Experteninterview: Sicherheit von Filesharing-Lösungen aus der Cloud – „Verschlüsselung ist nicht gleich Verschlüsselung“

Anfang September 2016 musste der bekannte Filesharing-Dienst Dropbox einräumen, dass bereits 2012 über 68 Millionen verschlüsselte Benutzer-Passwörter gestohlen worden seien. Man habe zwar bisher keinen Missbrauch feststellen können, für den Fall, dass die mit branchenüblichen Methoden verschleierten Passwörter entschlüsselt werden sollten, seien Login-Daten von Nutzern zurückgesetzt worden.

Im folgenden Interview nimmt Michael Schimanski, Geschäftsführer der Firma PROGTECH, einem auf IT-Security spezialisierten Systemhaus, zum Vorfall und der damit verbundenen Frage der Sicherheit von cloudbasierten Filesharing-Lösungen Stellung:

Frage: Der Diebstahl der Dropbox-Passwörter war überhaupt erst bekannt geworden, als die Website „Motherboard“ von einer im Netz gehandelten Datenbank mit knapp 68,7 Millionen Kombinationen aus E-Mail-Adressen und verschleierten Passwörtern berichtete. Dropbox hat die Authentizität dieser Daten mittlerweile bestätigt. Wie bewerten Sie diesen Vorfall?

Schimanski: Der Vorfall verdeutlicht einmal mehr die Gefahren, die beim Ablegen von Daten in cloudbasierten Speicher- und Filesharing-Diensten drohen. Geraten die Login-Daten in die Hände Unbefugter, haben diese in der Regel dann auch Zugriff auf die in diesem Benutzerkonto gespeicherten Daten.

Frage: Gibt es eine Möglichkeit, sich gegen diesen Zugriff Unbefugter auf die eigenen Daten zu schützen?

Schimanski: Aber ja. Verschlüsselung ist heute ein absolutes „Muss“ – und zwar nicht nur bei der Übertragung zum und vom Speicherort, sondern auch am Speicherort selbst. Der Fachmann spricht dabei von „at rest“, was so viel bedeutet, wie „im Ruhestand“, also wenn die Daten nicht bewegt werden, sondern einfach unberührt am Speicherort liegen.

Frage: Ist die Möglichkeit einer „at rest“-Verschlüsselung nicht etwas, das die namhaften Anbieter von Filesharing- und Online-Speicherlösungen heute als Funktion bereits anbieten?

Schimanski: Im Prinzip ja. Mittlerweile bieten die großen, namhaften Anbieter von Cloud Speicher- und Filesharing-Lösungen in der Tat unterschiedlichste Verschlüsselungsfunktionen an und suggerieren dem Anwender damit, dass seine Daten sicher und vor dem Zugriff Unbefugter geschützt sind. In einer Marktrecherche haben wir uns allerdings einmal angesehen, wie die „Großen“ tatsächlich mit dem Thema Verschlüsselung umgehen und dabei die entsprechenden Funktionen und Regelungen bei den folgenden Angeboten überprüft.

  • Amazon Workdocs
  • IBM Aspera
  • Google for Work
  • Dropbox, und als deutschen Vertreter
  • Teamdrive

Die Ergebnisse unserer Recherche werden wir in einem Whitepaper zusammenfassen und dann über unsere Webseite publizieren. An dieser Stelle nur so viel: Nicht überall, wo „Verschlüsselung“ draufsteht, ist auch „Verschlüsselung“ drin. Interessenten an den Ergebnissen unserer Marktrecherche senden bitte einfach eine kurze Nachricht über unser Kontaktformular.

Weitere Informationen zu PROGTECH sind im Lösungskatalog verfügbar.