So unsicher ist Kim Dotcoms Mega

Mit viel Brimborium ist Kim Dotcoms Cloud-Speicherdienst Mega am Wochenende gestartet. Bereits sollen über eine Million Accounts registriert worden sein. Der MegaUpload-Nachfolger wirbt ja auch mit 50 Gigabyte kostenlosem Speicherplatz und der Verschlüsselung aller Daten.

Allerdings sind mittlerweile einige Zweifel laut geworden, was die Sicherheit der neuen Plattform betrifft. Ein britischer Computerexperte der Universität von Surrey kritisierte, dass die Verschlüsselung «weniger als ideal» sei. Er begründet dies mit der Tatsache, dass bei der Verschlüsselung JavaScript im Webbrowser eingesetzt wird. Dadurch könne sich jeder, der die SSL-Verschlüsselung auf der Mega-Plattform knacke, Zugang zu den privaten Schlüsseln der Nutzer verschaffen. Vor allem dem FBI seien solche Aktionen zuzutrauen.

Eine andere Schwachstelle wurde von dem deutschen Sicherheitsexperten Heiko Frezel aufgegriffen und auch gleich mit einem eigenen Tool demonstriert. Im Visier steht der Registrierungs-Prozess auf der Mega-Website: Spammer und Phisher hätten damit «ein praktisches Werkzeug», um ihre ungeliebten und gefährlichen Nachrichten massenhaft weiterzuverbreiten.

Der Schweizer Computer-Sicherheitsexperte Marc Ruef hatte schon Ende der 1990er-Jahre mit Kim Schmitz alias Kim Dotcom zu tun. Er sagt, er sei gar kein Fan des Internet-Tausendsassas. «Für mich bleibt er eine Person mit zwielichtigem Hintergrund.» Auch das Posieren von Dotcom als moderner Robin Hood im Rahmen des Niedergangs von MegaUpload habe er sehr befremdlich gefunden.

Diese Haltung hat Ruef schon im Juli 2012 in einem Blog-Beitrag geäussert. Und was hält er von der Mega-Plattform? «Meines Erachtens wird hier ein Hype um etwas gemacht, das nicht der Rede wert ist.»

Was die Sicherheit der Mega-Plattform betrifft, äussert der ehemalige Hacker ebenfalls Bedenken. «Ich habe mitbekommen, dass im Dienst einige Scripting-Schwachstellen gefunden wurden. So etwas gehört sich heute nicht und zeugt von einem schlechten Konzept, einer schlechten Umsetzung sowie einer schlechten Prüfung.»

Zudem werde gemunkelt, dass es einen Designfehler im Schlüssel-Management von Dotcoms Cloud-Dienst gebe. «Angeblich kann Mega die geheimen Keys der Benutzer rekonstruieren, obwohl es ja genau die Idee war, dass sie das nicht können.» Um eine klare Aussage treffen zu können, müsste man aber die Implementierung genau anschauen.

Grundsätzlich finde er die Ansätze des Mega-Dienstes interessant, sagt Ruef. Aber sie seien weder neu noch speziell ausgegoren - so fehlten etwa automatisierte Clients und Apps für mobile Geräte. «Den Dienst als hochsicher bezeichnen würde ich definitiv nicht.»

Die Mega-Betreiber haben bereits auf die im Internet geäusserte Kritik reagiert und nehmen in einem ausführlichen Beitrag im Firmenblog Stellung. Sie versprechen Besserung durch Software-Updates, weisen andere Sicherheitsbedenken aber als unrealistisch zurück. Was die SSL-Verschüsselung betrifft, heisst es: «Wenn man SSL knacken kann, kann man viele Dinge knacken, die sogar noch interessanter sind als MEGA.»