Teamspace: Erfahrungen und Fragen zur Sicherheit

[batrick]

Hallo,

ich habe mich seit ein paar Tagen mit Teamspace 2.0 beschäftigt, mit dem Ziel zu prüfen ob es für meine Arbeitsgruppe als Tool in Frage kommt. Zum Hintergrund: wir sind eine Gruppe von 8 Nutzern, die mit OpenOffice arbeiten und zur Zeit unsere Dateien - mit BitKinex - auf einen gemeinsamen WebDav Server hochladen. Jeder Benutzer hat einen Account auf dem WebDav Server, Versionierung und andere USPs von Teamdrive stehen natürlich nicht zur Verfügung.

Meine ersten Eindrücke von der Benutzung sind sehr positiv. Das Interface ist übersichtlich gemacht, die Performance ist gut - der Rechner wird nicht verlangsamt, und Änderungen werden schnell mit dem Server synchronisert. Die History Funktion im linken Tab hat sich als nützliches Feature erwiesen ganz unabhängig von Teamdrive, zum Beispiel um Abend schnell eine Datei zu finden die man morgens bearbeitet hat. Stellenweise ist die Bedienung noch eigenwillig - wenn ich eine Datei doppelklicke, erwarte ich, dass sie sich öffnet - aber allgemein gefällt mir die Usability.

Meine Fragen beziehen sich auf die Sicherheit des Systems. Leider unterstützt die aktuelle Version keine WebDav-Verbindungen über HTTPS. Das macht für unser Team sofort die Nutzung unmöglich, da wir mit sicherheitsrelevanten Daten arbeiten und unsere IT-Policy vorschreibt, nur Netzwerkprotokolle mit starker Verschlüsselung zum Datenaustausch einzusetzen. Auch wenn Teamdrive noch ein eigenes, starkes Verschlüsselungsverfahren im Hintergrund einsetzt - wir dürfen diese Lösung so nicht benutzen. Ich denke, dass viele andere mögliche Geschäftskunden aus diesem Grund Teamdrive ebenfalls nicht benutzen können. Als Workaround konnte ich erfolgreich eine verschlüsselte Verbindung über einen SSH Tunnel aufbauen; das ist aber keine Lösung für nicht-technische Benutzer.

Interessehalber: Unterstützt TeamDrive HTTP Digest Authentication? So könnte zumindest eine Übertragung der Passwörter im Quasi-Klartext verhindert werden.

Teamdrive verschlüsselt gespeicherte Daten mit einem starken Algorithmus, aber es ist nicht klar welcher Schlüssel verwendet wird. Kann ich den (privaten) Schlüssel irgendwo auslesen und sichern? Wichtig für den Unternehmenseinsatz ist, dass man diese Verschlüsselung deaktivieren kann. In vielen Unternehmen gibt es bereits Policies zur Datenverschlüsselung, die u.A. Interoperabilität zwischen Applikationen berücksichtigen; die Teamdrive-Daten können scheinbar nicht ohne die Applikation entschlüsselt werden, was viele Probleme - nicht nur beim Backup - verursacht.

Weiterhin wurde mir ein "Access Key" erstellt, den ich an andere Nutzer als "sicheren Ersatz" für einen WebDav Account schicken soll. Ich habe dieses Feature nicht ausprobiert, doch wenn ich es richtig verstehe handelt es sich hier um verschlüsselte Zugangsdaten zu dem WebDav Server, die ein anderer Teamdrive Client entschlüsseln kann um sich so mit dem Drive zu verbinden.

Wenn das der Fall ist, möchte ich darauf hinweisen dass dieses Feature keineswegs sicher ist. Der Access Key muss entschlüsselbar sein, damit der entfernte Client eine Verbindung zum Server herstellen kann. Durch Code-Analyse könnte man den Algorithmus knacken und so von dem Access Key zurück auf das Passwort kommen. Es geht aber auch einfacher: man benutzt als Proxy ein Tool, das Verbindungsdaten im Klartext anzeigt. So bekommt man direkt den Authentication-Header angezeigt und kann binnen Sekunden das Passwort entschlüsseln. Wer es ausprobieren möchte - Fiddler von Microsoft (http://www.fiddlertool.com/) ist ein kostenloses Tool für diesen Zweck. Mein eigenes WebDav Passwort konnte ich so übrigens sofort ausspähen.

Ich möchte erstmal zu dem vielversprechenden Programm gratulieren, das gerade für Endnutzer sehr komfortabel zu bedienen ist und eine echte Marktlücke füllen könnte. Konkurrenzsysteme - Sharepoint von Microsoft, Novell's Teaming oder die Open Source Lösung Alfresco - haben alle ernsthafte Probleme: sie lassen sich nicht gut in die bestehende IT Infrastruktur des Unternehmens integrieren, sind langsam oder basieren auf veralteten, unsicheren Protokollen wie SMB. Teamdrive könnte diese Lücke sehr gut füllen, wenn es sich auf die Kernanforderung - Synchronisierung mit automatischer Versionierung - konzentriert und mit bestehenden Lösungen für Benutzerauthentifizierung und -authorisierung und Backup kooperiert.

Zusammenfassend, meine Wunschliste:
- HTTPS Support für WebDav
- Verschlüsselung deaktivierbar

Besten Dank und weiterhin viel Erfolg!

Batrick

[volkeroboda]

Hallo Batrick,

vielen Dank für die Schilderung der positiven Erfahrungen mit TeamDrive. Neben der kostenfreien WebDAV Lösung bietet TeamDrive einen kostenpflichtigen sicheren (mit dem Datenschutzgütesiegel des ULD ausgezeichenten) TeamDrive Http Server an.

Hier ein Auszug aus dem Gutachten:

Der Datenfluss des Produktes „TeamDrive“ beruht entscheidend auf dem
verschlüsselten Datenaustausch. Dieser lässt sich grundsätzlich in drei Schritte unterteilen:
Im ersten Schritt ruft die PrimeSharing TeamDrive Client Software den PublicKey des
relevanten Client PC´s welcher in einen SharedSpace (Team Space) eingeladen werden soll
von dem Registrierungs-Server ab, der vom Produkthersteller betrieben wird.
Anschließend wird der relevante „Daten-Schlüssel“, der für den Zugriff auf den gemeinsamen
SharedSpace benötigt wird, vom Client PC mit dem PublicKey des einzuladenden
Teamitgliedes verschlüsselt und über den Registrierungs-Server an den entsprechenden Client
PC des neuen Teammitgliedes übermittelt.
Im letzten Schritt werden alle Daten mit dem jeweiligen „Daten-Schlüssel“ verschlüsselt
bevor sie einen Client PC verlassen. Die Daten werden in verschlüsselter Form auf einem sog.
„RelayServer“(TeamDrive Http Server) zwischengespeichert und können von den autorisierten Team-Mitgliedern
abgerufen werden. Nur die persönlich eingeladenen Team-Mitglieder
verfügen über den jeweiligen „Daten-Schlüssel“ zur Entschlüsselung der Daten. Der
„RelayServer“ sorgt ebenfalls dafür, dass der Datenbestand auf dem Client PC immer aktuell
ist.

Beschreibung, wie das IT-Produkt den Datenschutz fördert
Der Hersteller hat ein umfangreiches und praktikables Konzept zum sicheren Austausch von
Dateien innerhalb von geschlossenen Benutzergruppen entwickelt und dieses konsequent
umgesetzt. Wo immer Datenverschlüsselungen in der IT-Welt auftauchen, stellt sich
zwangsläufig die Frage nach dem Schlüsselmanagement. Genau dieses ist die große Stärke
des Produktes. So ist kein Schlüssel für Dritte oder Unberechtigte einsehbar und selbst im
Falle von „Man in the middle“ Attacken, bei der zu übermittelnde Schlüssel evtl. abgefangen
werden, hat der Angreifer wiederum nur ein verschlüsseltes Datum in der Hand. Aus Sicht der
Sachverständigen wurde hier eine vorbildliche Lösung geschaffen.

Weiterhin wird dem Thema „Datenvermeidung und Datensparsamkeit“ insbesondere bei der
Registrierung der Benutzer in vorbildlicher Art und Weise Rechnung getragen, da hier
wirklich nur ein Minimum an personenbezogenen Daten verarbeitet wird.

Das Kurzgutachten zum Datenschutzgütesiegel kann von unserer Webseite heruntergeladen werden. Wir haben für TeamDrive das Europäische Datenschutzgütesiegel beantragt.

Des weiteren planen wir kurzfristig auch für WebDAV HTTPS zu unterstützen.

Die Verschlüsselung ist eine der Stärken von TeamDrive, es ist nicht vorgesehen auf die Verschlüsselung zu verzichten.

Sollten Sie weitere Fragen zum TeamDrive Http Server haben und/oder die kostenpflichtige Lösung von TeamDrive nutzen wollen, können Sie sich gerne mit mir in Verbindung setzen.

Gruß

Volker Oboda
E-Mail: volker.oboda at teamdrive.net