Starnberg, 13. Juni 2012 – Umfangreiche Untersuchung des SIT zu derzeit vorhandenen Sicherheitsmängeln bei einigen populären Public Cloud-Storage Services – Angeboten…
Zum Hintergrund: Cloud Storage Angebote wachsen ungebremst im Markt und fast jeder kennt und viele benutzen die beliebten Dienste von Dropbox & Co. Dies gilt aber zwischenzeitlich nicht nur für den Consumer- sondern verstärkt auch im B2B-Bereich (Freiberufler, kleinere & mittelständische Unternehmen, Abteilungen von Großbetrieben etc.). Dropbox konnte bereits im letzten Jahr über 25 Mio. registrierte User verzeichnen und auch das Angebot Mozy hatte in diesem Zeitraum bereits mehr als 1 Mio. Anmeldungen erreicht (Quelle: SIT, 3/2012). Die Gründe liegen auf der Hand: Cloud-Storage-Services für Unternehmen bieten benutzerfreundliche, einfach zugänglich und kostensparende Möglichkeiten der Speicherung inklusive von automatisierten Backups unterschiedlichster Datenformate. Der Kunde-/User greift direkt über das Webportal eines Cloud Storage-Service-Providers auf seine Daten zu und mietet sich Speicherplatz je nach Bedarf und Budgetgröße (weitere Anbieter sind auch Amazon S3, Nirvanix oder Rackspace).
Soviel zur Theorie... Aber wie sieht die Welt der Cloud Storage Angebote im Licht von Datensicherheits- und rechtlichen Vorschriften innerhalb von Deutschland und der EU aus? Fragen in diesem Zusammenhang sind häufig: "Was passiert, wenn die Daten in USA oder weltweit vorhanden bzw. gespeichert werden...; Sind meine Unternehmensdaten beim Provider wirklich sicher; wie werden Compliance-Themen abgebildet; wie sicher werden die Daten beim Provider abgespeichert und repliziert; welche Encryption und Deduplizierungs-Technik wird benutzt und… wie bekomme ich ggf. meine wertvollen Assets auch wieder aus der Cloud zurück?"
Das Fraunhofer-Institut für Sichere Informationstechnologie, SIT hat deshalb in seiner umfangreichen Analyse zu Sicherheitsmängeln bei Cloud Storage Angeboten einige kommerziell verfügbare Dienste wie CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One und Wuala auf die - aus Benutzersicht besonders wichtigen Security-Aspekte – hin untersucht. Die Untersuchung dauerte von Sommer 2011 bis zum Januar 2012 (Publizierung im März 2012) und berücksichtigte folgende Parameter: Registrierung & Login, Transport, Encryption, File sharing, Deduplication, Multiple Devices, Updates, Security-/Privacy Aspect sowie Server-/Storage Location.
Fazit: Als positives Ergebnis zeigt die Analyse, dass sich die analysierten Cloud-Storage-Anbieter der Bedeutung von Datensicherheit und dem Schutz von Kundendaten inzwischen bewusst sind. Negativ fällt jedoch auf: Laut SIT erfüllte keiner der untersuchten Anbieter alle verbindlichen Sicherheitsanforderungen.
Konkret: Von realen Sicherheitsbedrohungen bei der Registrierung bis hin zu gravierenden Problemen bei der gemeinsame Nutzung von Dateien bzw. der fehlenden Client-seitigen Verschlüsselung von Daten existiert derzeit ein breites Spektrum an Punkten, die der Verbesserung bedürfen. Besonders in Bezug auf File-Sharing in der Cloud scheint es laut SIT-Studie Diskrepanzen zwischen Benutzer-Erwartungen (z.B. gemeinsame Nutzung von Dateien innerhalb einer geschlossenen Gruppe), Vertraulichkeit von online gespeicherten Informationen und die Umsetzung durch die Provider (Veröffentlichung der Dateien für alle…) zu geben.
Cloud Storage Anbieter sollten danach sehr klar deutlich machen, was Sie unter dem Terminus „gemeinsame Nutzung von Dateien“ wirklich verstehen. Bei mehreren Gelegenheiten konnten die Mitarbeiter des SIT z.B. auf Informationen zugreifen, die eindeutig nur für eine geschlossene Benutzergruppe vorgesehen waren… In einigen Fällen könnten Informationen auch über Suchmaschinen gefunden werden. Daten-Deduplizierung war aus Security-Sicht ebenfalls ein Problem für einige Anbieter, denn in bestimmten Fällen ließ sich nach Informationen des SIT durch eine einfache Anfrage prüfen, ob eine Datei bereits in der Cloud existiert…
Die deutsche Zusammenfassung (Management Summary) der SIT-Untersuchung können Sie unter dem nachfolgenden Link des Instituts oder auch direkt hier als PDF herunterladen.
Die komplette Studie finden Sie auf der Fraunhofer Instituts - Webseite des SIT unter folgendem Link:
> http://www.sit.fraunhofer.de/de/cloudstudy.html
Mehr zum generellen Thema "Storage und SAN Security" im Rechenzentrum – auch ein wichtiges Thema auf unserer letzten Fachkonferenz vom 25. April diesen Jahres (siehe z.B. Fachbeitrag unseres Content-Partners Brocade zu "SAN Security Aspekten" - Vortrag für registrierter Benutzer unserer Seite hier http://www.storageconsortium.de/content/node/24) finden Sie mit Hilfe der Such-Funktion auf unserer Website.