Alle durchgefallen

Zu unsicher: Forscher warnen vor Cloud-Diensten

(Bild: thinkstockphotos.de, krone.at-Grafik)

Samt und sonders durchgefallen, so lautet das Resultat eines Tests zur Sicherheit von Cloud-Speicherdiensten des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt. Es fehlt an ordentlicher Verschlüsselung, dazu kommen Schwächen in der Benutzerführung. Das kann sogar dazu führen, dass vertrauliche Daten ihren Weg in Suchmaschinen finden. Besonders sensiblen Daten drohe durch Cloud-Speicherdienste daher Gefahr.

Das Fazit der Forscher vom SIT ist eindeutig: "Keiner der getesteten Anbieter konnte die Sicherheitsanforderungen vollständig erfüllen, teilweise fehlte eine ordentliche Verschlüsselung."

Institutsleiter Michael Waidner warnt daher besonders Firmen vor dem Einsatz von Cloud-Speicherdiensten: Für manche private Nutzung mag der eine oder andere Dienst ausreichen, bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen."

Kein Angebot erfüllt Sicherheitsanforderungen
Die Forscher haben sieben Cloud-Anbieter unter die Lupe genommen: Neben Markführer Dropbox wurden CloudMe, CrashPlan, Mozy, TeamDrive, Ubuntu One und Wuala getestet. Jedes Angebot wies laut SIT Sicherheitsmängel auf, kein einziges erfüllte die grundsätzlichen Sicherheitsanforderungen. Teils setzen die Dienste nicht auf sichere Standard-Protokolle, bei anderen wiederum wurden Daten gleich ganz unverschlüsselt in die Cloud übertragen.

Verschlüsselung mangelhaft
"Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind", kritisiert Waidner. "Der Anbieter bekommt die Daten also im Klartext und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben." Wer sichergehen wolle, dass die Daten geheim bleiben, müsse sie noch vor der Übertragung in die Datenwolke selbst verschlüsseln.

Falsche Beschuldigungen möglich
Schon die Anmeldung bei Cloud-Diensten sehen die Forscher zum Teil kritisch, denn einige Anbieter verlangen keine Verifizierung des E-Mail-Kontos. Es ist also möglich, unter Angabe einer anderen E-Mail-Adresse illegales Material hochzuladen und anschließend den Mail-Besitzer bei der Polizei melden.

Daten landen in Suchmaschinen
Ebenfalls negativ bewerten die Forscher das Teilen von Daten. Werden sie an nicht angemeldete Nutzern weitergegeben, wird eine URL zur Weitergabe angezeigt. Diese sei jedoch manchmal nicht adäquat verschleiert, außerdem könnten Suchmaschinen darüber auf die Dateien zugreifen, so das SIT.

USA könnten auf Informationen zugreifen
Und noch eine Schwierigkeit sehen die Wissenschaftler: Unternehmen sollten ihre Daten nur bei Cloud-Diensten speichern, die ihren Sitz im europäischen Wirtschaftsraum haben und nicht zu einem US-Unternehmen gehören. Andernfalls könnten die US-Behörden dank des "Patriot Act", einem Gesetz zum Schutz vor Terrorismus, darauf zugreifen - selbst wenn die Daten auf europäischen Servern lagern.