Fraunhofer Institut stellt Sicherheitsmängel bei Dropbox fest

In der Studie „One the Security of Cloud Storage Services“ nimmt das Fraunhofer Institut CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala unter die Lupe. Dabei fand eine Einteilung in die Kategorien “Registrierung”, “Datenübertragung”, “Verschlüsselung”, “Datenweitergabe” und “Deduplizierung“ statt.

In der Kategorie „Registrierung“ schnitten CloudMe, Dropbox und Wuala schlecht ab, weil Sie die Mail-Adresse der User nicht verifizieren. Somit könne sich ein Angreifer mit der Mail-Adresse seines Opfers anmelden und dann illegale Dateien auf den Cloudspeicher des Opfers hochladen. Zuletzt könne der Angreifer die Polizei von den illegalen Uploads in Kenntnis setzen.

Auch bei der „Datenübertragung“ hat das Fraunhofer Institut einiges zu beanstanden: CrashPlan, TeamDrive und Wuala nutzen keine SSL/TLS-Verschlüsselung. Stattdessen nutzen sie eigene Verschlüsselungsmethoden, deren Wirkungskraft nicht bekannt sind. CloudMe soll gar keine Verschlüsselung zur Datenübertragung einsetzen.

Sobald die Daten auf dem Cloudspeicher angekommen sind, liegen sie dort offen sichtbar für den Speicher-Anbieter. Es sei denn, sie verschlüsseln die Daten. Die gute Nachricht laut Fraunhofer Institut: Das tun alle getesteten Anbieter. Die schlechte: Mozy verschlüsselt die Dateinamen nicht. Wuala nutzt eine Verschlüsselungsmethode, die serverseitig verwundbar ist. Und CloudMe, Dropbox und Ubuntu One verzichten auf eine client-seitige Verschlüsselung. Die Verschlüsselung finde erst auf den Servern der Anbieter statt. Der User muss sich auf die Anbieter verlassen.

Tipp: Mit Truecrypt können Sie die Daten schon auf Ihrem Rechner verschlüsseln, bevor Sie diese hochladen.

Bei der „Datenweitergabe“ versagen laut Institut CloudMe, Dropbox, TeamDrive und Wuala. Zumindest dann, wenn Daten an nicht angemeldete User weitergegeben werden. Die Weitergabe erfolgt dann über eine lange URL. CloudMe soll die URL nicht verschleiern, Dropbox mache nicht klar, was genau geteilt wird und TeamDrive zeige Schwächen beim Ausladen einmal eingeladener User. Bei Wuala könne man Userdaten sammeln, weil der User-Name in den Links integriert ist. Bei CloudMe können sogar Suchmaschinen die freigegeben Daten indizieren, sagt das Fraunhofer Institut.

Mozy und Wuala sollen es Neugierigen außerdem ermöglichen, abzufragen, ob eine Datei auf Ihrem Cloud-Speicher vorhanden sei oder nicht.

Zum PDF des Fraunhofer Instituts