Sicherheit von Filesharing-Lösungen aus der Cloud: Verschlüsselung ist nicht gleich Verschlüsselung

Diese Nachricht war selbst den großen Newsportalen wie Handelsblatt oder n-tv eine Meldung wert: Anfang September 2016 musste der bekannte Filesharing-Dienst Dropbox einräumen, dass bereits 2012 über 68 Millionen verschlüsselte Benutzer-Passwörter gestohlen worden seien. Man habe zwar bisher keinen Missbrauch feststellen können, für den Fall, dass die mit branchenüblichen Methoden verschleierten Passwörter entschlüsselt werden sollten, seien Login-Daten von Nutzern zurückgesetzt worden.
Der Diebstahl der Dropbox-Passwörter war einige Tage zuvor durch einen Artikel der Website „Motherboard“ bekanntgeworden, die von einer im Netz gehandelten Datenbank mit knapp 68,7 Millionen Kombinationen aus E-Mail-Adressen und verschleierten Passwörtern berichtete. Dropbox bestätigte mit seiner Stellungnahme die Authentizität dieser Daten.

Diese Meldung verdeutlicht einmal mehr die Gefahren, die beim Ablegen von Daten in cloudbasierten Speicher- und Filesharing-Diensten drohen. Geraten die Login-Daten in die Hände Unbefugter, haben diese in der Regel dann auch Zugriff auf die in diesem Benutzerkonto gespeicherten Daten.

Verschlüsselung ist ein „absolutes Muss“

Experten raten deshalb schon seit längerem unbedingt dazu, die in der Cloud abgelegten Daten zu verschlüsseln – und zwar nicht nur bei der Übertragung zum und vom Speicherort, sondern auch am Speicherort selbst. Der Fachmann spricht dabei von „at rest“, was so viel bedeutet, wie „im Ruhestand“, also wenn die Daten nicht bewegt werden, sondern einfach unberührt am Speicherort liegen.

Verschlüsselung „at rest“: eine trügerische Sicherheit für den Anwender?

Mittlerweile bieten auch die großen, namhaften Anbieter von Cloud Speicher- und Filesharing-Lösungen unterschiedlichste Verschlüsselungsfunktionen an und suggerieren dem Anwender damit, dass seine Daten sicher sind und vor dem Zugriff Unbefugter geschützt sind.
In einer Marktrecherche haben wir uns einmal angesehen, wie die „Großen“ mit dem Thema Verschlüsselung umgehen und dabei die entsprechenden Funktionen und Regelungen bei den folgenden Angeboten überprüft.

  • Amazon Workdocs
  • IBM Aspera
  • Google for Work
  • Dropbox

und als deutschen Vertreter

  • Teamdrive

Die Ergebnisse unserer Recherche werden wir in einem Whitepaper zusammenfassen und Sie dann hier im Blog informieren, wenn das Dokument verfügbar ist. Falls Sie sichergehen möchten, dass Sie den Ergebnisbericht auf jeden Fall erhalten, senden Sie uns am besten eine kurze Nachricht über unser Kontaktformular.