|
Fraunhofer-Institut kritisiert Sicherheitsmängel bei Cloud-Speicherdiensten
18.05.2012
Die Sicherheit von Cloud-Speicherdiensten ist oft mangelhaft, so das Ergebnis einer Studie des Fraunhofer-Instituts für Sichere Informationstechnologie SIT. Vollständig erfüllen konnte die Sicherheitsanforderungen keiner der sieben getesteten Anbieter.
Das Fraunhofer SIT nahm für seine Studie CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala genauer unter die Lupe. Im Mittelpunkt stand die Verschlüsselung der Daten sowie die Absicherung der Kommunikation. Jeder Anbieter wies Sicherheitsmängel auf, und selbst die grundsätzlichen Sicherheitsanforderungen konnte kein Dienst vollständig erfüllen: So verwenden manche Anbieter bei der Absicherung der Datenübertragung in die Cloud keines der sicheren Standardprotokolle.
Neben technischen Mängeln stören die Tester aber auch Schwächen in der Benutzerführung. Die könnten etwa dazu führen, dass sich vertrauliche Daten mit Suchmaschinen auffinden lassen. Bei einigen Diensten glauben Nutzer durch unklare Einstellungen fälschlicherweise, dass ihre sensiblen Informationen nur wenigen Personen zugänglich sind, obwohl sie in Wahrheit unbemerkt von jedermann eingesehen werden können.
Minuspunkte gab es auch, wenn Daten unverschlüsselt in die Cloud übertragen werden. “Dropbox und andere verschlüsseln die Daten erst, wenn sie in der Cloud sind“, sagt Institutsleiter Michael Waidner. “Der Anbieter bekommt die Daten also im Klartext, und der Nutzer muss dann darauf vertrauen, dass vertrauliche Daten auch vertraulich bleiben.“
Schon an der Registrierung scheiterten CloudMe, Dropbox und Wuala, da sie die Mailadresse eines neuen Kunden nicht überprüfen. Dadurch könne sich ein Angreifer mit der Mailadresse einer anderen Person anmelden und zum Beispiel illegales Material hochladen - ohne dass der eigentliche Besitzer der Mailadresse sich später vernünftig verteidigen kann. Die Sicherheit beim Datentransport sehen die Fraunhofer-Experten bei CrashPlan, TeamDrive und Wuala als Problem, da sie SSL/TLS untersagen und stattdessen undokumentierte, selbsterstelle Protokolle nutzen.
CloudMe, Dropbox und Ubuntu One verschlüsseln die Daten erst, wenn sie beim Cloud-Provider sind - und nicht, wie es sich die Fraunhofer-Experten wünschen, bereits auf dem Rechner des Anwenders. Mit den Möglichkeiten, Daten zu teilen, waren die Tester bei CloudMe, Dropbox, TeamDrive und Wuala unzufrieden. Das geschieht bei allen durch Versand einer langen, unvorhersehbaren URL. CloudMe verschleiert diese nicht angemessen. Dropbox mache die Details des Teilens nicht klar, und TeamDrive habe Schwächen gezeigt, wenn ein Mitglied aus der Gruppe wieder ausgeschlossen wurde. Bei Wuala schließlich haben die Fraunhofer-Experten Bedenken, weil der Nutzername in einer öffentlichen URL auftaucht, und CloudMe bietet sogar Suchmaschinen Zugang zum Workspace.
“Für manche private Nutzung mag der eine oder andere Dienst genügen“, sagt Waidner. “Bei sensiblen Unternehmensdaten sollte man aber lieber genau überlegen, ob die Sicherheitsvorkehrungen ausreichen.“ Hinderlich beim Einsatz in Firmen sei zudem, dass es für gruppentaugliche Verschlüsselung noch an überzeugenden Konzepten fehle, um das Ideal einer sicheren Speicherung von Daten in einer Umgebung, die man als unsicher betrachtet, auch tatsächlich zu erreichen. Die vollständige Studie steht in englischer Sprache kostenlos zum Download bereit.
Zusätzliche Informationen: Studie: On the Security of Cloud Storage Services
Quelle: zdnet.de (Peter Marwan - 15.05.2012)
|
| |
|
BKA scheitert an Entwicklung eines Staatstrojaners
18.05.2012
Das Bundeskriminalamt hat offenbar massive Probleme, eine rechtskonforme Software zur Überwachung verschlüsselter E-Mails und Internettelefondienste
|
| |
|
17 Sicherheitslücken in Windows-Version von Quicktime
16.05.2012
Sicherheitsforscher haben gefährliche Sicherheitsprobleme in der Windows-Version von Quicktime entdeckt. Ein Patch von Apple auf
|
| |
|
Sicherheitssoftware: Avira-Update legt Windows lahm
16.05.2012
Avira hat gestern für mehrere kostenpflichtige Sicherheitsanwendungen ein fehlerhaftes Service Pack veröffentlicht. Als Folge davon
|
| |
|
Kritische Sicherheitslücke: Libpng in Skype für Linux repariert
15.05.2012
In der Linux-Version der Videotelefoniesoftware Skype haben die Entwickler eine seit längerem bekannte Schwachstelle in
|
| |
|
Apple deaktiviert unsicheres Flash und entfernt Flashback
15.05.2012
Apple unterstützt wider Erwarten doch alte Mac-OS-Versionen. Wer noch Mac OS X in der Version
|
| |
|
Kickstarter: Sicherheitslücke ermöglicht Zugriff auf Projekte
15.05.2012
Ein Fehler in den APIs der Webseite Kickstarter ermöglichte den Zugriff auf zahlreiche Projekte, die
|
| |
|
Bitkom-Studie: Fast 20 Prozent surfen schutzlos im Netz
14.05.2012
Fast jeder fünfte deutsche Internetnutzer hat weder Virenschutz noch Firewall auf seinem Privatrechner installiert.
Eine repräsentative
|
| |
|
Opera 11.64 beseitigt gefährliches Sicherheitsloch
14.05.2012
Opera Software hat den Desktopbrowser Opera in der Version 11.64 veröffentlicht. Neben kleineren Fehlerkorrekturen beseitigt
|
| |
|
Sicherheitslücke: Adobe will Photoshop CS5 doch reparieren
14.05.2012
Die Sicherheitslücke in Photoshop CS5.5 wird nun doch nicht nur durch ein kostenpflichtiges Update auf
|
| |
|
Mac OS X 10.7.4 Lion schließt Passwort-Lücke in FileVault
10.05.2012
Apple hat die Final von Mac OS X 10.7.4 Lion zum Download freigegeben. Das Update
|
| |
|
Adobe schließt Sicherheitslücken in Photoshop und Shockwave
10.05.2012
Adobe hat Sicherheitsupdates für Shockwave Player, Photoshop, Flash Professional und Illustrator veröffentlicht. Sie schließen insgesamt
|
| |
|
Tausende Twitter-Passwörter veröffentlicht
10.05.2012
Unbekannte haben Tausende Twitter-Passwörter samt der zugehörigen Kontonamen auf einer öffentlichen Website eingestellt. Die genaue
|
| |
|
iOS 5.1.1 behebt Problem mit AirPlay und schließt Sicherheitslücken
10.05.2012
Apple hat seine iOS-Plattform auf Version 5.1.1 aktualisiert. Das Update behebt mehrere Fehler, darunter ein
|
| |
|
Adobe schließt Sicherheitslücken in Photoshop und Shockwave
09.05.2012
Adobe hat Sicherheitsupdates für Shockwave Player, Photoshop, Flash Professional und Illustrator veröffentlicht. Sie schließen insgesamt
|
| |
|
Microsoft bringt zweiten Patch zur Duqu-Abwehr
09.05.2012
Microsoft hat einen weiteren Patch veröffentlicht, um die Verbreitung der Duqu-Schadsoftware zu verhindern. Die betreffenden
|
| |
|
Neue Firmware schließt WPS-Lücke in Telekom-Router
08.05.2012
Die Telekom hat eine neue Firmware für den Router Speedport W 723V Typ B veröffentlicht.
|
| |
|
Hacker erpressen belgische Bank mit gestohlenen Daten
07.05.2012
Eine Hackergruppe hat vergangene Woche versucht, die belgische Bank Belfius zu erpressen. Sie drohten, die
|
| |
|
Schweiz ein Paradies für Cyber-Kriminelle
07.05.2012
Die Zahl der Cyber-Angriffe ist im letzten Jahr um 81 Prozent gestiegen. In Europa belegt
|
| |
|
Mac OS X 10.7 Lion speichert Anmeldepasswörter im Klartext
07.05.2012
Der Sicherheitsforscher David Emery hat einen Fehler in dem von Apple Anfang Februar ausgelieferten Update
|
| |
|
Adobe schließt erneut kritische Sicherheitslücke
07.05.2012
Adobe hat für Flash Player 10 und 11 Updates veröffentlicht, die eine kritische Sicherheitslücke schließen.
|
| |
|
23 Sicherheitslücken in Windows-Produkten
07.05.2012
Am Patchday im Mai 2012 will Microsoft insgesamt 23 Sicherheitslöcher in seinen Softwareprodukten schließen. Dazu
|
| |
|
Melani: Fachbericht zu Angriffen auf Zertifikateanbieter
02.05.2012
Vor kurzem ist es verschiedentlich zu Angriffen auf Zertifizierungsstellen gekommen. Die Melde- und Analysestelle Informationssicherung
|
| |
|
Microsoft schließt kritische Hotmail-Lücke
02.05.2012
Microsoft hat eine kritische Sicherheitslücke im Authentisierungsverfahren des Webmail-Diensts Hotmail behoben. Sie hatte es Hackern
|
