Sicherheitsproblem bei WeTransfer: Dateien wurden zwei Tage lang an falsche Empfänger versendet

Die Sicherheitspanne

Haben Sie am 16. und 17. Juni Dateien über WeTransfer gesendet?

Wenn Ihre Antwort “ja” ist, sollten Sie umgehend in Ihrem Postfach nachschauen, ob auch bei Ihnen eine bedauerliche Nachricht von der Firma eingetroffen ist.

Letzen Freitag fing der populäre Filesharing-Service an, seine Nutzer zu informieren, dass sie einem “Sicherheitsvorfall” zum Opfer gefallen waren. Im Zuge des Vorfalls wurden geteilte Dateien zwei Tage lang an zufällig ausgewählte Fremde gesendet:

Neben der Benachrichtigung der betroffenen Kunden per E-Mail haben WeTransfer mittlerweile auch einen  Sicherheitshinweis auf ihrer Webseite veröffentlicht, in dem sie den Sicherheitsvorfall einräumen.

Was wir bisher über den Vorfall wissen:

• Dateien wurden zwischen dem 16. und 17. Juni an unbefugte Rezipienten verschickt; die Anzahl der Betroffenen ist immer noch unklar
• WeTransfer konnte bisher die Ursache des Vorfalls nicht identifizieren
• Mittlerweile wurden Nutzer aus ihrem Account ausgeloggt und aufgefordert, ihr Passwort zurückzusetzen
• Sie haben auch alle an dem Vorfall beteiligten Transfer-Links blockiert

Im Abschluss ihres Sicherheitshinweises versichern WeTransfer ihren Kunden Folgendes:

“Wir verstehen, wie wichtig die Daten unserer Kunden sind und ihr Vertrauen erachten wir nicht als selbstverständlich. Wir untersuchen die Reichweite und die Ursache des Vorfalls weiterhin und werden unsere Kunden auf dem Laufenden halten, sobald neue Informationen vorliegen.”

Bedauerlicherweise lässt WeTransfers kurze Meldung mehr Fragen offen als sie Antworten gibt. Um nur einige zu nennen: Wie viele Nutzer wurden von dem Vorfall betroffen und mit wie vielen Menschen wurden die Dateien geteilt? War es die Folge eines Bugs oder eher eines heimtückischen Angriffs?

Und vielleicht das Wichtigste: Welche Maßnahmen werden sie ergreifen, um künftig ähnlichen Unglücksfällen vorzubeugen?

Während wir die neuen Updates über den Vorfall abwarten, nehmen wir die aus dieser Sicherheitspanne entstandenen zentralen Erkenntnisse unter die Lupe, die sich prägnant mit einem einzigen Wort “Ende-zu-Ende-Verschlüsselung” zusammenfassen lassen.

Gewonnene Erkenntnisse

Was mit WeTransfer passiert ist, ist kein Einzelfall, sondern eher ein Designfehler, der bei gängigen Filesharing-Services immer wieder zu Datenschutzverstößen führt.

Um einige Beispiele zu nennen: In den letzten Jahren wurden 68 Millionen Dropbox-Passwörter von Hackern gestohlen. Als Folge falsch konfigurierter Box-Konten wurden die sensiblen Daten von Dutzenden von Unternehmen kompromittiert. Und 773 Millionen E-Mail-Adressen und Passwörter wurden im Zuge einer Datenpanne bei dem Datenaustauschservice MEGA offengelegt.

Wenn Sie auf der Suche nach sicheren Datenaustauschanbietern online sind, ist es deshalb empfehlenswert, dass Sie Ende-zu-Ende-Verschlüsselung gegenüber Verschlüsselung bei Ihrer Recherche den Vorzug geben, denn Letztere bietet allein keine vollständige Sicherheit für Ihre Dateien. Sie sollten dabei auch berücksichtigen, ob die Services zusätzliche Sicherheits-Features aufweisen, wie die Möglichkeit zur Passworterstellung oder zur Festlegung eines Ablaufdatums. Denn nur so können Sie die bestmögliche Kontrolle über Ihre Dateien erhalten.

Es gibt einen weiteren Faktor, den Sie während Ihrer Evaluierung abwägen sollten. Wie bereits erwähnt wollen wir hier nochmals unterstreichen, dass es ein großer Unterschied besteht zwischen Unternehmen, die Sicherheitsfunktionen als eine nachträgliche Ergänzung an ein vorhandenes Produkt einfach “anhängen” und denen, die den Schutz Ihrer Daten von Anfang an als höchste Priorität betrachten.

Die rein gewinnorientierten Filesharing-Services bieten nicht das gleiche Sicherheitslevel wie die auf Privatsphäre fokussierten Dienstleister wie beispielsweise Tresorit Send. Wie setzen wir diesen Ansatz um? Lesen Sie weiter, um mehr zu erfahren.

Wie heben wir uns vom Wettbewerb ab?

Wir benutzen patentierte Zero-Knowledge-, Ende-zu-Ende-Verschlüsselung, um sicherzustellen, dass Ihre Dateien vom Punkt A zum Punkt B sicher gelangen.

Tresorit verschlüsselt alle Dateien und relevante Metadaten auf Ihren Geräten mit einzigartigen, zufällig generierten Verschlüsselungscodes. Diese Codes werden nie unverschlüsselt auf unseren Servern abgelegt. Das heißt, nur Sie und die Personen, mit denen Sie die Dateien teilen, können auf diese zugreifen. Niemand, nicht einmal Hacker – falls es ihnen gelingen würde, in unser System einzubrechen – könnte Ihre Dateien in lesbarer Form herunterladen.

Und im Gegensatz zu anderen Diensten speichert Tresorit Daten, Verschlüsselungscodes und Passwörter niemals in unverschlüsselter oder “ungehashter” Form. Wenn Sie zum Beispiel einen Link über Tresorit Send verschicken, findet die Verschlüsselung in Ihrem Browser und nicht auf unserem Server statt. Als Konsequenz können wir den Link nicht einsehen und daher sind wir nicht in der Lage, diesen zu teilen oder an falsche Empfänger zu versenden, wie es versehentlich bei WeTransfer geschehen sein soll.

Darauf weist das Zero-Knowledge-Prinzip in unserem Ansatz hin: Niemand außer Ihnen und den Personen, denen Sie Zugriff erteilen, kann Ihre Dokumente einsehen, nicht einmal Tresorit. Für mehr Sicherheit können Sie Passwörter und Aktivitätsprotokolle für geteilte Links erstellen – all das empfehlen wir ausdrücklich, damit Sie ein grundlegendes Sicherheitsniveau gewährleisten können.

Wenn Sie nach einer hochsicheren Lösung für Online-Datentransfer suchen, sind Sie hier an der richtigen Stelle. Profitieren Sie kostenlos von den Nutzen der Ende-zu-Ende-Verschlüsselung mit Tresorit Send (bis zu 5GB). Und für weitere leistungsstarke Content-Collaboration-Funktionen werfen Sie doch einmal einen Blick auf Tresorit für Privatnutzer oder Tresorit für Business.

Sie sind auch Opfer der letzten Datenpanne geworden? Teilen Sie diesen Post auf Facebook, LinkedIn und Twitter und helfen Sie uns dabei, das allgemeine Bewusstsein für Sicherheitsrisiken zu schärfen.