Experten des Darmstädter Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben festgestellt, dass mehrere Cloud-Speicherdienste bei der Registrierung die angegebene E-Mail-Adresse nicht überprüfen. In Kombination mit Funktionen der Cloud-Speicherdienste wie File Sharing oder integrierten Benachrichtigungsfunktionen ergeben sich dadurch verschiedene Angriffsmöglichkeiten.
Angreifer können etwa unter falschem Namen Malware in Umlauf bringen oder vertrauliche Daten ausspionieren. Als einer der Träger des Center for Advanced Security Research Darmstadt (CASED) hat Fraunhofer SIT verschiedene Cloud-Speicherdienste untersucht. Dabei fanden die Tester die gleiche Schwachstelle in den kostenfreien Dienstangeboten von CloudMe, Dropbox, HiDrive, IDrive, SugarSync, Syncplicity und Wuala.
Eine Beschreibung der möglichen Angriffe und Bedrohungen stellen Mitarbeiter des Fraunhofer SIT am 26. Juni 2012 in Liverpool auf der 11. International Conference on Trust, Security and Privacy in Computing and Communications (IEEE TrustCom) vor.
Um die Schwachstelle auszunutzen, brauche ein Angreifer keinerlei Programmierkenntnisse. Es genüge, ein Konto zu erstellen und dabei eine fremde E-Mail-Adresse zu verwenden. Anschließend könne der Angreifer unter falschem Namen Schadsoftware verteilen. Bei den Diensten Dropbox, IDrive, SugarSync, Syncplicity und Wuala können Angreifer arglose Computernutzer mit Hilfe der fremden Identität sogar ausspionieren, indem sie sie dazu bringen, vertrauliche Daten für einen gemeinsamen Zugriff in die Cloud zu laden.
Fraunhofer SIT hat die betroffenen Anbieter bereits vor mehreren Monaten informiert und im Mai eine umfangreiche Studie zur Sicherheit von Cloud-Speicherdiensten vorgestellt. Obwohl die Schwachstelle mit sehr einfachen und bekannten Methoden, etwa der Versendung einer E-Mail mit Aktivierungslink, geschlossen werden kann, gibt es immer noch zwei Anbieter, die nichts unternommen haben.
“Nach unserem Hinweis haben inzwischen Dropbox, HiDrive, SugarSync, Syncplicity und Wuala reagiert”, sagt Markus Schneider, stellvertretender Institutsleiter des Fraunhofer SIT. Einige dieser Anbieter verwenden zur Vermeidung der Schwachstelle nun die seit langem bekannte Bestätigungs-E-Mail. “Aus unserer Sicht ist es wichtig, die Verbraucher auf das bestehende Problem hinzuweisen”, so Schneider. “Leider kann man sich nicht vollständig gegen alle Angriffe schützen, selbst wenn man die betroffenen Dienste meidet. Deshalb ist es wünschenswert, dass die Anbieter der Cloud-Speicherdienste die Schwachstelle beseitigen, da dadurch Verbraucher besser geschützt wären.”
Verbraucher, die die betroffenen Dienste nutzen, sollten vorsichtig sein. Die Fraunhofer-Experten empfehlen Nutzern, die eine Aufforderung bekommen, Daten aus der Cloud herunter oder in die Cloud zu laden, per E-Mail beim vermeintlichen Absender nachzufragen, ob die Aufforderung wirklich von ihm stammt. Dieses Vorgehen führt allerdings die ganze Idee des einfachen Datenaustausch ad absurdum. Sinnvoller ist es sicher, nur Dienste zu nutzen, die wenigstens die grundlegenden Sicherheitsfunktionen bieten.
Tipp: Sind Sie ein Fachmann in Sachen Cloud Computing? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…