Gestern habe ich in einem Artikel auf Golem von einer Studie der Fraunhofer-Gesellschaft zu Sicherheitsmängeln bei Cloud-Speicherdiensten erfahren. Die Studie untersuchte die Cloud-Speicherdienste CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala.

Die Forscher betrachten die genannten Dienste dabei aus der Nutzer-, rechtlicher und technischer Sicht.

Wie schon im Artikel auf Golem zu lesen stellt keiner der betrachteten Dienste eine Out-of-the-Box Lösung dar. Wer seine Daten in der Cloud speichern möchte, sollte sich also vorher genau seine Anforderungen überlegen und danach einen entsprechenden Dienst auswählen.

Mögliche Kriterien können sein, ob die Daten verschlüsselt abgelegt werden, oder wo sie gespeichert werden. Werden Daten auf Servern in den USA gespeichert, so kann auf diese Daten im Rahmen des Patriot Act zugegriffen werden. Dies ist auch dann der Fall wenn es sich beim Diensteanbieter um ein US Unternehmen oder eine Tochter einer US Firma handelt. Auch in diesem Fall kann ein Zugriff auf die Daten erfolgen, selbst wenn diese ausschließlich auf Servern in der EU oder innerhalb Deutschlands gespeichert sind.

Die Studie gibt für jeden der oben genannten Dienste einen Überblick, der sich wie folgt gliedert. Es wird aufgeführt für welche Betriebssysteme der Dienst zur Verfügung steht und über welche Schnittstellen (Webinterface, API) darauf zugegriffen wird. Gefolgt wird dieses Kapitel von Informationen über Lizenz- und Preisinformationen, sowie der Informationen nach welchen Sicherheits-Standards ein Dienst zertifiziert wurde. Das sich anschließende Unterkapitel widmet sich den Features, welche pro Dienst beschrieben und zu den anderen betrachteten Diensten abgegrenzt werden. Abschließend wird pro Dienst die Sicherheit betrachtet. Hier wurden folgende Aspekte untersucht.

• Registrierung und Login
• Verschlüsselung
• Übermittlung zwischen Client und Server
• Sharing mit Teammitgliedern und Dritten
• Update der Software

Insgesamt bietet die Studie einen detaillierten Blick auf die betrachteten Dienste. Darüber hinaus nennt sie generelle Anforderungen an Cloud-Speicherdienste und bietet Informationen, die bei der Auswahl eines Anbieters beachtet werden sollten.

Aus meiner Sicht sollte jeder Administrator, Projektleiter oder Geschäftsführer, welcher den Einsatz von Cloud-Speicherdiensten für sein Unternehmen oder seine Kunden in Erwägung zieht, diese Studie zur Kenntnis nehmen.

Die Studie kann auf der Seite sit.fraunhofer.de, in verschiedenen Formaten, heruntergeladen werden. Da sich der Link zur Studie in der Vergangenheit schon einmal geändert hat, habe ich die Studie am Ende dieses Artikels zum Download angehängt.

Wirklich jedem möchte ich anraten die Bedingungen eines Cloud-Speicheranbieters genau zu studieren, bevor er sich für einen Dienst entscheidet. Nur so lässt sich beurteilen, ob ein Dienst wirklich für den geplanten Einsatzzweck in Frage kommt. Hier stehen wichtige Details häufig erst auf der zweiten oder dritten Seite, oder sind tief in den FAQs versteckt.

Dateien zum Download

• On The Security of Cloud Storage Services (PDF, A4, 5,8 MB)
• Cloud Storage Security Addendum (PDF, 107 KB)
• Cloud Storage Security Management Summary (PDF, 1,7 MB)
• On The Security Of Cloud Storage Services (Tablet, PDF, 5,7 MB)