Sicherheitsmängel bei populären Cloud-Speicherdiensten

**Annika_Kremer** · 16. 05. 2012, 12:39

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) untersuchte kürzlich die Sicherheit der sieben populären Cloud-Speicherdienste Dropbox, CloudMe, CrashPlan, Mozy, TeamDrive, UbuntuOne und Wuala. Das Ergebnis: jeder der untersuchten Dienste wies ernstzunehmende Sicherheitsmängel auf.

zur News

**mathmos** · 16. 05. 2012, 12:55

o verschlüsseln einige der untersuchten Dienste, darunter das extrem beliebte DropBox, die Daten nicht schon bei der Übertragung, sondern erst, wenn diese tatsächlich in der Cloud abgelegt werden. So kann jemand, der die Daten beim Hochladen ausliest - etwa über ein ungesichertes WLAN - Zugang zu sensiblen Informationen erlangen

Ich müsste mich jetzt stark täuschen, aber bei Dropbox läuft der ganze Spass über SSL.

**Warlord85** · 16. 05. 2012, 13:25

Man sollte eh keine unverschlüsselten Daten in die Cloud laden... egal bei welchem Anbieter und egal wie wichtig/privat sie sind.
Den selbst wenn der Anbieter die Daten auf dem Server verschlüsselt, so muss er doch den Key haben um sie für den Nutzer entschlüsseln zu können.

Ich nutze zum Verschlüsseln Cloudfogger... funktioniert ganz einfach und verschlüsselt auf Dateibasis (also ohne Kontainer wie bei Truecrypt) und ist damit auch mit allen Cloudlösungen kompatiebel, da eben nur geändere Files übertragen werden müssen und nicht ganze Kontainer. Apps für Smartphones gibt es auch (leider bisher nur zum entschlüsseln... verschlüsseln wird aber wohl noch folgen).

**mathmos** · 16. 05. 2012, 13:33

Der Anbieter muss nicht zwangsläufig den Schlüssel haben. Es gibt durchaus solche Dienste bei denen er lokal beim Nutzer liegt. Wuala z. B.

Ganze Container müssen bei TC übrigens nicht übertragen werden. Dropbox z. B. überträgt nur die geänderten Teile eine Containers. Mir ist EncFS aber inzwischen irgendwie lieber.

Aber ansonsten geben ich dir recht. Verschlüsseln sollte man selbst.

**Warlord85** · 16. 05. 2012, 14:31

Zitat von mathmos

Der Anbieter muss nicht zwangsläufig den Schlüssel haben. Es gibt durchaus solche Dienste bei denen er lokal beim Nutzer liegt. Wuala z. B.

Ganze Container müssen bei TC übrigens nicht übertragen werden. Dropbox z. B. überträgt nur die geänderten Teile eine Containers. Mir ist EncFS aber inzwischen irgendwie lieber.

Aber ansonsten geben ich dir recht. Verschlüsseln sollte man selbst.

Stimmt... Dropbox kann das mit den Truecrypt Kontainern... ich hatte eben zu erst Google Drive (danke Google Konto ja quasi inklusive), fand ich auch ganz nett... was mich aber gestört hat und weswegen ich dann auch zur Dropbox gewechselt bin war ganz einfach, dass man immer an seinem Google-Konto angemeldet ist wenn man den Google-Drive Client auf em PC laufen hat. Das heißt sollte ich mein Laptop verlieren oder jemand anderes Zugriff darauf haben, dann hätte er automatisch vollen Zugriff auf mein Google-Konto... mit Mails und allem. Noch dazu kann dan Google viel besser Nutzerbezogen Datensammeln... und das muss ja nicht sein

**Lucas9991** · 16. 05. 2012, 14:36

Schade, dass nie erwähnt wird, dass es mit TeamDrive möglich ist (völlig kostenlos) einen eigenen Server zu betreiben.
Das ist für mich das ausschlaggebende Argument, weshalb ich TeamDrive bevorzuge. Das einzige Manko ist, dass es (bisher) keine mobilen Clients bzw. allgemein gesagt keine offene API zum Server gibt.

**Nwabudike** · 16. 05. 2012, 14:39

Seitdem Software-Entwicklung immer mehr quick&dirty-Arbeit ist, sprießen die Lücken wie Grashalme aus dem Boden. Da kann man direkt mal wieder den Kapitalismus beschimpfen, der keine Zeit für gute Software hat.

**Warlord85** · 16. 05. 2012, 23:50

Zitat von Lucas9991

Schade, dass nie erwähnt wird, dass es mit TeamDrive möglich ist (völlig kostenlos) einen eigenen Server zu betreiben.
Das ist für mich das ausschlaggebende Argument, weshalb ich TeamDrive bevorzuge. Das einzige Manko ist, dass es (bisher) keine mobilen Clients bzw. allgemein gesagt keine offene API zum Server gibt.

Gibt mehrere Tools die sowas bieten... ist in meinen Augen aber nur nützlich wenn man entweder nen (Root-)Server irgendwo gemietet hat oder daheim ne schnelle (also hauptsächlich viel Uploadspeed) Leitung + nen HomeServer oder was vergleichbares hat.
Schlimm genug wenn das Uploaden wegen der Leitung schon ewig dauert... dann soll doch bitte wenigstens der Download schnell sein