB stick.
    Der natürlich verschlüsselt ist, falls man ihn verliert ;).

  10. @Mr. Apfel:
    Ich bin gespannt, wie du deine Daten vom USB-Stick auf dein Smartphone oder dein Tablet bekommst, wenn du die grade jetzt brauchst. Das ist nämlich meiner Meinung nach der größte Vorteil von Cloudspeicher, dass er geräte- und anschluss (grade bei Apples Anschluss“politik“ wichtig) unabhängig ist.
    Und ob man nun einen Stick verschlüsselt oder einen Container, ist eher Jacke wie Hose, wenn das Passwort sicher genug ist.

  11. @m3adow: In dem Fall hast du natürlich recht, aber ist nunmal sicherer.
    Die Wahrscheinlichkeit, dass der finder des USB Sticks, anung vom entschlüsseln hat, ist sehr gering. Was im Internet natürlich wieder schwieriger ist.
    Die Person die Ahnung hat wie Sie Daten von einer Cloud stehlen kann, wird da schon anderes Wissen haben.

  12. Klaus die Maus, komm schon hau's raus says:

    „Mein Kommentar dazu:

    1. ….“

    Du schreibst 1., aber wo ist 2. und so weiter?

  13. Ich finde es gut, dass du das Thema Verschlüsselung immer wieder mal in Erinnerung rufst, aber die Lösung mit True Crypt ist eben leider nicht wirklich benutzerfreundlich. Die beste „massentaugliche“ Lösung ist immer noch Wuala, auch wenn es closedsource ist.

  14. @hiasi: Wuala und ne Verschlüsselungssoftware zu vergleichen ist irgendwie…..?

  15. Viktor Deleski says:

    Hallo,
    ein Kommentar von einem treuen Leser, der bei einem Fraunhofer-Institut beschäftigt ist: Es gibt nicht DAS Fraunhofer-Institut, sondern eine Fraunhofer-Gesellschaft und mehr als 50 Institute. Die oben besprochene Studie stammt vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt.
    Beste Grüße
    P. Nibel 😉

  16. Danke Viktor!

  17. Hm…
    Ich „verschlüssele“ meine Daten (zumindest die sensiblen), in dem ich sie als ZIP packe und mit Passwort versehe. Das kann ich dann überall öffnen, ohne z.B. Adminrechte zu haben. Allerdings handelt es sich überwiegend um Office-Dateien und TXT.

    Reicht das nicht aus?

  18. Wenn man nur auf OS X unterwegs ist würde ich einfach ein Disk Image nehmen. Das ist nativ, wächst mit, mounted selbstständig, unterstützt Verschlüsselung, etc. Mach ein mitwachsendes Bundle-Image (SparseBundle), das besteht aus 1MB-Teilen, perfekt geeignet für Dropbox und rsync (Time Machine).

  19. toyotentheo says:

    Ich benutze Protectorion Data Safe in meiner Dropbox. Ein kostenloser, flexibler, portabler Datei-Tresor. Funktioniert für meine paar privaten Dateien gut. Für Passwörter natürlich KeePass.
    Lizenz: Freeware
    Einschränkungen: In der Freeware bis zu 100 Dateien und bis zu 5 Passwörter verschlüsseln und verwalten
    Betriebssystem: Win XP/Windows Vista/Windows 7
    Dateigröße: 2.9MB

  20. Kann mir jemand bitte erklären, wieso man die Dateien zusätzlich (!) verschlüsseln soll, obwohl Wuala die Dateien schon beim Client verschlüsselt? Also die sind auf den Servern schon verschlüsselt (und sogar auf verschiedenen Servern verteilt).
    Dann kann man auch gleich sagen, dass Boxcryptor unzureichend wäre und man vielleicht dazu noch Encfs, Truecrypt und was auch immer, verschachtelt addieren sollte. Oder?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.