Kommentar: Fraunhofer Institut meldet Sicherheitsmängel bei Cloud-Speicherdiensten
Gestern Abend noch den Hinweis von Stephan auf eine Studie des Fraunhofer Instituts bekommen, die mit dem Titel „Sicherheitsmängel bei Cloud-Speicherdiensten“ natürlich sofort für Aufmerksamkeit sorgt. 140 englischsprachige Seiten hat das Gebilde, welches von euch heruntergeladen werden kann.
Dienste wie Cloudme, Dropbox und Ubuntu One verzichten demnach auf eine Client-seitige Verschlüsselung, sodass die Anbieter die Daten im Klartext erhalten einsehen können.
Crashplan, Teamdrive und Wuala verwenden nach Aussage des Fraunhofer Institus nicht SSL/TLS, sondern eigene Protokolle, was die Forscher für eine sehr fehleranfälligen Lösung halten. Das Teilen von Daten halten die Fraunhofer-Menschen bei Cloudme, Dropbox, Teamdrive und Wuala für problematisch.
Das Fraunhofer Institut erklärt aber auch, dass die Dienste für Privatpersonen ausreichend oft ausreichend sind, aber nicht für sensible Unternehmensdaten geeignet sind. Die Fraunhofer Forscher nahmen in ihrer Studie zwischen Sommer 2011 und Januar 2012, mittlerweile wurde aber zum Beispiel auch bei Dropbox das https-Protokoll bei öffentlichem Sharing eingeführt, zumindest wird dieses Feature getestet, wie ich ja bereits hier neulich schrieb.
Ein Kritikpunkt war auch, dass die E-Mail-Adresse nicht verifiziert werde. Ich könnte so im Namen meines Nachbarn einen Account eröffnen, illegalen Kram in die Cloud pusten und dies der Polizei melden.
Die Forscher raten uns Benutzern daher, die Daten direkt auf dem Client mit Sicherheits-Software wie Truecrypt, EncFS and GnuPrivacyGuard zu verschlüsseln und erst dann in die Cloud zu pusten. Um diese Aussage zu treffen, muss man übrigens kein Forscher sein, ich schreibe hier auch oft über die Verschlüsselung von Daten, jeder mit halbwegs gesundem Menschenverstand könnte darauf kommen. Übrigens: Google Drive läuft über https. (via Handelsblatt)
Mein Kommentar dazu:
1. Wenn du sensible Daten hast, die du online lagerst, dann verschlüssle sie zusätzlich.
Das ist die einzige Regel. Wenn ich nicht will, dass Bösewichte Zugriff erlangen, dann stelle ich den Kram nicht online (auch lokal kann man verschlüsseln ). Ende aus, keine Diskussion. Und wenn ich schon aus Faulheitsgründen sensible Daten irgendwo online habe, dann kann ich die doch sogar verschlüsseln, oder? Dann nutze ich die Verschlüsselung, mit der ich am besten klar komme. Ob ihr Software kauft oder Open Source wie TrueCrypt nutzt: bleibt euch überlassen. Aber verschlüsselt. Es bringt nichts, dass ein Anbieter sagt: die Daten sind online verschlüsselt. Die Daten sind online.
Hat jemand Usernamen / Passwort, dann nützt die Verschlüsselung auf dem Server nichts – dann kann eine Verschlüsselung der Datei helfen. Oder vielleicht wird auch mal der Anbieter eures Cloud-Spaces kompromittiert. Man weiss es doch nicht, was alles passiert. Deshalb: Verschlüsseln. Wer unbedingt bezahlen möchte: Knox für Mac, BoxCryptor für Windows – wer es kostenlos mag: Linux, Windows und Mac OS: TrueCrypt.
Ich habe diese ganzen Verschlüsselungsbeiträge bestimmt nicht zum Scherz geschrieben. Also bitte: verschlüsselt, verschlüsselt, verschlüsselt. Auch vielleicht mit dem Nachteil, dass ihr den Cloud-Dienst vielleicht nicht über das Web-Interface mehr nutzen könnt. Das darf nicht der Preis für Unsicherheit sein. Unverschlüsselt sollten nur Daten gelagert werden, mit denen ihr kein Problem hättet, dass die ganze Welt sie sehen kann.
Verschlüsselung darf kein Thema sein, dass bei Hypes wie eine Sau durch das Dorf getrieben wird. Das muss uns Benutzern in Fleisch und Blut übergehen. Macht den Menschen keine Cloud-Dienste madig, empfehlt Leuten die Verschlüsselung und den sicheren Umgang mit Daten. Und wenn ihr Tipps habt, immer rein damit in die Kommentare: ich bin auch kein Raketenwissenschaftler, der alles weiss – sondern eben auch nur Blogger und Anwender
Kann mir jemand bitte erklären, wieso man die Dateien zusätzlich (!) verschlüsseln soll, obwohl Wuala die Dateien schon beim Client verschlüsselt? Also die sind auf den Servern schon verschlüsselt (und sogar auf verschiedenen Servern verteilt).
Dann kann man auch gleich sagen, dass Boxcryptor unzureichend wäre und man vielleicht dazu noch Encfs, Truecrypt und was auch immer, verschachtelt addieren sollte. Oder?