Experten sind kritisch

23. Januar 2013 16:18; Akt: 23.01.2013 16:59 Print

So unsicher ist Kim Dotcoms Mega

von Daniel Schurter - Der neue Online-Speicherdienst des umtriebigen Internet-Tausendsassas hat laut Experten erhebliche Lücken. Die Verschlüsselung lasse sich knacken, lautet der happige Vorwurf.

Bildstrecke im Grossformat »

Zum Thema
Fehler gesehen?

Mit viel Brimborium ist Kim Dotcoms Cloud-Speicherdienst Mega am Wochenende gestartet. Bereits sollen über eine Million Accounts registriert worden sein. Der MegaUpload-Nachfolger wirbt ja auch mit 50 Gigabyte kostenlosem Speicherplatz und der Verschlüsselung aller Daten.

Allerdings sind mittlerweile einige Zweifel laut geworden, was die Sicherheit der neuen Plattform betrifft. Ein britischer Computerexperte der Universität von Surrey kritisierte, dass die Verschlüsselung «weniger als ideal» sei. Er begründet dies mit der Tatsache, dass bei der Verschlüsselung JavaScript im Webbrowser eingesetzt wird. Dadurch könne sich jeder, der die SSL-Verschlüsselung auf der Mega-Plattform knacke, Zugang zu den privaten Schlüsseln der Nutzer verschaffen. Vor allem dem FBI seien solche Aktionen zuzutrauen.

Mega als Spammer-Tool

Eine andere Schwachstelle wurde von dem deutschen Sicherheitsexperten Heiko Frezel aufgegriffen und auch gleich mit einem eigenen Tool demonstriert. Im Visier steht der Registrierungs-Prozess auf der Mega-Website: Spammer und Phisher hätten damit «ein praktisches Werkzeug», um ihre ungeliebten und gefährlichen Nachrichten massenhaft weiterzuverbreiten.

Auch Schweizer Experte ist skeptisch

Der Schweizer Computer-Sicherheitsexperte Marc Ruef hatte schon Ende der 1990er-Jahre mit Kim Schmitz alias Kim Dotcom zu tun. Er sagt, er sei gar kein Fan des Internet-Tausendsassas. «Für mich bleibt er eine Person mit zwielichtigem Hintergrund.» Auch das Posieren von Dotcom als moderner Robin Hood im Rahmen des Niedergangs von MegaUpload habe er sehr befremdlich gefunden.

Diese Haltung hat Ruef schon im Juli 2012 in einem Blog-Beitrag geäussert. Und was hält er von der Mega-Plattform? «Meines Erachtens wird hier ein Hype um etwas gemacht, das nicht der Rede wert ist.»

Schlechtes Konzept - oder zu wenig geprüft

Was die Sicherheit der Mega-Plattform betrifft, äussert der ehemalige Hacker ebenfalls Bedenken. «Ich habe mitbekommen, dass im Dienst einige Scripting-Schwachstellen gefunden wurden. So etwas gehört sich heute nicht und zeugt von einem schlechten Konzept, einer schlechten Umsetzung sowie einer schlechten Prüfung.»

Zudem werde gemunkelt, dass es einen Designfehler im Schlüssel-Management von Dotcoms Cloud-Dienst gebe. «Angeblich kann Mega die geheimen Keys der Benutzer rekonstruieren, obwohl es ja genau die Idee war, dass sie das nicht können.» Um eine klare Aussage treffen zu können, müsste man aber die Implementierung genau anschauen.

Betreiber wehren sich

Grundsätzlich finde er die Ansätze des Mega-Dienstes interessant, sagt Ruef. Aber sie seien weder neu noch speziell ausgegoren - so fehlten etwa automatisierte Clients und Apps für mobile Geräte. «Den Dienst als hochsicher bezeichnen würde ich definitiv nicht.»

Die Mega-Betreiber haben bereits auf die im Internet geäusserte Kritik reagiert und nehmen in einem ausführlichen Beitrag im Firmenblog Stellung. Sie versprechen Besserung durch Software-Updates, weisen andere Sicherheitsbedenken aber als unrealistisch zurück. Was die SSL-Verschüsselung betrifft, heisst es: «Wenn man SSL knacken kann, kann man viele Dinge knacken, die sogar noch interessanter sind als MEGA.»


Wie halten Sie es grundsätzlich mit der Datensicherung? Nehmen Sie teil an unserer Umfrage!

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Ausgewählte Leser-Kommentare

Was man dem Kim lassen muss, ist dass er die Hinweise entgegen nimmt (und sogar auf twitter retweetet) und ein Challenge versprochen hat, um diese Probleme zu beseitigen. Das halte ich für vorzügliches Verhalten eines Unternehmens, wenn ihnen Probleme gezeigt werden! Leider klagen viele andere Unternehmen die Leute einfach an, die ihnen solche Probleme zeigen, anstatt dankbar zu sein. – Roberto Huber

Die beliebtesten Leser-Kommentare

  • irgend wer aus irgend wo oder irgend so? am 23.01.2013 19:11 Report Diesen Beitrag melden

    überlegen bitte..

    ganz erlich, ich frage mich schon was gewisse leute für probleme haben... vor 5 jahren konnte man noch jede firewall umkonfigurieren weil überall standard passwörter gesetzt waren. auf heim pcs konnte man ebenso einfach, da meist das ganze laufwerk einfahc freigeben war und dazumals noch kein smb bei den providern geblockt wurde. heute wird es als tragisch angesehen wenn man eventuell, mit viel glück irgend wann mal etwas entschlüsseln kann. Hallo?`Ich glaube kaum das irgend jemand so wichtige Daten auf eine Cloud lädt und wenn doch ist er eh selber schuld.

  • st ve am 23.01.2013 17:12 Report Diesen Beitrag melden

    filehoster

    es ist ja auch keien cloud wie dropbox und co.. es ist und bleibt ein filehoster..

    einklappen einklappen
  • Tinu am 23.01.2013 19:53 Report Diesen Beitrag melden

    Wie auch immer

    Client side Verschlüsselung über Javascript sagt noch nichts über die Sicherheit aus. Ich hab mir den Verschlüsselungsalgo zwar noch nicht genauer angesehen, aber rein theoretisch lässt sich das so ausreichend sicher implementieren. Heikle Daten würde ich aber so oder so vor dem Upload separat verschlüsseln.

Die neusten Leser-Kommentare

  • Roberto Huber am 23.01.2013 20:20 Report Diesen Beitrag melden

    Korrektes Verhalten

    Was man dem Kim lassen muss, ist dass er die Hinweise entgegen nimmt (und sogar auf twitter retweetet) und ein Challenge versprochen hat, um diese Probleme zu beseitigen. Das halte ich für vorzügliches Verhalten eines Unternehmens, wenn ihnen Probleme gezeigt werden! Leider klagen viele andere Unternehmen die Leute einfach an, die ihnen solche Probleme zeigen, anstatt dankbar zu sein.

  • Stefan Noser am 23.01.2013 20:06 Report Diesen Beitrag melden

    Realistisch bleiben: Was ist der Zweck?

    MEGA will weder geheime Firmendaten noch US-Raketenabschuss-Codes todsicher lagern. Es soll einfach Cloud-Speicher sein, bei dem die MAFIA nicht schon bei der Weltpremiere eines neuen Films auf Vorrat sämtliche Filehoster zum Löschen anschreiben kann. Da MEGA die Daten verschlüsselt ablegt, wissen sie nicht, was bei ihnen rumliegt. DAS ist der Punkt. Wie sicher das nun ist oder nicht ist zweitrangig. Wer seine Filme und Musik "todsicher" bunkern will, bewahrt sie bei sich zu Hause, im Banksafe und bei möglichst vielen Kollegen auf .-)

  • Tinu am 23.01.2013 19:53 Report Diesen Beitrag melden

    Wie auch immer

    Client side Verschlüsselung über Javascript sagt noch nichts über die Sicherheit aus. Ich hab mir den Verschlüsselungsalgo zwar noch nicht genauer angesehen, aber rein theoretisch lässt sich das so ausreichend sicher implementieren. Heikle Daten würde ich aber so oder so vor dem Upload separat verschlüsseln.

  • it expert am 23.01.2013 19:18 Report Diesen Beitrag melden

    security

    haha wer die verbindung von mega knack kann auch die e-banking oder bei einer internetzahlung die kreditkarte knacken^^ ist beides die selbe verschlüsselungstechnik (ssl)

  • irgend wer aus irgend wo oder irgend so? am 23.01.2013 19:11 Report Diesen Beitrag melden

    überlegen bitte..

    ganz erlich, ich frage mich schon was gewisse leute für probleme haben... vor 5 jahren konnte man noch jede firewall umkonfigurieren weil überall standard passwörter gesetzt waren. auf heim pcs konnte man ebenso einfach, da meist das ganze laufwerk einfahc freigeben war und dazumals noch kein smb bei den providern geblockt wurde. heute wird es als tragisch angesehen wenn man eventuell, mit viel glück irgend wann mal etwas entschlüsseln kann. Hallo?`Ich glaube kaum das irgend jemand so wichtige Daten auf eine Cloud lädt und wenn doch ist er eh selber schuld.