In einem Paper stellt das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter das vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) zertifizierte TeamDrive in Frage. Gründe für das Ergebnis sind technische Probleme und eine schlechte Nutzung der Angebote. Nach eigenen Angaben habe es Fraunhofer sogar geschafft über Suchmaschinen an sensible Daten zu gelangen.
Innerhalb der Studie, die vom Sommer 2011 bis Januar 2012 stattfand, wurden die Cloud Storage Services von Mozy, Dropbox, Cloudme, Crashplan, Ubuntu One, Wuala und Teamdrive betrachtet und insbesondere die Bereiche Datenverschlüsselung und Kommunikation untersucht.
Die Kritikpunkte
CloudMe
Ist für eine große Anzahl von Angriffen offen. Dazu gehören die Aufzählung von Benutzernamen, der Versand unerwünschter E-Mails, Cross-Side Request Forgery Angriffe sowie die Übernahme des Accounts und Incrimination Attacks.
CrashPlan
Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich, einzelne Installationen zu entfernen.
Dropbox
Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Es wird keine Client-seitige Verschlüsselung unterstützt. Es ist unklar, wie die Daten miteinander geteilt werden (die Art), wenn Nicht Dropbox Nutzer eingebunden werden.
Mozy
Verschlüsselt Dateien, aber nicht die Dateinamen. Die Deduplizierung über mehrere Benutzer hinweg ist nicht ausreichend gesichert. Zudem wird die Deduplizierung über mehrere Benutzer hinweg nicht sicher verwaltet. Weiterhin können schwache Passwörter verwendet werden, ohne das darauf hingewiesen wird.
TeamDrive
Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich bereits aktivierte Geräte wieder zu entfernen. Wenn Nutzer aus Bereichen entfernt wurden, wird der kryptographische Schlüssel weiterhin verwendet, um diesen Bereich zu verschlüsseln. Anfangs wurde das Zurücksetzen des Passworts über eine einfache HTTP Verbindung ohne Verschlüsselung vorgenommen. Nach einem Hinweis durch Frauenhofer, hat das TeamDrive diesen Missstand umgehend beseitigt.
Ubuntu One
Verfügt über keine Verschlüsselung.
Wuala
Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Die Verschlüsselung schützt nicht vor Angreifern, die Zugriff auf die unverschlüsselten Dateien haben. URLs die mit Nicht-Kunden geteilt werden enthalten den Benutzernamen.
Die Kritik an TeamDrive ist brisant
Insbesondere die Kritik an TeamDrive ist brisant. Denn der Cloud Storage aus Hamburg, der sich speziell an Unternehmen richtet, wurde vom ULD Schleswig-Holstein, das unserem wohl bekanntesten Datenschützer Thilo Weichert unterstellt ist, zertifiziert.
In einer ersten Stellungnahme von Sven Thomsen via Twitter wird das ULD die Ergebnisse der Studie nun zunächst prüfen. Von TeamDrive habe ich nach einer ersten Anfrage dazu bisher noch keine Reaktion erhalten.
UPDATE: Stellungnahme von Volker Oboda – Geschäftsführer TeamDrive
Ich habe von Volker Oboda, Geschäftsführer von TeamDrive, eben eine Stellungnahme zu den Vorwürfen von Fraunhofer erhalten:
„TeamDrive wurde insgesamt ja sachlich und korrekt dargestellt, aber es wurde lediglich der Cloud Storage Teil bewertet und die einzigartigen On-Premise Lösungen und die freie Serverwahl wurden vollständig verschwiegen. Es gab eigentlich nur eine Abwertung bei TeamDrive die aber völlig subjektiv aus der Luft gegriffen ist. Die Abwertung und Kritik von TeamDrive betrifft die eigenen Authentifizierungsalgorithmen (kein SSL/TLS) die nicht offen gelegt sind. Das solche Methoden nicht unsicher sind, wurde uns durch externe Audits durch das ULD und Gutachter bestätigt. Insofern ist die Abwertung ungerechtfertigt. Weiterhin waren zu dem Zeitpunkt unsere SmartPhone Clients für Android und iOS noch nicht lieferbar. Mit dem jetzigen Software Release TeamDrive 3 haben wir die Public/Private Key Verschlüsselung in RSA-2048 ausgetauscht und damit noch einmal erhöht. Auf Kundenanforderung könnten wir technisch auch auf eine HTTPS Übertragung in die TeamDrive Cloud umstellen. Das ist aber aus Sicherheitsgründen nicht relevant und führt nur zu einer höheren Belastung der Serversysteme. Deshalb haben wir uns dagegen entschieden.
Die weiteren einzigartigen Designmerkmale von TeamDrive (USPs) wie die freie Serverwahl und komplette „On Premise“ Lösungen wurden in dem Gutachten überhaupt nicht erwähnt. Nach unserer Recherche dient das Dokument dem Fraunhofer Institut als Grundlage eigene Technologie zu entwickeln die den bestehenden Lösungen Wettbewerb bieten sollen.„
Volker spricht einen Punkt an, der exakt meiner ersten Reaktion entsprach, als ich von den Fraunhofer Vorwürfen auf dem MIT-Blog gelesen hatte. Ich sehe es ebenfalls so, dass Frauenhofer diese Studie als reinen Selbstzweck veröffentlicht hat, um eigene (Sicherheits)-Lösungen zu vermarkten.
Zudem weist Volker darauf hin, dass das ULD und weitere Gutachter die eigenen Authentifizierungsalgorithmen von TeamDrive nicht für sicherheitskritisch halten.
Weitere Informationen und die Ergebnisse der Studie gibt es hier.
PS: Wer Angst um seine Daten hat und trotzdem Cloud Storage Services nutzen möchte, der sollte sich mal Boxcryptor anschauen, dieser verschlüsselt die Daten für Dropbox und Google Drive.
8 Antworten auf „Fraunhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive?“
Frauenhofer stellt #Cloud #Storage Services in Frage! – Wie reagieren das #ULD und #Teamdrive? – http://t.co/Dz8n8j0J #CloudComputing
Frauenhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive?: In einem Paper stell… http://t.co/FAFYo3zv
RT @Wyse_DACH: Frauenhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive? http://t.co/rRFdyGEY
UPDATE: Volker Oboda, GF #TeamDrive mit einer exklusiven Stellungnahme zu den Vorwürfen von #Frauenhofer! – http://t.co/Dz8n8j0J #Cloud
Fraunhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive? http://t.co/n7C1MtGC
Auch wir haben dem lieben Herrn Herfert, Ausarbeiter der Studie, eine kurze Mail zukommen lassen. Denn es ist schon äußerst bemerkenswert, daß kurz vor dem Start der eigenen Cloud Storage Ausgründung des Frauenhofer SIT (den Namen las sich mal weg), ein Großteil der Wettbewerber bewußt schlecht geschrieben wird.
Ich kann z.B. nicht einsehen, warum man nicht veröffentlichte Verschlüsselungsalgorithmen als negativ einstuft. Als Alternative werden dann andere (teilweise ebenfalls nicht quell-offene) Verschlüsselungsprodukte benannt.
So sehr also die Studie das Thema vielleicht generell gut beleuchtet, so sehr versagt sie m.e. bei der eigentlichen Bewertung.
Macht #Fraunhofer #Cloud #Storage Services bewusst schlecht, um eine eigene zukünftige Lösung zu treiben? – http://t.co/qEz8bpk8 #Studie
[…] wir uns erinnern, hat das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Stora…, darunter die Lösung vom deutschen Anbieter TeamDrive, in Frage gestellt. Das Brisante daran ist, […]