Problem der Authentifizierung bei Cloud-Diensten
Dropbox-Panne: Datenzugriff ohne Passwort
Nach knapp vier Stunden konnte die Lücke geschlossen werden, so Dropbox-Mitgründer und CTO Arash Ferdowsi im Unternehmensblog. "Das hätte nie passieren dürfen", gibt er selbst zu. Der Vorfall unterstreicht, wie abhängig viele Online-Dienste von einer einfachen Passwortsicherung sind. "Die Authentifizierung wird das Hauptproblem bei Cloud-Diensten", warnt daher Eddy Willems, Security Evangelist bei G Data, im Gespräch mit pressetext. Denn egal ob Dropbox, Google Docs oder Microsofts SkyDrive - eine einfache Zugangssicherung ist auch einfach angreifbar.
Dropbox zufolge gab es im Problemzeitraum Zugriffe auf weniger als ein Prozent der über 25 Millionen Accounts. Das Unternehmen prüft seine Log-Dateien, um potenziell von der Panne betroffene User direkt zu warnen - ein aus Sicht von Willems löbliches Vorgehen. Dass der unberechtigte Accountzugriff auf eine betreiberseitige Panne zurückzuführen ist, ist dabei für Dropbox zwar peinlich. Doch illustriert er eine grundlegende Schwäche der Passwort-Zugangssicherung vieler Online-Dienste. "Eine Ein-Faktor-Authentifizierung ist immer ein Problem. Das wird in Zukunft einfach nicht reichen", erklärt Willems.
Wenn beispielsweise ein Hacker ein Passwort stiehlt, hat er ebenso Zugriff auf den Account wie im Fall der Dropbox-Fehlfunktion - nur, dass dies dem Dienstanbieter meist nicht auffallen wird. Egal ob kleinere Angebote wie Dropbox oder Googles große Produktpalette, Cloud-Dienste werden langfrstig um Zwei-Faktor-Authentifizierung nicht umhin kommen. Der G Data-Experte favorisiert dabei biometrische Lösungen, wenngleich sie "nicht immer einfach umzusetzen sind." Allerdings verweist er darauf, dass es bereits Ansätze gibt, einfach alltägliche Webcams zu nutzen.
- Das Webinterface von Dropbox
- Über das Webinterface lassen sich auch die angeschlossenen Rechner verwalten.
- Der Windows-Client
- Dropbox unter Linux
- Abgleich zwischen Windows und Ubuntu
- Installation unter Ubuntu via apt-get
- Der Startdialog ist bei allen Systemen gleich, hier unter Linux
- Haben sie bereits ein Konto, können Sie sich direkt anmelden.
- Dropbox unter Linux (Quelle: Dropbox)
- Dropbox unter Linux (Quelle: Dropbox)
- Dropbox unter Linux (Quelle: Dropbox)
- Dropbox unter Linux (Quelle: Dropbox)
- Der Mac-Client für Dropbox. (Quelle: Dropbox)
- Der Mac-Client für Dropbox. (Quelle: Dropbox)
- Der Mac-Client für Dropbox. (Quelle: Dropbox)
- Der Mac-Client für Dropbox. (Quelle: Dropbox)
- Der Client auf dem iPhone. (Quelle: Dropbox)
- Der Client auf dem iPhone. (Quelle: Dropbox)
- Der Client auf dem iPhone. (Quelle: Dropbox)
Natürlich liegt es auch an den Usern, die Online-Festplatten verwenden, ihr Risiko zu minimieren. "Eigentlich sollte man solche Dienste für wirklich wichtige Dateien gar nicht nutzen", betont Willems. Denn wie so viele Cloud-Angebote stecken sie noch eher in den Kinderschuhen. Allerdings ist die Forderung nicht realistisch. Denn Nutzer aus Unternehmen setzen auf Dropbox und vergleichbare Angebote unter anderem, um interne Informationen mit Mitarbeitern zu teilen, wenn eine Datei zu groß für den normalen E-Mail-Versand ist.
Daher gilt es, sich möglichst umsichtig zu verhalten. "Der Dateiname sollte keinen Aufschluß über den Inhalt eines Dokuments geben", rät der Sicherheitsexperte. Denn ein Titel wie "Geheimer Finanzbericht" würde sehr schnell die Aufmerksamkeit etwaiger Angreifer erregen. "Natürlich ist eine Dateiverschlüsselung für solche Anwendungen ideal", so Willems weiter. Am besten ist freilich die Kombination aller Sicherheitsvorkehrungen. (pte/cvi)