Bei der Online-Festplatte Dropbox ist es zu einer peinlichen Sicherheitspanne gekommen. Nach einem fehlerhaften Softwareupdate war es zeitweise möglich, ohne das entsprechende Passwort auf Accounts und Dateien zuzugreifen. Nach knapp vier Stunden konnte die Lücke geschlossen werden, so Dropbox-Mitgründer und CTO Arash Ferdowsi im Unternehmensblog. "Das hätte nie passieren dürfen", gibt er selbst zu.
Der Vorfall unterstreicht, wie abhängig viele Online-Dienste von einer einfachen Passwortsicherung sind. "Die Authentifizierung wird das Hauptproblem bei Cloud-Diensten", warnt daher Eddy Willems, Security Evangelist bei G Data. Denn egal ob Dropbox, Google Docs oder Microsofts SkyDrive - eine einfache Zugangssicherung ist auch einfach angreifbar.
Passwörter reichen nicht
Dropbox zufolge gab es im Problemzeitraum Zugriffe auf weniger als ein Prozent der über 25 Millionen Accounts. Das Unternehmen prüft seine Log-Dateien, um potenziell von der Panne betroffene User direkt zu warnen - ein aus Sicht von Willems löbliches Vorgehen. Dass der unberechtigte Accountzugriff auf eine betreiberseitige Panne zurückzuführen ist, ist dabei für Dropbox zwar peinlich. Doch illustriert er eine grundlegende Schwäche der Passwort-Zugangssicherung vieler Online-Dienste. "Eine Ein-Faktor-Authentifizierung ist immer ein Problem. Das wird in Zukunft einfach nicht reichen", erklärt Willems.
Wenn beispielsweise ein Hacker ein Passwort stiehlt, hat er ebenso Zugriff auf den Account wie im Fall der Dropbox-Fehlfunktion - nur, dass dies dem Dienstanbieter meist nicht auffallen wird. Egal ob kleinere Angebote wie Dropbox oder Googles große Produktpalette, Cloud-Dienste werden langfrstig um Zwei-Faktor-Authentifizierung nicht umhin kommen. Der G Data-Experte favorisiert dabei biometrische Lösungen, wenngleich sie "nicht immer einfach umzusetzen sind." Allerdings verweist er darauf, dass es bereits Ansätze gibt, einfach alltägliche Webcams zu nutzen - unter anderem aus Österreich.
Festplatte in der Cloud
Freilich liegt es auch an den Usern, die Online-Festplatten verwenden, ihr Risiko zu minimieren. "Eigentlich sollte man solche Dienste für wirklich wichtige Dateien gar nicht nutzen", betont Willems. Denn wie so viele Cloud-Angebote stecken sie noch eher in den Kinderschuhen. Allerdings ist die Forderung nicht realistisch. Denn Nutzer aus Unternehmen setzen auf Dropbox und vergleichbare Angebote unter anderem, um interne Informationen mit Mitarbeitern zu teilen, wenn eine Datei zu groß für den normalen E-Mail-Versand ist.
Daher gilt es, sich möglichst umsichtig zu verhalten. "Der Dateiname sollte keinen Aufschluß über den Inhalt eines Dokuments geben", rät der Sicherheitsexperte. Denn ein Titel wie "Geheimer Finanzbericht" würde sehr schnell die Aufmerksamkeit etwaiger Angreifer erregen. "Natürlich ist eine Dateiverschlüsselung für solche Anwendungen ideal", so Willems weiter. Am besten ist freilich die Kombination aller Sicherheitsvorkehrungen. (pte/rw)