Wuala wehrt sich«Auch Einbrecher können die Daten nicht lesen»
Der Schweizer Cloud-Dienst Wuala steht wegen Sicherheitsmängeln in der Kritik. Im Interview erklärt Firmengründer Luzius Meisser, warum er keine Angst vor Datendieben hat.
Herr Meisser, die Konkurrenz bei den Online-Speicherdiensten ist riesig. Was hebt Wuala ab?
Luzius Meisser: Unser wichtigster Trumpf ist die Verschlüsselung. Im Gegensatz zu den meisten anderen Cloud-Diensten verschlüsseln wir die Daten, bevor sie den Computer verlassen.
Warum ist das wichtig?
Das bedeutet, dass selbst wir als Betreiber die Daten unserer Kunden nicht lesen können. Diese Art der Sicherheit wird sehr geschätzt, weil damit viele mögliche Angriffe kategorisch ausgeschlossen werden.
Dass ein Mitarbeiter vertrauliche Kundendaten an ein Detektivbüro verkauft, wie bei Sunrise, Orange und Swisscom geschehen, ist bei Ihnen nicht möglich?
Genau. Diese Art von Sicherheitsproblem kann ausgeschlossen werden. Während sich zum Beispiel bei Gmail ein eifersüchtiger Programmierer heimlich Zugang zu den Daten seiner Freundin verschaffen könnte, sehen wir und unsere Mitarbeiter nur verschlüsselte Dateien. Auch können wir keine Daten an die NSA oder andere neugierige Behörden weitergeben.
Wie arbeitet Wuala mit staatlichen Stellen zusammen?
Wie gesagt: Aufgrund unserer Verschlüsselung können wir keine Dateien entschlüsseln, auch nicht für Ermittlungsbehörden. Unter Umständen könnten wir aber verpflichtet werden, die Daten herauszugeben, die wir haben - zum Beispiel die Mail-Adresse des Benutzers, wie viel Speicher er belegt hat oder wann er sich mit welcher Internet-Adresse (IP) zuletzt eingeloggt hat.
Können auch wertvollste Geschäftsgeheimnisse bedenkenlos bei Wuala gespeichert werden?
Ja. Vorausgesetzt, man hat ein sicheres Passwort gewählt. Dank der Verschlüsselung kann selbst ein Dieb, der in ein Rechenzentrum einbricht, und sich physischen Zugang zu unseren Servern verschafft, die gespeicherten Dateien nicht lesen. Das heisst aber auch, dass man nie mehr an seine Daten herankommt, wenn man sein Passwort vergisst. Wir empfehlen, wichtige Daten stets an mehr als einem Ort zu speichern. Man sollte sich niemals vollständig auf einen einzigen Speicher verlassen.
Wuala und andere Cloud-Speicherdienste wurden kürzlich wegen Sicherheitsmängeln kritisiert. Was halten Sie von der Studie des Fraunhofer-Instituts?
Nicht besonders viel. Die meisten Kritikpunkte beziehen sich auf Abwägungen zwischen Sicherheit und Benutzerfreundlichkeit. Zum Beispiel haben wir uns bewusst dagegen entschieden, die E-Mail-Adresse unserer Benutzer zu verifizieren, um den Registrierungsprozess nicht unnötig zu verlängern. Die Studie versäumt es, eine korrekte Gewichtung dieser Kriterien zu vermitteln. Ein Laie erhält so den Eindruck, alle getesteten Cloud-Speicher seien unsicher. Auch anzumerken ist, dass der Studienleiter selbst einen sicheren Cloud-Speicherdienst verkauft, und von daher möglicherweise befangen war.
Was wird Wuala in Bezug auf die Studie konkret verbessern?
Wir werden ab dem nächsten Update die Stärke des gewählten Passworts anzeigen. So erhält der Benutzer einen Hinweis, wenn das gewählte Passwort unsicher ist. Wir haben auf unserem Firmen-Blog auch gefragt, ob wir in Zukunft Mail-Adressen verifizieren sollen. Hier sind die Benutzer unterschiedlicher Meinung, und wir haben noch keine Entscheidung gefällt. Des Weiteren überlegen wir uns, auf offene Standards zu setzen, so dass die Sicherheit von Wuala leichter von Dritten überprüft werden kann.
Wuala verwendet kein Standard-Protokoll zur Datenübertragung, sondern eine Eigenentwicklung. Warum?
Für unsere client-seitige Verschlüsselung gibt es keinen Standard. Wenn man die Daten schon vor dem Hochladen verschlüsselt, bringt eine zusätzliche Verschlüsselung der Verbindung wenig zusätzliche Sicherheit. Und der Computer hat doppelte Arbeit, da er zweimal verschlüsseln muss. Wir setzen verschlüsselte Verbindungen daher nur punktuell ein, wo es Sinn macht, zum Beispiel bei der Registrierung.
Wieso legen Sie den Programmcode nicht offen?
Wenn wir unseren Source Code offenlegen würden, wären wir sehr einfach kopierbar. Ein Konkurrent könnte dann zum Beispiel einzelne Features von uns abschreiben, was leider sehr schwierig nachzuweisen ist, wenn der Konkurrent nicht auch Open Source verwendet. Was aber Sinn machen könnte, wäre, die Grundbausteine unserer Verschlüsselung genauer zu dokumentieren und gegebenenfalls auch den Source Code dazu offenzulegen.
Wo stehen die Wuala-Server?
In Zürich, Falkenstein (Deutschland), Nürnberg (Deutschland) und Roubaix (Frankreich). Wir legen Wert darauf, dass sämtliche Daten in Europa gespeichert sind. Ein paar wenige kritische Server stehen in Zürich und gehören uns selbst. Die grosse Mehrheit haben wir gemietet, so dass wir die Hardware nicht selbst betreuen müssen.
Erst kürzlich gab es Performance-Probleme, Wuala funktionierte sehr langsam oder gar nicht.
Am letzten Freitag sind temporäre Netzwerkprobleme in unserem Rechenzentrum in Zürich aufgetreten. Normalerweise stabilisiert sich das Netzwerk nach solchen Problemen rasch wieder. Aufgrund eines Fehlers unsererseits ist aber genau das Gegenteil passiert: Die Netzwerkstörung hat zu einer Flut von Verbindungen geführt und das System überlastet.
Wie gross ist das Problem des illegalen Filesharings bei Wuala?
Früher hatte Wuala noch einen öffentlichen «World»-Bereich, in dem wild Dateien aller Art ausgetauscht wurden. Nachdem wir diesen Bereich geschlossen hatten, sind kaum mehr Probleme aufgetreten. Wuala ist wenig attraktiv für Piraten, da bei uns der Uploader für den Speicherplatz aufkommen muss und man nur mit Registrierung Dateien hochladen kann. Plattformen, die kostenlose und anonyme Uploads anbieten, sind da viel stärker betroffen.
Schweizer Innovation
Wuala bezeichnet sich selbst als Schweizer Taschenmesser unter den Cloud-Diensten. Der Online-Speicher ist ein Spinoff der ETH Zürich. 2009 wurde die Firma vom Festplattenhersteller LaCie übernommen. Der Grossteil des Umsatzes wird mit Firmenkunden (mehrheitlich KMU) erzielt. Nutzerzahlen gibt das Unternehmen nicht bekannt, auf den Servern seien mehrere Milliarden Dateien gespeichert, insgesamt gegen drei Petabyte.
Das Entwicklungs-Team von Wuala befindet sich in Zürich und umfasst 16 Mitarbeiter. Im Hauptquartier von LaCie, in Paris, gibt es einzelne weitere Mitarbeiter, die sich von der Marketingseite her mit Wuala beschäftigen. «Gleichzeitig helfen wir auch bei der Entwicklung von Komponenten für andere LaCie-Produkte mit», sagt Wuala-Gründer Luzius Meisser. Als Beispiel nennt er das «PrivatePublic»-Tool, das auf TrueCrypt basiert und mit dem man USB-Sticks verschlüsseln kann. Das Unternehmen habe ein paar vielversprechende Kombinationen von Wuala mit LaCie-Produkten in der Pipeline, sagt Meisser. Mehr dürfe er zur Zeit nicht sagen.
(dsc)
