Fraunhofer-Institut für sichere Informationstechnologie
On the Security of Cloud Storage Services
Die Studie „On the Security of Cloud Storage Services“ des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) untersucht die Sicherheit von sieben populären Cloud-Speicherdiensten: CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala. Das Ziel der Studie ist es, die Sicherheitsmechanismen dieser Dienste zu bewerten und Empfehlungen zu geben, wie Nutzer ihre Daten in der Cloud sicher speichern können.
Einführung und Bedeutung von Cloud-Speicher
Cloud-Speicherdienste bieten eine bequeme Möglichkeit, Daten online zu speichern, zu sichern, zwischen Geräten zu synchronisieren und mit anderen zu teilen. Besonders für Unternehmen sind diese Dienste attraktiv, da sie eine kostengünstige Alternative zu eigenen Serverlösungen bieten. Trotz dieser Vorteile zögern viele Nutzer – sowohl Privatpersonen als auch Unternehmen – ihre Daten einem Cloud-Anbieter anzuvertrauen. Die Sorge besteht, dass die Kontrolle über die eigenen Daten verloren gehen könnte. Zudem haben vergangene erfolgreiche Cyberangriffe auf Cloud-Anbieter das Vertrauen in deren Sicherheit weiter erschüttert.
Sicherheitsanforderungen und Herausforderungen
Die Studie identifiziert fünf wesentliche Sicherheitsanforderungen, die Cloud-Speicherdienste erfüllen sollten:
- Registrierung und Login: Ein sicheres Anmeldeverfahren ist entscheidend, um Nutzer vor Identitätsdiebstahl und unautorisierten Zugriffen zu schützen. Mehrere Dienste, darunter CloudMe und Dropbox, haben hier Schwächen gezeigt, da sie keine E-Mail-Verifizierung bei der Registrierung durchführen. Dies ermöglicht potenzielle Missbrauchsszenarien, wie die Registrierung unter falschem Namen.
- Transportverschlüsselung: Die Kommunikation zwischen dem Nutzer und dem Cloud-Anbieter sollte durch Verschlüsselungsprotokolle wie SSL/TLS gesichert sein. Einige Anbieter, wie CrashPlan und Wuala, nutzen jedoch proprietäre und weniger sichere Protokolle, was das Risiko von Abhörangriffen erhöht.
- Datenverschlüsselung: Idealerweise sollten Cloud-Dienste die Daten vor dem Hochladen auf dem Client-Gerät verschlüsseln, sodass selbst der Anbieter keinen Zugriff auf die Daten hat. Dienste wie CloudMe und Dropbox bieten keine umfassende clientseitige Verschlüsselung, was ein Sicherheitsrisiko darstellt.
- Sicheres Dateiteilen: Beim Teilen von Dateien sollten die Zugriffsrechte genau definiert sein, um unautorisierte Zugriffe zu verhindern. Hier zeigt die Studie, dass mehrere Anbieter, darunter TeamDrive und Wuala, Sicherheitslücken aufweisen, wenn Dateien mit externen Nutzern geteilt werden.
- Deduplizierung: Um Speicherplatz zu sparen, bieten einige Dienste eine Deduplizierung an, bei der doppelte Dateien nur einmal gespeichert werden. Dies kann jedoch zu Datenschutzproblemen führen, da der Anbieter erkennen kann, welche Dateien bereits von anderen Nutzern gespeichert wurden. Mozy und Wuala haben hier signifikante Schwächen.
Empfehlungen für Nutzer
Die Studie empfiehlt Nutzern, zusätzliche Maßnahmen zu ergreifen, um die Sicherheit ihrer Daten zu gewährleisten:
- Lokale Verschlüsselung: Nutzer sollten ihre Daten vor dem Hochladen in die Cloud mit Tools wie TrueCrypt oder EncFS verschlüsseln. Dadurch wird sichergestellt, dass der Cloud-Anbieter selbst bei einem Datenleck keinen Zugriff auf die sensiblen Informationen hat.
- Sorgfältige Anbieterauswahl: Unternehmen sollten darauf achten, dass der Cloud-Anbieter ihren rechtlichen und sicherheitstechnischen Anforderungen entspricht. Besonders wichtig ist die Standortwahl des Anbieters, da Daten außerhalb der Europäischen Union (EU) anderen Datenschutzbestimmungen unterliegen.
- Mehrere Dienste nutzen: Um das Risiko eines Dienstausfalls zu minimieren, sollten Nutzer ihre Daten auf mehrere Cloud-Anbieter verteilen. Dies verringert auch die Gefahr eines „Lock-ins“, bei dem der Wechsel zu einem anderen Anbieter durch inkompatible Formate erschwert wird.
Fazit
Die Untersuchung zeigt, dass kein Cloud-Speicherdienst alle erforderlichen Sicherheitsanforderungen vollständig erfüllt. Viele Anbieter haben zwar Fortschritte gemacht und bieten Schutzmechanismen an, dennoch bleiben Schwachstellen bestehen. Für Nutzer bedeutet dies, dass sie sich nicht ausschließlich auf die Sicherheitsmaßnahmen des Anbieters verlassen sollten. Durch die Nutzung zusätzlicher Verschlüsselungstools und eine sorgfältige Auswahl des Cloud-Anbieters können sie die Sicherheit ihrer Daten erheblich erhöhen.
Die Studie unterstreicht die wachsende Bedeutung von Cloud-Speicher im digitalen Zeitalter, betont jedoch, dass Nutzer weiterhin vorsichtig sein und aktiv Maßnahmen ergreifen müssen, um ihre Daten bestmöglich zu schützen.
