Experten sind kritisch: So unsicher ist Kim Dotcoms Mega
Aktualisiert

Experten sind kritischSo unsicher ist Kim Dotcoms Mega

Der neue Online-Speicherdienst des umtriebigen Internet-Tausendsassas hat laut Experten erhebliche Lücken. Die Verschlüsselung lasse sich knacken, lautet der happige Vorwurf.

von
Daniel Schurter

Mit viel Brimborium ist Kim Dotcoms Cloud-Speicherdienst Mega am Wochenende gestartet. Bereits sollen über eine Million Accounts registriert worden sein. Der MegaUpload-Nachfolger wirbt ja auch mit 50 Gigabyte kostenlosem Speicherplatz und der Verschlüsselung aller Daten.

Allerdings sind mittlerweile einige Zweifel laut geworden, was die Sicherheit der neuen Plattform betrifft. Ein britischer Computerexperte der Universität von Surrey kritisierte, dass die Verschlüsselung «weniger als ideal» sei. Er begründet dies mit der Tatsache, dass bei der Verschlüsselung JavaScript im Webbrowser eingesetzt wird. Dadurch könne sich jeder, der die SSL-Verschlüsselung auf der Mega-Plattform knacke, Zugang zu den privaten Schlüsseln der Nutzer verschaffen. Vor allem dem FBI seien solche Aktionen zuzutrauen.

Mega als Spammer-Tool

Eine andere Schwachstelle wurde von dem deutschen Sicherheitsexperten Heiko Frezel aufgegriffen und auch gleich mit einem eigenen Tool demonstriert. Im Visier steht der Registrierungs-Prozess auf der Mega-Website: Spammer und Phisher hätten damit «ein praktisches Werkzeug», um ihre ungeliebten und gefährlichen Nachrichten massenhaft weiterzuverbreiten.

Auch Schweizer Experte ist skeptisch

Der Schweizer Computer-Sicherheitsexperte Marc Ruef hatte schon Ende der 1990er-Jahre mit Kim Schmitz alias Kim Dotcom zu tun. Er sagt, er sei gar kein Fan des Internet-Tausendsassas. «Für mich bleibt er eine Person mit zwielichtigem Hintergrund.» Auch das Posieren von Dotcom als moderner Robin Hood im Rahmen des Niedergangs von MegaUpload habe er sehr befremdlich gefunden.

Diese Haltung hat Ruef schon im Juli 2012 in einem Blog-Beitrag geäussert. Und was hält er von der Mega-Plattform? «Meines Erachtens wird hier ein Hype um etwas gemacht, das nicht der Rede wert ist.»

Schlechtes Konzept - oder zu wenig geprüft

Was die Sicherheit der Mega-Plattform betrifft, äussert der ehemalige Hacker ebenfalls Bedenken. «Ich habe mitbekommen, dass im Dienst einige Scripting-Schwachstellen gefunden wurden. So etwas gehört sich heute nicht und zeugt von einem schlechten Konzept, einer schlechten Umsetzung sowie einer schlechten Prüfung.»

Zudem werde gemunkelt, dass es einen Designfehler im Schlüssel-Management von Dotcoms Cloud-Dienst gebe. «Angeblich kann Mega die geheimen Keys der Benutzer rekonstruieren, obwohl es ja genau die Idee war, dass sie das nicht können.» Um eine klare Aussage treffen zu können, müsste man aber die Implementierung genau anschauen.

Betreiber wehren sich

Grundsätzlich finde er die Ansätze des Mega-Dienstes interessant, sagt Ruef. Aber sie seien weder neu noch speziell ausgegoren - so fehlten etwa automatisierte Clients und Apps für mobile Geräte. «Den Dienst als hochsicher bezeichnen würde ich definitiv nicht.»

Die Mega-Betreiber haben bereits auf die im Internet geäusserte Kritik reagiert und nehmen in einem ausführlichen Beitrag im Firmenblog Stellung. Sie versprechen Besserung durch Software-Updates, weisen andere Sicherheitsbedenken aber als unrealistisch zurück. Was die SSL-Verschüsselung betrifft, heisst es: «Wenn man SSL knacken kann, kann man viele Dinge knacken, die sogar noch interessanter sind als MEGA.»

Wie halten Sie es grundsätzlich mit der Datensicherung? Nehmen Sie teil an unserer Umfrage!

Nichts verpassen

Das Ressort Digital ist auch auf Twitter vertreten. Folgen Sie uns und entdecken Sie neben unseren Tweets die interessantesten Tech-News anderer Websites.

Wie sichern Sie Ihre Daten?

Wie halten Sie es mit der Datensicherung? Alles in eine Cloud auslagern oder doch besser auf DVD brennen? Oder gehören Sie zu denjenigen, die ihrer Festplatte vollauf vertrauen? Nehmen Sie teil an der grossen Umfrage!

Deine Meinung