Dropbox-Alternativen auf dem Prüfstand
ownCloud versus TeamDrive - ein Security-Vergleich
TeamDrive und ownCloud: die Sicherheitsarchitektur
In diesem Vergleich soll es um die Sicherheitsarchitektur hinter TeamDrive und ownCloud gehen. Der sonstige Funktionsumfang der beiden Lösungen wird nicht betrachtet. Es geht also um Verschlüsselungsverfahren, Datenhaltung, Datenverarbeitung und die Benutzerautorisierung, soweit Informationen zur Verfügung stehen. Dabei wird davon ausgegangen, dass grundlegende Kenntnisse zum Thema Sicherheit bekannt sind.
- Cloud-Security-Tools
Um die Sicherheit in Cloud-Umgebungen zu kontrollieren und zu überwachen, gibt es etliche Werkzeuge zum Nulltarif, so dass Anwender nicht unbedingt zu kostspieligen Suiten greifen müssen. - Date Leak Prevention: MyDLP und OpenDLP
Um herauszufinden, wo unternehmenskritische Daten lagern und auf welchen Wegen sie im Corporate Network transportiert werden, bieten sich Programme wie "MyDLP" (www.mydlp.com) und "OpenDLP" an. Beides sind Open-Source-Programme für Data Loss Prevention (DLP). Beide Tools verhindern, dass sensible Informationen per E-Mail, als Kopien auf USB-Sticks oder in Form von Ausdrucken das Haus verlassen. - Date Leak Prevention: MyDLP und OpenDLP
Zudem helfen die Programme, den Speicherort sensibler Daten ausfindig zu machen und eine Konsolidierung vorzunehmen. Das etwas komfortabler zu benutzende Programm ist MyDLP. Es führt den Anwender Schritt für Schritt durch den Installations- und Konfigurationsvorgang. Dagegen merkt man OpenDLP seine Vergangenheit in der "Kommandozeilen-Ecke" an. - GRC-Stack der Cloud Security Alliance
Für Checklisten, die unter anderem bei der Auswahl des richtigen Cloud-Service-Providers und der Implementierung von Sicherheitsvorkehrungen in Cloud-Umgebungen helfen, hat die Cloud Security Alliance (CSA) den "GRC Stack" erarbeitet. Die Unterlagen sind ausschließlich in Englisch verfügbar und zudem stark auf Compliance-Vorgaben ausgelegt, die in den USA gelten. Dennoch können sie als Basis für Sicherheits-Checks im Rahmen von Cloud-Computing-Projekten herangezogen werden. - GRC-Stack der Cloud Security Alliance
Ebenfalls von der CSA stammt die "Cloud Controls Matrix" (CCM). Anhand dieser Checkliste können Interessenten die Sicherheitsvorkehrungen eines Cloud-Service-Providers unter die Lupe nehmen. Die Grundlage bilden Sicherheits- und Compliance-Standards wie ISO 27001/27002, ISACA, COBIT, PCI, NIST, Jericho Forum und NERC CIP. Die aktuelle Version 1.3 der CCM vom September 2012 steht auf der Website der Organisation kos-tenlos zum Herunterladen bereit. - Zwei-Faktor-Authentifizierung mit WiKID
Wie bereits angesprochen, spielt die Authentifizierung von Nutzern im Rahmen von Cloud Computing eine zentrale Rolle, auch bei Cloud-Migrationsprojekten. Unternehmen, die noch keine Erfahrung mit einer Zwei-Faktor-Authentifizierung gesammelt haben, können dies mit dem Open-Source-Produkt "WiKID" nachholen. Die Software lässt sich unter anderem einsetzen, um Intranets abzuschotten, deren Nutzer Zugang zu den Ressourcen eines externen Cloud-Computing-Service-Providers haben. - Microsoft Cloud Security Readiness Tool
Kostenlos verfügbar ist auch das "Cloud Security Readiness Tool" von Microsoft. Es soll vor allem kleine und mittelständische Betriebe ansprechen. Der Nutzer muss Fragen beantworten, beispielsweise ob Regeln für den Zugriff auf Daten bestehen, welche Sicherheits-Policies gelten und ob grundlegende Sicherungen wie etwa ein Malware-Schutz und Firewalls oder eine Zutrittskontrolle zum Rechenzentrum vorhanden sind. Die Resultate fasst das Tool inklusive Bewertung und Empfehlungen in einem etwa 60-seitigen Bericht zusammen. - Centrify Cloud Tools
Die amerikanische Firma Centrify hat in Form der "Centrify Cloud Tools" eine Sammlung von Programmen und Scripts zusammengestellt. Mit ihnen können Systemverwalter eine Authentifizierung und Zugriffskontrolle für Linux-Server einrichten, die auf den Plattformen von Cloud-Service-Providern wie Amazon EC2 oder der Cloud-Management-Plattform von Rightscale aufgesetzt wurden. - Spiceworks spürt heimlich genutzte Cloud-Services auf
Ebenfalls gratis erhältlich sind die "Cloud Management Tools" von Spiceworks. Das Unternehmen hat sich auf IT-System-Management-Software spezialisiert. Dementsprechend lassen sich mit den Cloud-Management- Tools On- und Off-Premise-Cloud-Services verwalten. Dies ist auch unter dem Sicherheitsaspekt von Vorteil, denn mit der Software können Administratoren Cloud-Services aufspüren, die einzelne User oder Unternehmensbereiche ohne Wissen der IT-Abteilung verwenden - Stichwort "Rogue Cloud Services". Die Cloud Management Tools enthalten Monitoring-Funktionen, mit denen der Nutzer den Status der Systeme in der Cloud überwachen kann, etwa von Hosted Servern. - VMware- und Hyper-V-Hosts überwachen
Eher am Rande mit Cloud-Security zu tun haben Tools, mit denen sich der Status von Virtual Hosts überwachen lässt. Zwei Anbieter stellen kostenlose Versionen ihrer Monitoring-Werkzeuge zur Verfügung: Veeam mit der "Veeam One Free Edition" ... - VMware- und Hyper-V-Hosts überwachen
und Solarwinds mit "VM Monitor". Beide Tools überwachen den Status der VMware- und Microsoft-Hyper-V-HostSysteme.
TeamDrive: End-to-End-Verschlüsselung
TeamDrive ist trotz seines kommerziellen Ansatzes recht auskunftsfreudig und stellt einige Sicherheitsinformationen öffentlich zur Verfügung, auch zum Thema Verschlüsselung. Zudem wird mit dem Datenschutzsiegel des "Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD)" geworben. Nach einer Anfrage wurden bereitwillig umfangreiche Informationen zur Verfügung gestellt, wobei einige jedoch einem NDA (Non-Disclosure Agreement) unterliegen.
Verschlüsselungsverfahren
TeamDrive setzt auf die folgenden Verschlüsselungsmechanismen:
Advanced Encryption Standard - AES 256
Zur Verschlüsselung der Daten setzt TeamDrive auf das Advanced-Encryption-Standard (AES)-Kryptosystem mit einem 256-Bit-Schlüssel und verwendet die C Code Implementation der OpenSSL library.
Diffie-Hellman und RSA 3072
Für den Schlüsselaustausch setzt TeamDrive bei seinen älteren Clients auf den Diffie-Hellman-Algorithmus. Neue Clients hingegen verwenden RSA 3072. Die Diffie-Hellman-Implementierung basiert dabei auf der C-Code-Implementation, wie sie von der OpenSSL library zur Verfügung gestellt wird.
Message Digest 5/6 - MD5/MD6
Der TeamDrive-Hash-Funktionalität liegt der MD5- beziehungsweise MD6-Algorithmus zugrunde, wobei der Hashwert mit einer zufällig gewählten Zeichenfolge (Salt) gespeichert wird.
PrimeBase Privacy Guard - PBPG
Der PrimeBase Privacy Guard (PBPG) ist ein proprietäres Publice/Private-Schlüsselsystem, das auf dem Diffie-Hellman-Schlüsselaustausch und der AES-Verschlüsselung aufsetzt. Das Verhalten von PBPG für den Anwender gleicht dem bekannten Public-/Private-Schlüsselsystemen von PGP oder GnuPG. Die PBPG-Verschlüsselung generiert zufällige Änderungen und verifiziert die Dateien während des Austauschs, damit PBPG erkennen kann, ob eine Nachricht oder ein Schlüssel manipuliert oder anderweitig verändert worden ist. Zwei Nachrichten sind dabei niemals gleich. Dabei wird nicht nur für jeden Benutzer ein Schlüsselpaar erzeugt, sondern auch für jede Installation. Die PBPG-Implementierung ist offen und kann bei Bedarf von Partnern und anderen Interessierten überprüft werden.
- Manuelle Malware-Prüfung
Hier ist die eigene Sicherheits-Initiative gefragt: Google prüft die Dateien, die auf dem Cloud-Speicher Google-Drive abgelegt werden, nur bis zu einer gewissen Größe auf Viren. - Google Drive vs. Patriot Act
Google Drive ist eine Mischung aus Dateiablage, Online-Office und Collaboration-Technik: Wer hier Dateien abspeichert läuft allerdings Gefahr, dass diese auch von US-amerikanischen Behörden eingesehen werden könnten. - Das Freemium-Modell
Googles Modell unterscheidet sich kaum von den Marktbegleitern: Freemium – es beginnt umsonst und wer mehr will, zahlt auch mehr. Eine Erhöhung der Sicherheit kann aber leider nicht hinzugebucht werden. - Skydrive zu nutzen heißt, viel zu lesen
Präsentation und Speicherdimensionierung sind etwas anders als bei Google: Trotzdem handelt es sich auch bei der Microsoft-Variante Skydrive um einen klassischen Online-Speicher. Allein die Datenschutz- und Nutzungsbestimmungen von Microsoft umfassen neun(!) DIN-A4-Seiten, inklusive dem Recht persönliche Daten in begrenztem Umfang zu nutzen. - Hornetdrive
Einer der vielen Anbieter von Online-Speicher auf Servern in Deutschland: Hornetdrive. Der Produktumfang und die Unterstützung von Betriebssystemen sind dabei sehr umfassend. - Großer Funktionsumfang
Viele Möglichkeiten und Fähigkeiten: An Hornetdrive gefällt nicht nur der Wizard, der den Benutzer bei der Anlage unterstützt, sondern auch die klare Regelung der Zugriffsrechte. - Der schnelle Überblick
Ein Blick kann mehr Sicherheit schaffen: Wer hat wann auf was zugegriffen – eine solche Auflistung ist zwar mitunter lang, kann aber unberechtigte Aktivitäten aufzeigen. - WebDAV-Abfrage
Erleichtert die Nutzung im Zusammenspiel mit beliebigen lokalen Anwendungen: Die Integration des Online-Speichers in das Betriebssystem, hier per WebDAV. - Passwörter nicht speichern!
Benutzer sollten die Passwörter nur in Ausnahmen direkt in Windows speichern. Erlangt ein unberechtigter Nutzer Zugang zum Desktop, ist ansonsten auch der Zugriff auf die Online-Daten möglich. - Schnelle Anbindung vorausgesetzt
Der Einsatz von Online-Storage ist nur in den Gegenden sinnvoll, in denen ein zügiges Internet verfügbar ist: Mit 12,2 KByte pro Sekunde wird Online-Speicher zum Geduldsspiel. - Zugriffsrechte
Extrem wichtig für jeden Einsatz von Cloud-Speicher: eine klare und eindeutige Rechtesteuerung. - Reset
Wird das Kennwort von Windows zurückgesetzt, löscht das Betriebssystem auch die gespeicherten WebDAV-Kennwörter – ein unautorisierter Zugriff durch Administratoren wird so unterbunden. - BoxCryptor
In der kostenpflichtigen Variante verschlüsselt BoxCryptor sogar die Dateinamen: Auch wenn es der Name anders vermuten lässt – die Software arbeitet auch mit anderen Online-Lösungen als DropBox problemlos zusammen. - Immer informiert bleiben
Informieren der Anwender ist wichtig für die Sicherheit: Wer sicherstellen will, dass seine Daten nicht frei im Internet lesbar sein sollen, muss bei der Freigabe schon genau lesen, was passieren wird. - Alles Cloud
Auch die klassischen Internetprovider, hier 1&1, bieten ein Online-Office und einen Online-Speicher: Dieser kann dann sogar per WebDAV-Standard abgefragt werden.