© Dropbox

Dropbox-Hack
10/14/2014

“Ich halte Abstand zu Cloud-Speicherdiensten”

Der mutmaßliche Diebstahl von sieben Millionen Zugangsdatensätzen für Dropbox-Accounts stellt die Sicherheit von Cloudspeichern wieder einmal in Frage.

von Markus Keßler

Unbekannte Hacker haben ein Dokument mit einigen Nutzernamen und Passwörtern für Dropbox-Accounts im Netz veröffentlicht. Sie behaupten, insgesamt sieben Millionen solcher Datensätze erbeutet zu haben und wollen diese gegen Bitcoin-Spenden publizieren. Dropbox behauptet, nicht direkt gehackt worden zu sein. Die Zugangsdaten stammen laut dem Cloudspeicher-Betreiber von Drittanbieter-Apps, die auf Dropbox zugreifen.

Sicherheitsexperten predigen schon lange, dass Cloudspeicher nicht sicher genug für sensible Daten sind. “Ich persönlich halte Abstand zu Cloud-Speicherdiensten. Nutzer sollten sich bewusst sein, dass solche Dienste praktisch öffentlicher Raum sind. Wenn Daten getauscht werden, sollten diese verschlüsselt werden”, erklärt Thomas Hackner von Hackner Security Intelligence gegenüber der futurezone. Wenn Cloud-Speicher genutzt werden, sollten auf jeden Fall einige Sicherheitsregeln eingehalten werden.

Zwei Schritte

„Man muss sich gut überlegen, welche Daten wo gespeichert werden. Ich habe manche Daten unverschlüsselt in der Cloud, andere verschlüsselt und wieder andere überhaupt nicht. Hier gilt es, Datenschutz und Verfügbarkeit gegeneinander abzuwägen“, so Edgar Weippl von SBA-Research. Wenn Daten in der Cloud abgelegt werden, sollten auf jeden Fall die angebotenen Sicherheitsmechanismen in Anspruch genommen werden. Dropbox etwa bietet, wie mittlerweile fast alle großen Online-Serviceanbieter, die Möglichkeit, die Anmeldung in zwei Schritten zu aktivieren. Dann ist der Zugriff auf die Daten nur noch möglich, wenn neben dem Passwort auch noch ein Code eingegeben wird, den der User etwa per SMS zugeschickt bekommt.

“Ich würde aus Sicherheitsgründen dringend dazu raten, dieses Angebot zu nutzen“, sagt Weippl. Ein Allheilmittel ist das aber nicht. Die Verwendung von Drtittanbieter-Apps, die auf Cloudspeicher zugreifen dürfen, ist immer mit einem Risiko verbunden. “Wenn Funktionalität ausgelagert wird, führt das immer zu Sicherheitslücken”, so Hackner. Wenn solche Apps zum EInsatz kommen, sollten Nutzer deshalb darauf achten, dass sie dort keine Anmeldedaten eingeben müssen. Der Log-in sollte immer über den Cloudspeicher selber erfolgen. “Apps, die Log-in-Daten verlangen, sind schlecht programmiert”, sagt Weippl.

Gefährliche Apps

Von welcher App die Daten aus dem aktuellen Dropbox-Leck stammen, ist derzeit nicht bekannt. „Drittanbieter-Apps sind immer riskant, selbst wenn sie korrekt implementiert sind, da eben noch eine Partei Zugriff auf die Daten bekommt. Man sollte vielleicht sogar zwei Accounts bei Dropbox anlegen: Einen für unwichtige Daten mit Apps und einen für sensible Informationen, komplett ohne Apps“, so Weippl.

Nutzer von Dropbox sollten laut Ansicht der Experten jetzt ihre Passwörter ändern und bei dieser Gelegenheit auch gleich die Zweischrittanmeldung aktivieren. Wichtig ist, dass jeder Dienst sein eigenes Passwort bekommt. “Die mehrfache Verwendung eines Passworts ist ein großes Problem. So kann durch ein solches Datenleck etwa auch der E-Mail-Account kompromittiert sein“, sagt Weippl.

Zweischritt soll Standard werden

Dass Nutzer gezwungen werden, Zweischrittaktivierung zu verwenden, wäre ein möglicher Weg, die Sicherheit solcher Angebote zu erhöhen. “Im aktuellen Fall wäre das super, weil trotz des Passwortdiebstahls die Daten sicher wären. Unknackbar ist aber auch die Two-Factor-Authentification nicht und ein Zwingen der Nutzer ist in der Praxis kaum durchführbar, weil einige vielleicht gar nicht die Möglichkeiten dazu haben. Eine Änderung der Standardeinstellung auf Zweischrittanmeldung wäre aber durchaus sinnvoll”, sagt Hackner.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.