Suchen

Problem erkannt, doch an der Umsetzung hapert‘s Fraunhofer-Studie bemängelt Sicherheit bei Cloud-Speicherdiensten

Redakteur: Elke Witmer-Goßner

Die ständig wachsende Menge wertvoller digitaler Daten zu Hause und in der Wirtschaft müssen geschützt werden; ein unwiderruflicher Verlust ist schließlich nicht hinnehmbar. Cloud-Storage-Services versprechen die Lösung dieses Problems.

Firmen zum Thema

Cloud-Storage-Dienste versprechen ständigen Zugriff auf digitale Daten. Allerdings müssen sie in Punkto Sicherheit und Datenschutz noch einiges verbessern.
Cloud-Storage-Dienste versprechen ständigen Zugriff auf digitale Daten. Allerdings müssen sie in Punkto Sicherheit und Datenschutz noch einiges verbessern.

In den letzten Jahren hat ihre Popularität stark zugenommen. Sie versprechen, Daten benutzerfreundlich, leicht zugänglich und kostensparend zu speichern, den automatischen Rückgriff auf beliebige Daten, sowie den Datenaustausch zwischen Anwendern oder auch die Synchronisation mehrerer Geräte. Allerdings zögern Einzelpersonen, aber insbesondere auch Unternehmen, ihre Daten Cloud-Storage-Diensten anzuvertrauen – aus Angst vor Kontrollverlust. Jüngste erfolgreiche Angriffe auf Cloud-Storage-Anbieter haben diese Bedenken noch verstärkt.

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt hat die Sicherheitsmechanismen der sieben Cloud-Storage-Dienste CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala überprüft. Die Ergebnisse der Untersuchung sind in der Fraunhofer-SIT-Studie „On The Security of Cloud Storage Services“ (SIT Technical Reports SIT-TR-2012-001) zusammengefasst.

Bildergalerie

Zwischen Sommer 2011 und Januar 2012 wurden die Services, die sowohl Client-Software, als auch Server-Side-Software umfassen, untersucht. Allerdings führte das Fraunhofer SIT keinen Penetrationstest auf Server-Seite durch. Zweck der Studie war, Nutzern der untersuchten Dienstleistungen wie auch anderer Services zu helfen, diese auf die definierten Sicherheitsanforderungen hin zu überprüpfen.

Auswahl und Methode

Die Studie hat allerdings nicht den Anspruch, einen vollständigen Überblick über alle bestehenden Cloud-Storage-Services zu geben – auch nicht zu technischen Merkmalen, Nutzen und Preisen. Die Dienste Dropbox und Mozy wurden aufgrund ihrer großen Beliebtheit ausgewählt. Sie repräsentieren das Gros der Cloud-Storage-Provider, mit einfacher und bequemer Handhabung, die kostenlos bzw. preiswert am Markt agieren. Diese Services sind als Stand-alone-Online-Speicherdienste konzipiert und bieten begrenzte Integration in gängige Betriebssysteme.

Auf der anderen Seite entwickeln immer mehr IT-Hersteller eigene Cloud-Storage-Dienste, wie zum Beispiel Microsofts SkyDrive, Canonical Ubuntu One oder icloud von Apple. Sie sind fest in den jeweiligen Betriebssystemen integriert und bieten zahlreiche Online-Dienste an. Man kann davon ausgehen, dass sich diese Leistungen in Zukunft aber von ihren Betriebssystemen emanzipieren werden und ähnlich wie Stand-alone-Dienste am Markt auftreten werden. In die Analyse wurde Ubuntu One einbezogen, das als zusätzlicher Service für das Linux-basierte Betriebssystem Ubuntu gestartet ist, inzwischen aber auch die Windows-Integration möglich macht.

Diese Dienstleister sind alle US-amerikanisch bzw. speichern die Daten in den USA. Daher wurden als Gegengewicht drei weitere Services ausgewählt: CloudMe aus Schweden und TeamDrive aus Deutschland betreiben und speichern ihre Daten ausschließlich innerhalb der EU. Wuala arbeitet und speichert alle Daten in Deutschland, Frankreich und der Schweiz.

In einem ersten Schritt, wurden vier typische Merkmale der Cloud-Storage-Services identifiziert: Zum ersten die Kopier-Funktion. Dieser Dienst spiegelt einen Teil der lokalen Festplatte in der Cloud. Geht lokale Hardware verloren, beispielsweise durch den Diebstahl eines Notebooks, können die Daten aus der Wolke wiederhergestellt werden. Zum zweiten die Backup-Funktion, die sicherstellt, dass jede Version in der Cloud erhalten wird.

Die Synchronisierung erlaubt es drittens, dass Benutzer ihre sämtlichen Geräte (Desktop, Laptop, Tablet, Handy) synchronisieren können. Und viertens die Sharing-Funktion, die meist für die Zusammenarbeit mit Projektpartnern genutzt wird. Darüber hinaus optimieren Features wie Deduplizierung – hier werden Dateien, die vom Server bereits bekannt sind, nicht wieder übertragen – die Cloud-Storage-Services.

Im zweiten Schritt wurden fünf unerlässliche Sicherheitsanforderungen definiert. So wurde untersucht, in welcher Art und Weise der Registrierungsprozess und das Login eine Identitätsverschleierung sowie Information Gathering, d.h. das Abgreifen von Benutzerdaten zur Erstellung eines Benutzerprofils zu Werbe- oder Marketingzwecken oder sogar kriminellen Zwecken, verhindern bzw. die Nutzung starker Passwörter fordern.

Weiter prüfte das Fraunhofer SIT die Übertragungssicherheit, ob und wie die Kommunikation zwischen Client und Server abgesichert wurde. Besonders wichtig ist auch das Thema Verschlüsselung, um Provider daran zu hindern, die gespeicherten Daten zu lesen, und der sichere Austausch von Dateien, nämlich wie Dokumente geschützt sind, die durch eine geschlossene Gruppe hochgeladen wurden bzw. auch durch Nicht-Abonnenten genutzt werden können. Schließlich die sichere Deduplizierung, um Probleme zu vermeiden und die Privatsphäre zu wahren.

Einschätzung statt Schulnoten

Das Bewertungsschema der einzelnen Kategorien folgt einer Einteilung in verschiedene Bewertungsklassen: „++“ steht für eine sehr gute Bewertung, d.h. alle Pflichtanforderungen sowie mindestens eine der obligatorischen Anforderungen wurden erfüllt. Mit „+“ für „gut“ wurde bewertet, wer alle obligatorischen Anforderungen erfüllen konnte. Ein „+/-" bedeutet: Der Dienst zeigt gewissen Schwächen, erfüllt aber die meisten, wenn auch nicht alle zwingenden Voraussetzungen. Ein Minus „-" bedeutet, dass bestimmte Anforderungen nicht erfüllt waren. Und die schlechteste Bewertung „--" wurde vergeben, wenn mindestens eine zwingende Voraussetzung fehlte. Darüber hinaus flossen auch Themen wie Verfügbarkeit sowie die Übertragungszeit der Daten mit in die Bewertung ein.

Die Analyse des Fraunhofer SIT kam zu einem eher unbefriedigenden Ergebnis. Studienleiter Michael Herfert, Abteilungsleiter Cloud Computing and Identity & Privacy, erkennt dringenden Verbesserungsbedarf bei allen untersuchten Cloud Storage Providern: „Unsere Untersuchung brachte zum Teil eklatante Sicherheitslücken zu Tage. Wir empfehlen Nutzern daher, anhand unseres Bewertungsschemas zu entscheiden, welche Sicherheitsmängel für sie akzeptabel sind und welche nicht. Die Verantwortung liegt zurzeit also bei den Nutzern allein, die die Sicherheitsmaßnahmen der Anbieter in jedem Einzelfall explizit prüfen und hinterfragen müssen.“

Oftmals falle es Anwendern auch schwer, die Sicherheitsaussagen der Anbieter zu verstehen, kritisiert Herfert: „Eine ‚military grade encryption‘, wie es gern formuliert wird, suggeriert vielen Nutzern: Was auch das Militär nutzt, kann nur gut und sicher sein! Dabei bezieht sich der Begriff ‚encryption‘ oftmals nur auf die Sicherheit durch eine SSL-Verschlüsselung während der Datenübertragung. Am Ende liegen die Daten aber auf der Anbieterseite wiede im Klartext vor.“

Mangelnde Datensicherheit

Das Registrierungsprozedere bei CloudMe, Dropbox und Wuala sieht nicht vor, die E-Mail-Adresse eines neuen Kunden zu überprüfen. So ist es möglich, dass eine Person A sich mit der E-Mail-Adresse einer Person B bei diesen Diensten anmelden kann und diese für seine Zwecke missbrauchen kann. So könnten beispielsweise die Daten anderer Nutzer – Freunde der Person B – ausgespäht werden. Der Eindringling A könnte aber auch die Rechner anderer Nutzer mit Malware infizieren. Beide Angriffsszenarien setzen zwar eine gewissen Unaufmerksamkeit auf Opferseite voraus, das Sicherheitsloch sollte dennoch geschlossen werden, rät das Fraunhofer SIT.

Für CrashPlan, TeamDrive und Wuala stellten die Fraunhofer-Beobachter Sicherheitslücken während der Datenübertragung fest. Alle drei Dienste verzichten auf SSL/TLS-Verschlüsselung. Stattdessen nutzen sie selbstgemachte und unveröffentlichte Protokolle – eine äußerst fehleranfällige Vorgehensweise. CloudMe verzichtet sogar komplett auf Maßnahmen zum Schutz der Daten während der Übertragung.

Besonders fahrlässig, so das Fraunhofer SIT, agieren verschiedene Dienste bei der Verschlüsselung. CloudMe, Dropbox und Ubuntu One bieten gar keine Client-seitige Verschlüsselung an und sind damit als Provider in der Lage, die Daten ihrer Nutzer zu lesen. Mozy verzichtet auf eine Verschlüsselung der Dateinamen. Und das konvergente Verschlüsselungsschema, das Wuala verwendet, ermöglicht Angriffe von Server-Seite aus.

Probleme traten auch beim Austausch von Daten bei CloudMe, Dropbox, TeamDrive und Wuala auf. Und zwar immer dann, sobald Nicht-Abonnenten Dateien mit langen, unvorhersehbaren URLs übertrugen. CloudMe verschlüsselte nach Ansicht des Fraunhofer SIT diese URLs nicht angemessen genug. Dropbox – so die Kritik – beschreibt die Sharing-Details sehr ungenau.

TeamDrive hatte Schwierigkeiten, Gruppenmitglieder auszuschließen, und Wuala machte Information Gathering möglich, indem der Benutzername in der öffentlichen URL genannt wurde. CloudMe gewährte zudem Suchmaschinen ungehinderten Zugang zum Arbeitsbereich. Mozy und Wuala zeigten Sicherheitslücken bei der Deduplizierung. So war es in einigen Fällen möglich, bei den Cloud-Storage-Anbieter nachzufragen, ob eine Datei bereits gespeichert wurde oder nicht.

Bevor Daten in die Wolke transferiert werden, sollten Nutzer diese lokal verschlüsseln, um die Vertraulichkeit zu gewährleisten, rät das Fraunhofer SIT. Dies ist unter Verwendung zahlreicher angebotener Verschlüsselungstools, einschließlich TrueCrypt, EncFS und GnuPrivacyGuard, möglich. Unter Umständen stören diese Tools allerdings bestimmte Funktionen der Cloud-Storage-Services. Benutzer sollten daher ruhig auf vom Storage-Provider angebotene Client-Software vertrauen.

Um eine kompatible Nutzung von Cloud-Storage-Services zu gewährleisten, halten die Fraunhofer-Forscher eine Anpassung der gesetzlichen Rahmenbedingungen für notwendig. Eine ausführliche Betrachtung deutscher und europäischer Gesetze und gesetzlichen Bestimmungen wie Bundesdatenschutzgesetz oder Data Protection Directive der Europäischen Union machte deutlich: In erster Linie sind die Nutzer der Cloud-Angebote selbst verantwortlich für ihre Daten und deren Verarbeitung. Hier helfen auch standardisierte Zertifikate wie SAS 70 und ISO 27001 nur bedingt weiter. Vor allem Unternehmen sollten bedenken, dass die gesetzlichen Bestimmungen, nach denen sie sich richten müssen, völlig konträr zu den Bestimmungen für Cloud-Anbieter oder deren Subunternehmer sein können.

Da internationale Vorschriften, die ein gewisses Maß an Datensicherheit und Privatsphäre garantieren, zur Zeit noch fehlen, sollten europäische Unternehmen einen Cloud-Anbieter aus dem Europäischen Wirtschaftsraum (EWR) wählen. Vorsicht geboten ist aber bei Tochtergesellschaften von US-Unternehmen, die dem Patriot Act unterliegen und daher Zugriff auf alle bei ihnen hinterlegten Daten gewähren müssen, auch wenn diese ausschließlich innerhalb des EWR gespeichert sind.

Schlussfolgerung

Angesichts der Studienergebnisse rät das Fraunhofer-Institut für Sichere Informationstechnologie Privatpersonen bzw. Unternehmen, die Cloud-Storage-Dienste nutzen wollen, Provider dahingehend zu prüfen, ob sie den beschriebenen Sicherheitsanforderungen gerecht werden. Um die Auswirkungen von Server-Ausfallzeiten zu minimieren, sollten sinnvollerweise verschiedene Dienste gleichzeitig genutzt werden. Empfehlenswert ist auch, die Zeit für eine Datenwiederherstellung aus der Wolke zu kalkulieren. Dieser Prozess könne schließlich, abhängig von der individuellen Datenmenge, mehrere Tage dauern.

Unternehmen sollten sich auch nicht von einem bestimmten Anbieter abhängig machen (Provider Lock-in) und bereits im Voraus einen Plan für einen künftigen Providerwechsel ausarbeiten. Ein Providerwechsel könnte z.B. nötig sein, wenn der gewählte Anbieter zu teuer geworden ist oder nicht mehr kompatibel ist mit staatlichen Regeln.

Ein wesentliches Ergebnis der Studie: Fast alle analysierten Cloud-Storage-Provider sind sich der enormen Bedeutung von Datensicherheit und Datenschutz bewusst und haben auch Schutzmaßnahmen getroffen. Allerdings konnte keine der Lösungen alle vom Fraunhofer SIT geforderten Sicherheitsfeatures erfüllen.

Die komplette Studie findet sich unter sit4.me/cloudstudy2012 zum Download.

(ID:33724100)