[datensicherheit.de, 05.07.2012] Bequem, aber riskant: Laut der aktuellen Umfrage „SMB File Sharing Survey 2012“ von Symantec laden immer mehr Mitarbeiter in kleinen und mittelständischen Unternehmen (KMU) ihre Daten auf Online-Speicherdiensten hoch. Dabei nutzen sie meist File-Sharing-Dienste, die ausschließlich für den Privatgebrauch gedacht sind – jenseits jeglicher Kontrollen und Schutzmaßnahmen der IT-Abteilung. Damit wächst die Gefahr, dass Informationen in falsche Hände gelangen.
Kleine und mittelgroße Firmen stehen Cloud-Computing-Technologien häufig offen gegenüber. Dazu zählen auch Online-Speicher- und File-Sharing-Dienste. Angestellte greifen jedoch gerne auf solche Angebote zurück, die für den Einsatz in Unternehmen ungeeignet sind. Denn mangelhafte Sicherheitsvorkehrungen bieten Kriminellen dort leichtes Spiel. Firmen sollten gewarnt sein: 71 Prozent der KMU, die von einem Cyber-Angriff betroffen waren, haben sich davon nie wieder erholen können. An der Studie „SMB File Sharing Survey 2012“ von Symantec nahmen weltweit Entscheidungsträger aus insgesamt 1.325 KMU (fünf bis 500 Mitarbeiter) teil.

Die wichtigsten Studienergebnisse im Überblick:

• Mitarbeiter nehmen großen Einfluss auf die Nutzung von File-Sharing-Diensten: Verantwortliche in KMU haben erkannt, dass Mitarbeiter dankFile-Sharing produktiver arbeiten. So gaben 74 Prozent der Studienteilnehmer an, File-Sharing-Dienste zu nutzen, weil dadurch deren Produktivität massiv steigt. Eine Auffassung, die ansteckt: Rund 61 Prozent der Befragten sind der Meinung, dass Angestellte ihre Kollegen zum Teil sehr stark beeinflussen, wenn es darum geht, derartige Lösungen zu adaptieren – ähnlich wie bei der Nutzung von mobilen Geräten (63 Prozent), PC, Laptops oder Tablet-PCs (64 Prozent) und Social-Media-Kanälen (53 Prozent).
• Datenverlust und Sicherheitslecks sind die größten Risiken beim File-Sharing: Zahlreiche Studienteilnehmer sind sich der Gefahren dieser Dienste bewusst. Sorgen bereiteten den Befragten neben der Nutzung unautorisierter Lösungen (44 Prozent) auch Schadsoftware (44 Prozent), der Verlust vertraulicher Informationen (43 Prozent), unbefugter Zugriff auf sensible Daten (41 Prozent), Ruf- und Imageschäden (37 Prozent) und der Verstoß gegen interne Richtlinien (34 Prozent). Viele meinen, das Risiko steigt mangels klarer Regelung: So gab mehr als ein Fünftel (22 Prozent) an, dass sie keine Leitfäden entwickelt haben, wie Angestellte auf Daten zugreifen und diese mit anderen teilen dürfen.
• File-Sharing-Dienste machen KMU verwundbar: Das Verhalten der Mitarbeiter kann die Sicherheitslage verschlechtern. Gefragt, was sie tun, wenn sie eine Datei mit jemandem austauschen wollen, sagte die Hälfte der Umfrageteilnehmer, dass sie ihre IT-Abteilung um Hilfe bitten (51 Prozent). 42 Prozent verlassen sich auf die Empfehlungen von Kunden, Partnern oder Lieferanten, 33 Prozent greifen auf das vorhandene IT-System zurück, aber 27 Prozent setzen kostenfreie File-Sharing-Lösungen ein, die sie zuvor selbst online recherchierten.
• Dateien werden immer größer: Das Volumen intern und extern ausgetauschter Dateien nimmt zu. Vor drei Jahren gaben nur sechs Prozent der Befragten an, dass eine Datei durchschnittlich mehr als ein Gigabyte umfasst. Heute beziffert einer von sieben Befragten (14 Prozent) die aktuelle Durchschnittsgröße auf mehr als ein Gigabyte.
• Mitarbeiter arbeiten immer dezentraler: Viele Studienteilnehmer meinten, dass die Zahl der Angestellten, die von unterwegs oder von zu Hause aus arbeiten, in den vergangenen drei Jahren zunahm. Tendenz steigend: Die Befragten vermuten, dass in einem Jahr ungefähr 37 Prozent aller KMU ihre Mitarbeiter mobil einsetzen. Vor drei Jahren waren es 22 Prozent, heute sind es 32 Prozent. Die Befragten schätzen, dass circa 32 Prozent der Angestellten von zu Hause aus tätig sein werden. Vor drei Jahren waren es noch 20 Prozent, aktuell sind es 28 Prozent.

[datensicherheit.de, 25.06.2012] Sicherheitsexperten des Darmstädter Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) haben festgestellt, dass mehrere Cloud-Speicherdienste bei der Registrierung nicht die angegebene Email-Adresse überprüfen. In Kombination mit Funktionen der Cloud-Speicherdienste wie z.B. File Sharing oder integrierten Benachrichtigungsfunktionen ergeben sich dadurch verschiedene Angriffsmöglichkeiten. So können Angreifer unter falschem Namen etwa Malware in Umlauf bringen oder vertrauliche Daten ausspionieren. Als einer der Träger des Center for Advanced Security Research Darmstadt (CASED) hat Fraunhofer SIT verschiedene Cloud-Speicherdienste untersucht. Dabei fanden die Tester die gleiche Schwachstelle in den kostenfreien Dienstangeboten von CloudMe, Dropbox, HiDrive, IDrive, SugarSync, Syncplicity und Wuala. Eine Beschreibung der möglichen Angriffe und Bedrohungen stellen Mitarbeiter des Fraunhofer SIT am 26. Juni 2012 in Liverpool auf der 11. International Conference on Trust, Security and Privacy in Computing and Communications (IEEE TrustCom) vor.
Um die Schwachstelle auszunutzen, brauchen Angreifer keinerlei Programmierkenntnisse. Es genügt, ein Konto zu erstellen und dabei eine fremde Email-Adresse zu verwenden. Anschließend kann der Angreifer unter falschem Namen Schadsoftware verteilen. Bei den Diensten Dropbox, IDrive, SugarSync, Syncplicity und Wuala können Angreifer arglose Computernutzer mit Hilfe der fremden Identität sogar ausspionieren, indem sie sie dazu bringen, vertrauliche Daten für einen gemeinsamen Zugriff in die Cloud zu laden.
Fraunhofer SIT hat die betroffenen Anbieter bereits vor mehreren Monaten informiert. Obwohl die Schwachstelle mit sehr einfachen und bekannten Methoden wie etwa der Versendung einer Email mit Aktivierungslink geschlossen werden kann, gibt es immer noch Anbieter, die keinen Handlungsbedarf sehen. Dr. Markus Schneider, stellvertretender Institutsleiter des Fraunhofer SIT: „Nach unserem Hinweis haben inzwischen Dropbox, HiDrive, SugarSync, Syncplicity und Wuala reagiert.“ Einige dieser Anbieter verwenden zur Vermeidung der Schwachstelle nun die seit langem bekannte Bestätigungsemail, andere setzen Mechanismen ein. “Aus unserer Sicht ist es wichtig, die Verbraucher auf das bestehende Problem hinzuweisen“, so Schneider. „Leider kann man sich nicht vollständig gegen alle Angriffe schützen, selbst wenn man die betroffenen Dienste meidet. Deshalb ist es wünschenswert, dass die Anbieter der Cloud-Speicherdienste die Schwachstelle beseitigen, da dadurch Verbraucher besser geschützt wären.“

Verbraucher, die die betroffenen Dienste nutzen, sollten vorsichtig sein. Wer eine Aufforderung bekommt, Daten aus der Cloud herunter oder in die Cloud zu laden, sollte per Email beim vermeintlichen Absender nachfragen, ob die Aufforderung wirklich von ihm stammt.