In einem Paper stellt das Fraunhofer-Institut für sichere Informationstechnologie die Sicherheit diverser Cloud Storage Services, darunter das vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) zertifizierte TeamDrive in Frage. Gründe für das Ergebnis sind technische Probleme und eine schlechte Nutzung der Angebote. Nach eigenen Angaben habe es Fraunhofer sogar geschafft über Suchmaschinen an sensible Daten zu gelangen.
Innerhalb der Studie, die vom Sommer 2011 bis Januar 2012 stattfand, wurden die Cloud Storage Services von Mozy, Dropbox, Cloudme, Crashplan, Ubuntu One, Wuala und Teamdrive betrachtet und insbesondere die Bereiche Datenverschlüsselung und Kommunikation untersucht.
Die Kritikpunkte
CloudMe
Ist für eine große Anzahl von Angriffen offen. Dazu gehören die Aufzählung von Benutzernamen, der Versand unerwünschter E-Mails, Cross-Side Request Forgery Angriffe sowie die Übernahme des Accounts und Incrimination Attacks.
CrashPlan
Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich, einzelne Installationen zu entfernen.
Dropbox
Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Es wird keine Client-seitige Verschlüsselung unterstützt. Es ist unklar, wie die Daten miteinander geteilt werden (die Art), wenn Nicht Dropbox Nutzer eingebunden werden.
Mozy
Verschlüsselt Dateien, aber nicht die Dateinamen. Die Deduplizierung über mehrere Benutzer hinweg ist nicht ausreichend gesichert. Zudem wird die Deduplizierung über mehrere Benutzer hinweg nicht sicher verwaltet. Weiterhin können schwache Passwörter verwendet werden, ohne das darauf hingewiesen wird.
TeamDrive
Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Es ist nicht möglich bereits aktivierte Geräte wieder zu entfernen. Wenn Nutzer aus Bereichen entfernt wurden, wird der kryptographische Schlüssel weiterhin verwendet, um diesen Bereich zu verschlüsseln. Anfangs wurde das Zurücksetzen des Passworts über eine einfache HTTP Verbindung ohne Verschlüsselung vorgenommen. Nach einem Hinweis durch Frauenhofer, hat das TeamDrive diesen Missstand umgehend beseitigt.
Ubuntu One
Verfügt über keine Verschlüsselung.
Wuala
Überprüft während der Registrierung nicht, ob die E-Mail Adresse gültig ist und ist daher offen für Incrimination Attacks. Verwendet ein selbst entwickeltes und unveröffentlichtes Protokoll für die Sicherheit beim Datentransport, obwohl SSL / TLS entsprechende Alternativen darstellen. Die Verschlüsselung schützt nicht vor Angreifern, die Zugriff auf die unverschlüsselten Dateien haben. URLs die mit Nicht-Kunden geteilt werden enthalten den Benutzernamen.
Die Kritik an TeamDrive ist brisant
Insbesondere die Kritik an TeamDrive ist brisant. Denn der Cloud Storage aus Hamburg, der sich speziell an Unternehmen richtet, wurde vom ULD Schleswig-Holstein, das unserem wohl bekanntesten Datenschützer Thilo Weichert unterstellt ist, zertifiziert.
In einer ersten Stellungnahme von Sven Thomsen via Twitter wird das ULD die Ergebnisse der Studie nun zunächst prüfen. Von TeamDrive habe ich nach einer ersten Anfrage dazu bisher noch keine Reaktion erhalten.
UPDATE: Stellungnahme von Volker Oboda – Geschäftsführer TeamDrive
Ich habe von Volker Oboda, Geschäftsführer von TeamDrive, eben eine Stellungnahme zu den Vorwürfen von Fraunhofer erhalten:
“TeamDrive wurde insgesamt ja sachlich und korrekt dargestellt, aber es wurde lediglich der Cloud Storage Teil bewertet und die einzigartigen On-Premise Lösungen und die freie Serverwahl wurden vollständig verschwiegen. Es gab eigentlich nur eine Abwertung bei TeamDrive die aber völlig subjektiv aus der Luft gegriffen ist. Die Abwertung und Kritik von TeamDrive betrifft die eigenen Authentifizierungsalgorithmen (kein SSL/TLS) die nicht offen gelegt sind. Das solche Methoden nicht unsicher sind, wurde uns durch externe Audits durch das ULD und Gutachter bestätigt. Insofern ist die Abwertung ungerechtfertigt. Weiterhin waren zu dem Zeitpunkt unsere SmartPhone Clients für Android und iOS noch nicht lieferbar. Mit dem jetzigen Software Release TeamDrive 3 haben wir die Public/Private Key Verschlüsselung in RSA-2048 ausgetauscht und damit noch einmal erhöht. Auf Kundenanforderung könnten wir technisch auch auf eine HTTPS Übertragung in die TeamDrive Cloud umstellen. Das ist aber aus Sicherheitsgründen nicht relevant und führt nur zu einer höheren Belastung der Serversysteme. Deshalb haben wir uns dagegen entschieden.
Die weiteren einzigartigen Designmerkmale von TeamDrive (USPs) wie die freie Serverwahl und komplette “On Premise” Lösungen wurden in dem Gutachten überhaupt nicht erwähnt. Nach unserer Recherche dient das Dokument dem Fraunhofer Institut als Grundlage eigene Technologie zu entwickeln die den bestehenden Lösungen Wettbewerb bieten sollen.“
Volker spricht einen Punkt an, der exakt meiner ersten Reaktion entsprach, als ich von den Fraunhofer Vorwürfen auf dem MIT-Blog gelesen hatte. Ich sehe es ebenfalls so, dass Frauenhofer diese Studie als reinen Selbstzweck veröffentlicht hat, um eigene (Sicherheits)-Lösungen zu vermarkten.
Zudem weist Volker darauf hin, dass das ULD und weitere Gutachter die eigenen Authentifizierungsalgorithmen von TeamDrive nicht für sicherheitskritisch halten.
Weitere Informationen und die Ergebnisse der Studie gibt es hier.
PS: Wer Angst um seine Daten hat und trotzdem Cloud Storage Services nutzen möchte, der sollte sich mal Boxcryptor anschauen, dieser verschlüsselt die Daten für Dropbox und Google Drive.