Kategorien
Kommentar

Die Heuchelei der Cloud Kritiker

Ich lese immer wieder mit Genuss die Kommentare der Cloud Kritiker auf unseren einschlägigen deutschen IT-Seiten. Da wird über die Cloud hergezogen und geschimpft, dass sie unsicher sei und der Datenschutz ja nicht vereinbar wäre, da eh alle Daten in die USA wandern. Und das die Daten doch bei einem selbst bleiben werden statt in die Hände der bösen Cloud Anbieter zu fallen. Ob das nun Heuchelei oder einfach nur pure Unwissenheit ist, schwierig zu sagen. Ich frage mich nur jedesmal ob diese Leute alle in einem faradayschen Käfig, ohne Internetverbindung, Smartphone und völlig abgeschottet von der Außenwelt sitzen? Eine Internetverbindung scheint zumindest vorhanden, sonst würden sie nicht ihre unqualifizierten Kommentare posten.

Ich habe dazu mal zwei Beispiele herausgesucht, die den ungefähren Wissensstand der Cloud Kritiker zeigen.

Wolke ist viel zu unsicher, erst recht in den USA
Es gibt keine wirkliche Sicherheit für diese Wolken. Jederzeit können
die Server gehackt werden oder der Anbieter selbst nimmt es nicht
genau genug mit der Datensicherheit und einem umfassenden
Datenschutz.

Das gilt erst recht, wenn diese Wolke in den USA liegt.
In diesem Land gibt es keinerlei Datenschutz! Zusätzlich kann der
Staat aufgrund seiner Gesetze die Daten dort jederzeit durchleuchten.

Dafür sind mir meine Daten zu wichtig und gehen diese Amerikaner
nichts an!

Wer in der Cloud einfach so Daten ablegt,
dem ist sowieso nicht mehr zu helfen. Das Ding mag zwar sicher sein, in dem Sinne, daß ich mich anmelden muß, um auf meine Daten zugreifen zu können. Aber es gibt immer einen Admin, und der Admin kann die Daten auslesen, egal was ist.

Und davon gibt es noch viele viele mehr…

Das man die Nutzung der Cloud kritisch betrachten sollte steht außer Frage, aber man muss objektiv bleiben und dabei mal die „German Angst“ ablegen, denn jeder steckt tiefer in der Cloud als er denkt. Und das aus gutem Grund!

Ihr lieben Cloud Kritiker, nutzt ihr denn kein Android, Windows oder iPhone Smartphone? Seid ihr nicht in Social Networks unterwegs? Und damit meine ich nicht nur Facebook oder Google+. Spielt ihr nicht mit Services wie Pinterest, Foursquare, Airbnb oder Mobypicture rum? Achso, und ihr habt bestimmt auch kein iPad und nutzt zufällig iCloud?

Warum ich diese Fragen stelle? Ganz einfach, die meisten Anwendungen die ihr, liebe Cloud Heuchler, heutzutage nutzt, und ich gehe zu 100% davon aus, dass ihr im Internet oder mit mobilen Apps unterwegs seid, speichern ihre Daten auf Cloud Infrastrukturen, vorzugsweise auf den Amazon Web Services oder Windows Azure. Und ja, auch Apple macht das alles nicht alleine. iCloud setzt nehmen eigenen Ressourcen auf Amazon und Microsoft, unglaublich, oder?

Wenn ihr also eine Wohnung über Airbnb anmietet, wo werden dann eure Daten gespeichert? Richtig, auf den Amazon Web Services. Wenn ihr über Foursquare eincheckt, wo liegen dann eure Daten? Richtig, auf den Amazon Web Services. Wenn ihr auf Facebook eine Spiele-App nutzt, wo werden die Daten abgelegt? Richtig, auf den Amazon Web Services. Das kann ich Seitenweise so fortführen…

Was ich euch, liebe Cloud Kritiker, damit nur sagen möchte, ihr nutzt die Cloud. Ob ihr es glauben wollt oder nicht. Sobald ihr in irgendeiner Form online seit oder mit einer mobilen App, egal welches Betriebssystem, rumspielt, befindet ihr euch in der Cloud. 90% aller Anwendungen speichern ihre Daten in der Cloud eines Anbieters, sei es Amazon, Microsoft oder Google, damit ihr eure Daten immer aktuell und zu jederzeit an jedem Ort dabei habt.

Bevor ihr beim nächsten Mal also wieder mit unqualifizierten Kommentaren über die Cloud schimpft, überlegt bitte, welchen Service ihr an diesem Tag bereits genutzt habt und wo sich eure Daten tatsächlich befinden könnten.

Sorry, aber das musste mal gesagt werden ihr Cloud Heuchler!


Bildquelle: http://www.politplatschquatsch.com

Kategorien
News

Fraunhofer stellt Cloud Storage Services in Frage! – Wie reagieren das ULD und Teamdrive?

In einem Paper stellt das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter das vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) zertifizierte TeamDrive in Frage. Gründe für das Ergebnis sind technische Probleme und eine schlechte Nutzung der Angebote. Nach eigenen Angaben habe es Fraunhofer sogar geschafft über Suchmaschinen an sensible Daten zu gelangen.

Innerhalb der Studie, die vom Sommer 2011 bis Januar 2012 stattfand, wurden die Cloud Storage Services von Mozy, Dropbox, Cloudme, Crashplan, Ubuntu One, Wuala und Teamdrive betrachtet und insbesondere die Bereiche Datenverschlüsselung und Kommunikation untersucht.

Die Kritikpunkte

CloudMe

Ist für eine große Anzahl von Angriffen offen. Dazu gehören die Aufzählung von Benutzernamen, der Versand unerwünschter E-Mails, Cross-Side Request Forgery Angriffe sowie die Übernahme des Accounts und Incrimination Attacks.

CrashPlan

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich, einzelne Installationen zu entfernen.

Dropbox

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Es wird keine Client-seitige Verschlüsselung unterstützt. Es ist unklar, wie die Daten miteinander geteilt werden (die Art), wenn Nicht Dropbox Nutzer eingebunden werden.

Mozy

Verschlüsselt Dateien, aber nicht die Dateinamen. Die Deduplizierung über mehrere Benutzer hinweg ist nicht ausreichend gesichert. Zudem wird die Deduplizierung über mehrere Benutzer hinweg nicht sicher verwaltet. Weiterhin können schwache Passwörter verwendet werden, ohne das darauf hingewiesen wird.

TeamDrive

Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich bereits aktivierte Geräte wieder zu entfernen. Wenn Nutzer aus Bereichen entfernt wurden, wird der kryptographische Schlüssel weiterhin verwendet, um diesen Bereich zu verschlüsseln. Anfangs wurde das Zurücksetzen des Passworts über eine einfache HTTP Verbindung ohne Verschlüsselung vorgenommen. Nach einem Hinweis durch Frauenhofer, hat das TeamDrive diesen Missstand umgehend beseitigt.

Ubuntu One

Verfügt über keine Verschlüsselung.

Wuala

Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Die Verschlüsselung schützt nicht vor Angreifern, die Zugriff auf die unverschlüsselten Dateien haben. URLs die mit Nicht-Kunden geteilt werden enthalten den Benutzernamen.

Die Kritik an TeamDrive ist brisant

Insbesondere die Kritik an TeamDrive ist brisant. Denn der Cloud Storage aus Hamburg, der sich speziell an Unternehmen richtet, wurde vom ULD Schleswig-Holstein, das unserem wohl bekanntesten Datenschützer Thilo Weichert unterstellt ist, zertifiziert.

In einer ersten Stellungnahme von Sven Thomsen via Twitter wird das ULD die Ergebnisse der Studie nun zunächst prüfen. Von TeamDrive habe ich nach einer ersten Anfrage dazu bisher noch keine Reaktion erhalten.

UPDATE: Stellungnahme von Volker Oboda – Geschäftsführer TeamDrive

Ich habe von Volker Oboda, Geschäftsführer von TeamDrive, eben eine Stellungnahme zu den Vorwürfen von Fraunhofer erhalten:

„TeamDrive wurde insgesamt ja sachlich und korrekt dargestellt, aber es wurde lediglich der Cloud Storage Teil bewertet und die einzigartigen On-Premise Lösungen und die freie Serverwahl wurden vollständig verschwiegen. Es gab eigentlich nur eine Abwertung bei TeamDrive die aber völlig subjektiv aus der Luft gegriffen ist. Die Abwertung und Kritik von TeamDrive betrifft die eigenen Authentifizierungsalgorithmen (kein SSL/TLS) die nicht offen gelegt sind. Das solche Methoden nicht unsicher sind, wurde uns durch externe Audits durch das ULD und Gutachter bestätigt. Insofern ist die Abwertung ungerechtfertigt. Weiterhin waren zu dem Zeitpunkt unsere SmartPhone Clients für Android und iOS noch nicht lieferbar. Mit dem jetzigen Software Release TeamDrive 3 haben wir die Public/Private Key Verschlüsselung in RSA-2048 ausgetauscht und damit noch einmal erhöht. Auf Kundenanforderung könnten wir technisch auch auf eine HTTPS Übertragung in die TeamDrive Cloud umstellen. Das ist aber aus Sicherheitsgründen nicht relevant und führt nur zu einer höheren Belastung der Serversysteme. Deshalb haben wir uns dagegen entschieden.

Die weiteren einzigartigen Designmerkmale von TeamDrive (USPs) wie die freie Serverwahl und komplette „On Premise“ Lösungen wurden in dem Gutachten überhaupt nicht erwähnt. Nach unserer Recherche dient das Dokument dem Fraunhofer Institut als Grundlage eigene Technologie zu entwickeln die den bestehenden Lösungen Wettbewerb bieten sollen.

Volker spricht einen Punkt an, der exakt meiner ersten Reaktion entsprach, als ich von den Fraunhofer Vorwürfen auf dem MIT-Blog gelesen hatte. Ich sehe es ebenfalls so, dass Frauenhofer diese Studie als reinen Selbstzweck veröffentlicht hat, um eigene (Sicherheits)-Lösungen zu vermarkten.

Zudem weist Volker darauf hin, dass das ULD und weitere Gutachter die eigenen Authentifizierungsalgorithmen von TeamDrive nicht für sicherheitskritisch halten.


Weitere Informationen und die Ergebnisse der Studie gibt es hier.

PS: Wer Angst um seine Daten hat und trotzdem Cloud Storage Services nutzen möchte, der sollte sich mal Boxcryptor anschauen, dieser verschlüsselt die Daten für Dropbox und Google Drive.