Stiftung Warentest: Cloud-Dienste fallen bei Sicherheitstest durch
Die "sehr kritischen" Apps - Diese Apps können Kontaktdaten, Kalendereinträge, E-Mail, Browserdaten oder Konten lesen und unter Umständen übermitteln, meistens ohne dass die App vorher um Erlaubnis fragt.
Als besonders kritisch wurde in der Studie "WhatsApp" eingestuft. Der Messenger, der seit Monaten immer wieder in der Kritik steht, weist erhebliche Mängel auf: Die App installiert sich mit der Berechtigung, Kontodaten zu verändern. Damit ist das Lesen und Löschen von Passwörtern möglich. Außerdem kann WhatsApp selbstständig und ohne Nachfrage, Anpassungen der Synchronisierungs- und Systemeinstellungen vornehmen. Die App zeigt den exakten Standort des Handys (und damit auch in den meisten Fällen den des Users) und den Netzwerkstatus an.
Foto: Presse, Montage WirtschaftsWoche OnlineEbenfalls als besonders kritisch für Sicherheitsrichtlinien in Unternehmen wurde die Facebook-App eingestuft. Audio-, Bilder- und Videoaufnahmen sowie Kontaktdaten können verändert und gelesen werden. Dateientransfer über Facebook via Internet ist ein Kinderspiel. Auch hier ist es möglich den Telefonstatus und den Netzwerkstatus zu erkennen. Der Standort des Smartphones wird je nach Situation genau und ungefähr ermittelt.
Foto: Presse, Montage WirtschaftsWoche OnlineSkype
Die App des Chat- und Telefon-Programms "Skype" verlangt bei der Installation insgesamt 28 Berechtigungen. Unter diesen sind einige, die für ein Unternehmen besonders kritisch sein können. So bekommt die Berechtigung, Kontaktdaten auf dem Smartphone zu verändern und zu lesen. Auch die Synchronisierungseinstellungen (wie Einschalten von Bluetooth) lassen sich verändern und der Netzwerkstatus wird angezeigt. Darüber hinaus verbraucht diese App sehr viel Netzwerkspeicher und Akkuressourcen. Die App wird bezüglich Firmendaten laut Studie als besonders kritisch eingestuft.
Foto: Presse, Montage WirtschaftsWoche OnlineNavigon
Ebenfalls "sehr kritisch" für Unternehmen wird die App "Navigon" eingestuft. Diese App verschafft sich die Berechtigung, Audios und Videos aufnehmen, Systemeinstellungen und den WLAN-Status zu ändern. Auch alle Anwendungen, die aktuell auf dem Telefon laufen, können abgerufen und sogar beendet werden. Ohne Begründung für die Hauptfunktionalität können Kontaktdaten und vertrauliche Systemprotokolle gelesen und unter Umständen ins Internet übertragen werden. Zudem ist es möglich, Broadcast zu senden, was zu einem immensen Speicherverbrauch führt. Beim Broadcasting werden Datenpakete von einem Punkt aus an alle Teilnehmer eines Netzes übertragen und aufrecht zu erhalten.
Foto: Presse, Montage WirtschaftsWoche OnlineViber
Viber verschafft sich auch Zugriff auf etliche Funktionen des Smartphones. So lassen sich unter anderem Audios, Bilder und Video aufnehmen, Kontaktdaten schreiben und lesen und in das Internet übertragen, vertrauliche Protokolle lesen und Konten identifizieren. Es können alle Telefonnummern aus dem Adressbuch angerufen werden. Damit gilt die App für freie Internet-Telefonie als hervorragendes Tool ist aber für den Schutz von Firmendaten "sehr kritisch".
Foto: Presse, Montage WirtschaftsWoche OnlineÖffi
Auch die App des öffentlichen Nahverkehrs "Öffi" wird als besonders kritisch eingeordnet. Die App kann Kalendereinträge auf dem Smartphone und Kontaktdaten lesen und diese unter Umständen ins Internet übermitteln. Diese Aktionen sind für Funktionalitäten der App nicht nötig. Außerdem wird der genaue Standort des Handys einsehbar.
Foto: Presse, Montage WirtschaftsWoche OnlineSPB-TV
Die TV-App SPB-TV gilt ebenfalls als besonders unsicher. Die App verschafft sich uneingeschränkten Zugang zum Internet mit dem Smartphone und kann sowohl den Telefon- als auch den Netzwerkstatus einsehen.
Foto: Presse, Montage WirtschaftsWoche OnlineICQ
Der Messenger ICQ schneidet in der App-Bewertung zur Sicherheit von Firmendaten eher schlecht ab. Die App kann Kontaktdaten lesen und unter Umständen übertragen, bekannte Konten suchen und authentifizieren sowie neue Synchronisierungseinstellungen schreiben.
Foto: Presse, Montage WirtschaftsWoche OnlineMapmyride
Die App für Fahrrad-Freunde "Mapmyride" stellt aufgrund der auch für Dritte möglichen Bluetooth- und Kameramanipulationen sowie der Standorterkennung ein Sicherheitsrisiko für Unternehmen dar. Systemeinstellungen können verändert werden auch der genaue Standort des Smartphones lässt sich ermitteln.
Foto: Presse, Montage WirtschaftsWoche OnlineThe Weather Channel
Sonnenschein oder Regenwetter? Die App "The Weather Channel" gibt Auskunft. Beim Blick auf die Risiken, die die App mit sich bringt, ist aber wohl eher Schlecht-Wetter-Stimmung angesagt. Die App verlangt bei der Installation die Erlaubnis, Audios aufzunehmen, obwohl dies für ihre Hauptfunktion nicht nötig ist. Sie übermittelt den Standort und unter Umständen können die für den Benutzer hereinkommenden Daten abgefangen werden.
Foto: Presse, Montage WirtschaftsWoche OnlineDroid Blocker
Umfassende Rechte erbittet sich auch die App "Droid Blocker". Die App, die eigentlich unerwünschte Anrufer und SMS blockiert, darf den Browserverlauf und die Lesezeichen schreiben, Kontaktdaten lesen und schreiben, und auch der SD-Karteninhalt kann einfach gelöscht werden. Auch SMS und MMS lassen sich lesen und empfangen und im Namen des Besitzers versenden. Außerdem lassen sich Verknüpfungen auf dem Smartphone nach Belieben installieren und deinstallieren.
Foto: Presse, Montage WirtschaftsWoche OnlineAls sehr kritisch für den BYOD-Einsatz wird auch die Social-Media-App "Linkedin" kategorisiert. Sie hat uneingeschränkten Zugriff auf das Netzwerk, darf Kontolisten lesen und im Internet authentifizieren, den SD-Karteninhalt ändern oder löschen sowie neue Kontaktdaten erstellen. Auch ressourcenfressende Dauerbroadcasts sind möglich.
Foto: Presse, Montage WirtschaftsWoche OnlineQik Video
Bereits bei der Installation lässt die Liste der 28 verlangten Berechtigungen den sehr kritischen Charakter der App erahnen. Diese erlauben die Verwaltung der eingerichteten Konten und das Lesen und Schreiben von Kontaktdaten. Bluetooth-Verbindungen können von der App hergestellt und auch verwaltet werden. Neben der dauerhaften Broadcast-Verbindung kann die App Manipulationen der Statusleiste und des Dateisystems vornehmen.
Foto: Presse, Montage WirtschaftsWoche OnlineGtasks
Die To-do-Liste für das Smartphone "Gtasks" kann die Kalendereinträge lesen, auf das Internet zugreifen, Authentifizierungsinformationen verwenden, bekannte Konten suchen und konfigurierte Konten lesen. Für Unternehmen ein Sicherheitsrisiko.
Foto: Presse, Montage WirtschaftsWoche OnlineDie "kritischen" Apps - Kontaktdaten, Kalendereinträge, E-Mails, Surfverhalten, Dateien und Konten werden gelesen und unter Umständen übermittelt, nachdem die App um Erlaubnis gefragt hat.
Barcoo
Neben den "sehr kritischen" Apps wurden weitere Applikationen in der Analyse auch in die etwas seichtere Kategorie "kritisch" eingestuft. Diese gelten ebenfalls als unsicher. Dazu zählt auch "Barcoo". Der Barcodescanner fürs Smartphone kann es im schlimmsten Fall möglich machen, Bilder und Videos aufzunehmen, den genauen oder ungefähren Standort zu ermitteln und Kontaktdaten zu lesen. Auch der Browserverlauf wird einsehbar.
Foto: Presse, Montage WirtschaftsWoche OnlineEbay
Der größte Flohmarkt der Welt "Ebay" gilt ebenfalls als "kritisch" für Unternehmen. Die App kann Bilder und Videos aufnehmen, den genauen oder ungefähren Standort des Handys ermitteln und Inhalte der SD-Karte verändern.
Foto: Presse, Montage WirtschaftsWoche Onlinedict.cc
Ebenfalls Schwächen für den BYOD-Einsatz weist das Wörterbuch "dict.cc" auf. Es fordert den uneingeschränkten Zugang zum Netzwerk des Smartphones sowie Zugriff auf den SD-Karteninhalt, der sich ändern und sogar löschen lässt.
Foto: Presse, Montage WirtschaftsWoche OnlineDB Navigator
Auch die vielgenutzte App der Deutschen Bahn wird in die Kategorie "kritisch" eingestuft. Die App erhält die Erlaubnis, auf Kalendereinträge und Kontaktdaten zuzugreifen, E-Mails zu versenden und den SD-Karten-Inhalts zu verändern oder zu löschen.
Foto: Presse, Montage WirtschaftsWoche OnlineMega Jump
Den Telefonstatus lesen und identifizieren, den SD-Karteninhalt ändern oder löschen oder auch Zugriff auf das Netzwerk - die Spiele-App "Mega Jump" wurde im Ranking ebenfalls als kritisch eingestuft.
Foto: Presse, Montage WirtschaftsWoche OnlineRTL inside
Die App des Fernsehsenders RTL weist Sicherheitsrisiken für den BYOD-Einsatz auf. Sie erhält Zugriff auf den SD-Karteninhalt sowie uneingeschränkten Zugriff auf das Internet.
Foto: Presse, Montage WirtschaftsWoche OnlineHRS App
Die App "HRS" hilft bei der Hotelsuche. Die Applikation verschafft sich vom Benutzer die Berechtigung, Bilder und Videos aufzunehmen, Kontaktdaten zu lesen und zu verändern, sowie den genauen oder ungefähren Standort des Telefons zu ermitteln.
Foto: Presse, Montage WirtschaftsWoche OnlineBloomberg
Als "kritisch" wurde auch die App des Wirtschaftsnachrichtendienstes Bloomberg eingestuft. Der Netzwerkstatus kann gelesen werden und auch ein uneingeschränkter Zugriff ist möglich.
Foto: Presse, Montage WirtschaftsWoche OnlineDer Kurznachrichtendienst "Twitter" wird viel genutzt. Die App verschafft sich die Berechtigungen, Kontaktdaten einzusehen und neu anzulegen. Außerdem ist unter anderem die Suche nach bekannten Konten möglich.
Foto: Presse, Montage WirtschaftsWoche OnlineCamcard
Der Visitenkartenleser "Camcard" wird wegen der Möglichkeit, Telefonnummern direkt anzurufen, Videos aufzunehmen, vertrauliche Protokolle zu lesen als "kritisch" eingestuft.
Foto: Presse, Montage WirtschaftsWoche OnlineBump
Die App "Bump" hilft dabei Fotos vom Smartphone auf den Computer zu spielen. Als "kritisch" wird auch dieser Service bewertet. Der WLAN-Status kann geändert, Kontaktdaten gelesen und verändert, vertrauliche Protokolle und auch der genaue oder ungefähre Standort kann bestimmt werden.
Foto: Presse, Montage WirtschaftsWoche OnlineDie App der Foto-Community "Instagram" hat ebenfalls ihre Tücken. Sie gilt aufgrund der Berechtigungen, Bilder und Videos aufzunehmen, Kontaktdaten zu lesen und den genauen Standort zu ermitteln, als kritisch.
Foto: Presse, Montage WirtschaftsWoche OnlineSie haben einen kostenlosen E-Mail-Account bei web.de, gmx.de oder auch Google? Sie laden gerne Videos bei Youtube hoch und verwalten bei Picasa eine Bilddatenbank? Nahezu jeder Online-User nutzt heutzutage praktische Cloud-Lösungen, also einen gigantischen Speicherraum im Netz. Erschreckend ist dabei die Unwissenheit der Nutzer. Laut Erhebung wissen knapp zwei Drittel der Online-Nutzer gar nicht, dass sie die Dienste einer Cloud in Anspruch nehmen.
Vor dem Hintergrund des NSA-Skandals hat die Stiftung Warentest nun 13 Online-Speicherdienste auf ihre Sicherheit überprüft. Untersucht wurden sechs Anbieter aus den USA, fünf aus Deutschland, einer aus der Schweiz und einer aus Irland.
Das Ergebnis ist erschütternd. Keiner der Dienste schnitt gut ab. Verheerend unsicher sind laut Stiftung Warentest die amerikanischen Cloud-Lösungen, aber auch die deutschen Anbieter müssen aufholen. Keiner schnitt besser als mit der Endnote "befriedigend" ab. Die Konsequenz: Wer seine Daten vor Spionage- oder Hackerangriffen schützen will, muss sich selbst um die Verschlüsselung kümmern.
Wie sicher die eigenen Daten wirklich sind, hängt unter anderem vom Standort des Servers ab, auf denen Fotos, Dokumente und Co gespeichert und verarbeitet werden. Denn je nach Land unterscheiden sich die Rechtslage und damit auch das Datenschutzniveau. So sind die Anforderungen an den Anbieter im europäischen Raum deutlich höher als in den USA. Hier wird es Ermittlungsbehörden deutlich leichter gemacht, auf Daten von US-Servern zuzugreifen. Wem die Daten gehören, spielt dabei keine Rolle.
Die Besonderheit des Mobilfunkgerätes Sidekick war, dass Kalender- und Adressdaten nicht auf dem Gerät, sondern online gespeichert wurden und somit auch beim Verlust des mobilen Endgerätes nicht verloren gingen. Dass ihre eigenen Systeme selbst nicht ganz rund liefen, damit rechnete das Unternehmen nicht. Aufgrund eines Systemfehlers war der Dienst eine Woche lang nicht erreichbar. Am Ende mussten viele Nutzer feststellen, dass alle ihre persönlichen Daten verloren waren, besonders bei geschäftlicher Nutzung des Kalender- und Adressdienstes ein riesiges Problem.
Foto: PRGoogle Mail ist mittlerweile für einige Firmen schon zur lohnenden Alternative zu einem eigenen Mailserver geworden. Das erspart unter anderem lästige Wartungen. Mit Hilfe von Google Apps realisieren so immer mehr Unternehmen ihre Mail-Lösungen. Schlecht ist allerdings, dass sich die Daten so der eigenen Kontrolle entziehen und man sich in eine freiwillige Abhängigkeit begibt. Diese Abhängigkeit bekamen Nutzer im Jahr 2011 zu spüren. Betroffen waren zwar „nur“ 0,08 Prozent, doch in absoluten Zahlen fanden rund 150.000 Kunden ihre E-Mail-Postfächer leer vor. Zwar konnten die Daten wiederhergestellt werde, doch tagelang hatten die Nutzer keinen Zugriff auf ihre Mails, weder auf private noch geschäftliche.
Foto: ReutersNicht nur Google litt zeitweise unter einer Panne bei seinen Mailsystemen. Auch der zu Microsoft gehörende Dienst Hotmail hatte Ende 2010 große Probleme. Rund 17.000 Nutzer staunten nicht schlecht, als sie beim Einloggen feststellen mussten, dass ihre Benutzerkonten gelöscht wurden. Verursacht wurde dies durch ein internes Script von Microsoft, das eigentlich nur die Aufgabe hatte, automatisch zu testzwecken erstellte Account wieder zu löschen. Wegen eines Fehlers erwischte das Script allerdings 17.000 echte Benutzerkonten. Zwar konnte Microsoft innerhalb von 3 Tagen den Großteil der Konten wiederherstellen, doch mussten acht Prozent der Betroffenen drei weitere Tage warten.
Foto: LogoRichtig schmerzhaft wird es für Unternehmen, wenn nicht nur keine geschäftlichen Mails mehr ankommen, sondern wenn Kunden erst gar keine Möglichkeit mehr haben, zu bezahlen. Genau das ist geschehen, als das Online-Bezahlsystem Paypal im Sommer 2009 für einige Stunden ausfiel und Millionen von Händlern im Stich ließ, deren Kunden ihnen kein Geld überweisen konnten. Kunden von Paypal sind sowohl Privatpersonen, die Artikel zum Beispiel auf der Muttergesellschaft von Paypal, Ebay, verkaufen, als auch mittelständische und große Unternehmen.
Foto: dapdEine Stunde Ausfall klingt nicht lang. Doch für Kunden wie Symantec, Allianz, Burberry und Electronic Arts bedeutet eine Stunde Software-Ausfall den Verlust von tausenden Arbeitsstunden. Während dieser einen Stunde versagten die Server von Salesforce.com, einem großen Anbieter von Cloud-Services, komplett ihren Dienst. Zehntausende Firmen, die ihre Kundendienste über die Plattform von salesforce.com abwickelten, waren von diesem Ausfall betroffen.
Foto: LogoViele große und bekannte Dienste nutzen die Amazon-Cloud AWS. Entsprechend groß ist die Anzahl der von dem Ausfall vor wenigen Wochen betroffenen Anwendungen. Dazu zählte unter anderem der populäre Bilder-Dienst Instagram. Grund für diesen Ausfall waren massive Regenfälle, Stürme und Stromausfälle im US-Bundesstaat North Virginia. So ein Vorfall ist ziemlich lästig, schlimmer wird es aber, wenn Daten verloren gehen. Genau das ist im April ebenfalls Amazon passiert. Ein falsch durchgeführtes Update sorgte dafür, dass sich das System selber lahmlegte – für insgesamt vier Tage. Ein Teil der Daten war unwiederbringlich verloren.
Foto: AmazonDass Systemausfälle nicht nur für die Kunden schmerzhaft und teuer sind, sondern auch für die Anbieter, bekam Rackspace zu spüren. Insgesamt drei Millionen Dollar musste der Hosting-Anbieter an unzufriedene Kunden zahlen. Wegen insgesamt vier Ausfällen im Jahr 2009 waren Websites auch von prominenten Kunden wie Justin Timberlake nicht erreichbar. Rackspace selbst nannte die Vorfälle „schmerzhaft und sehr enttäuschend“. Auch andere Hosting-Anbieter wie der Ruby-on-Rails-Dienstleister Engine Yard setzen auf die Amazon-Server und sind bei jedem Ausfall ebenfalls betroffen.
Foto: Rackspace
Wer sich für einen Clouddienst entscheidet, sollte also überprüfen, wo der Server des Anbieters steht. Seriös ist dies jedoch nur sehr schwer möglich, da der Standort letztlich nur über das jeweilige Unternehmen selbst herauszubekommen ist. Auf die Anfrage der Stiftung Warentest haben nicht alle Unternehmen freizügig geantwortet. Google, Microsoft, Pro Softnet und SugarSync haben die Information nicht preisgegeben. Auch bei Apple zeigte man sich schweigsam. Anders als andere Cloud-Lösungen ist das Apple-Universum ein geschlossenes System, in dem nur die Kalendereinträge, Emails, Notizen und Dokumente gespeichert werden, die auch mit Apples Produkten erstellt wurden. Entsprechend hat die Stiftung Warentest die iCloud nicht mit in ihre Übersichtstabelle aufgenommen, das Angebot dennoch unter die Lupe genommen. Besonders kritisch finden die Experten, dass die Daten nicht auf der iCloud direkt gespeichert werden, sondern auf Amazon-Servern landen.
Auch wenn die Daten auf den Servern aller untersuchten Unternehmen verschlüsselt werden, ist dies nur eine Scheinsicherheit. Denn den Code zum Entschlüsseln besitzen die Unternehmen selbst. Der Schlüssel sorgt so nur für den sicheren Transport vom eigenen Rechner auf den Server. Von den überprüften Unternehmen kann lediglich das Schweizer Unternehmen LaCie Wuala die vom Nutzer hochgeladenen Daten nicht einsehen.
Das irische Unternehmen Mozy und die Deutsche Telekom glänzen immerhin mit verständlichen Datenschutzerklärungen und der Benennung eines Datenschutzbeauftragten. Allerdings ist Mozy ein überaus unkomfortabler Dienst. Der Upload von etwa 200 Fotos dauert fast elfeinhalb Stunden (auch abhängig von der eigenen Internetverbindung). Auch das Unternehmen Strato bemüht sich in diesem Bereich. Die 1&1-Töchter web.de und GMX aus Deutschland hingegen haben diesbezüglich keine Frage der Stiftung Warentest beantworten wollen.
Wer trotz der großen Sicherheitslücken auf die Cloud-Angebote nicht verzichten will, sollte sich zumindest klar machen, dass die eigenen Daten nicht sicher transportiert werden.