Aktuell: Online Backup Sicherheit
In der letzten C’t 12/08 wurden einige Online Backup Services getestet, u.a. Carbonite Online Backup, Online Backup24, Steady-Backup, iDrive, Bullguard und Mozy Home. (Test kann hier für 60 Cent herunter geladen werden) Die C’t-Redaktion hatte Online Backup Services im Besonderen bzgl. ihrer Sicherheit getestet, weil dies Grundlage für alle Online Backup Services ist.
Auf Heise wurde kurz vor der Veröffentlichung schon mit einem Artikel auf die desaströsen Ergebnisse hingewiesen.
Alle Online Backup Services versprachen Sicherheit wie beim Online-Banking. Alle Online Backup Dienste boten die Verschlüsselung von Daten und den verschlüsselten Versand dieser Daten auf Ihre sicheren Server. Leider patzen alle bis auf Mozy Home und Carbonite Online Backup entweder bei der sogenannten Man in den Middle Attacke, d.h. man versucht sich als der Online Backup Webserver auszugeben und so die Zugangsdaten auszulesen, oder dabei dass die Online Backup Software versuchte sich mit bekannten Passworten anzumelden…
[…] Im c’t-Test konnte sich ein externer Angreifer bei Online Backup 24 und Steady-Backup von NTT Europe sogar Zugang zu allen gesicherten Daten verschaffen, weil in der Standardeinstellung das Zugangspasswort auch zur Verschlüssselung der Daten benutzt wird. […]
[…] Bei iDrive war es mit der erlauschten Zugangskennung möglich, beispielsweise den Account mit den Backup-Daten zu löschen. Der BullGuard-Client übertrug zwar keine Klartextpasswörter, sondern nur Hashes, aber auch hier hätte der Angreifer eine Sitzung übernehmen und damit beispielsweise Dateien löschen können. […]
[…] Lediglich Carbonite und Mozy bemerkten das gefälschte Zertifikat, das ihnen der MITM-Angriff unterschieben wollte, und verweigerten die Verbindung zum Fake-Server. Doch nur Mozy lieferte brauchbare Informationen und warnte den Anwender auch tatsächlich vor einem möglichen Angriff. Carbonite meldete lediglich vage „Server wegen Wartungsarbeit unerreichbar“. […]
Wie Heise berichtet, hat Bullguard reagiert und seinen Online-Backup-Clienten gepatched. Einen Tag später kam auch NTT Europe seiner Verpflichtung nach und bot /bietet ein Sicherheits-Update seiner Online Backup Software an.
Was kann man aus diesem Test ableiten?
Wie die Entwicklung bei den Online Backup Services in Europa weiter geht ist ungewiss. Die US-Amerikaner haben zumindest ihre Hausaufgaben gemacht. Da man aber als Deutscher Anwender gerne einen deutschen Dienstleister seine kostbaren Daten anvertrauen will, der eine deutschsprachige Hotline hat und zu dem man im Zweifelsfalle hin fahren kann, so lässt ein vertrauenswürdiger, kostengünstiger und funktionaler Online Backup Dienst noch auf sich warten. Die weiteren europäischen Anbieter machen leider bisher bis auf Carbonite Online PC-Backup nicht viel Dampf. Mal sehen wie sich die Branche entwickelt.