Privacy oder Piracy?

Kim Dotcom startet seinen neuen Filehosting-Dienst „Mega“

Trends & News | News

Er kann es nicht lassen: Kim Dotcom hat den nächsten Anlauf gestartet, die Online-Welt mit einer Dateitauschplattform zu beglücken und damit selbst viel Geld zu verdienen. Angeblich will er mit Verschlüsselung die Privatsphäre der Nutzer schützen. Den Nachweis dafür erbringt er nicht.

Alles sicher? Mega verspricht Privatsphäre, bleibt aber den Beweis einer zuverlässigen Verschlüsselung schuldig.

Kim „Kimble“ Dotcoms neues Projekt heißt schlicht „Mega“, er hat es mit seinen alten Partnern aus Megaupload-Zeiten realisiert. „Mega“ steht Dotcom zufolge für „MEGA Encrypted Global Access“, ist nach eigener Darstellung ein „Cloudstorage Provider“ und nennt sich auch gerne „The Privacy Company“. In einschlägigen Security-Foren laufen zurzeit heftige Debatten darüber, ob sich Kim Dotcom hier selbst vom Bock zum Gärtner macht, indem er sich den Anstrich eines seriösen Cloud-Hosters gibt.

Zu Cloud-Speichern wie Google Drive, Microsofts Skydrive oder Dropbox weist Mega erhebliche Unterschiede auf. Während all diese Anbieter nicht mehr als 10 GByte kostenlosen Speicherplatz anbieten, klotzt Mega mit 50 GByte. Und für knapp 10 Euro pro Monat gibts sogar 500 GByte.

Mega verspricht, dass die Daten der Nutzer allesamt vor dem Upload verschlüsselt werden. Weil die Verschlüsselung beim Nutzer geschehe, habe Mega keine Möglichkeit, die Inhalte einzusehen. Dennoch können die Nutzer bequem Download-Links zu Dateien oder ganzen Verzeichnissen von Mega erstellen. Diese Links lassen sich dann verbreiten. Das und der extrem großzügig bemessene Speicher deuten darauf hin, dass Mega keineswegs ein Datentresor werden soll, sondern eine Dateiverbreitungsmaschine wie vormals Megaupload.

Dubiose Verschlüsselung

Zur Verschlüsselungsmethode finden sich auf der Plattform nur wenige Informationen. Vieles bleibt im Dunkeln, was nicht gerade das Vertrauen in den Dienst stärkt. Unser erster Kurztest ergab, dass Mega die Ver- und Entschlüsselung allem Anschein nach über JavaScript im Browser abwickelt. Das Skript lädt der Browser nach dem Start neu, hier besteht ein Einfallstor für Manipulationen. Bei der Dateiverschlüsselung kommt 128-Bit-AES zum Einsatz. Ob es Mega tatsächlich nicht möglich ist, an die Schlüssel zu gelangen, lässt sich bislang nicht nachweisen.

Generierte Links zu den Dateien bestehen wahlweise aus zwei oder drei Komponenten: Nach der Domain mega.co.nz sowie einem Doppelkreuz folgt eine ID, die zur Datei weist. Klickt der Nutzer beim Erzeugen des Links auf „Dateischlüssel“, wird ein Key hinzugefügt. Hier macht sich Mega offenbar eine Methode zunutze, die vom Dateitauschservice Zerobin bekannt ist. Der Clou dabei ist, dass Browser den Anker hinter dem „#“, der eigentlich eine Position innerhalb einer Seite festlegen soll, nie an den Server schickt, sondern immer nur lokal interpretiert – der Schlüssel gelangt bei der Linkerzeugung also wohl nicht zu Mega.

Bedenklich stimmt, dass laut Mega-Dokumentation alle Schlüssel in verschlüsselter Form auf den Mega-Servern gespeichert werden. Sollte der dazu verwendete Master Key direkt und ausschließlich aus dem Anwender-Passwort abgeleitet sein und dieses Passwort dem Betreiber bekannt sein, dann hätte Mega darüber Zugriff auf alle Inhalte. Unseren Tests zufolge bildet allerdings der Client einen Hash des Nutzer-Passworts und überträgt tatsächlich nur diesen. Es gibt also kein Anzeichen dafür, dass Mega das Passwort zu sehen bekommt und zum Entschlüsseln nutzen kann.

Mega hat seinen Dateimanager als Webdienst realisiert. Bislang gibt es weder eine Client-Anwendung für den PC noch Smartphone-Apps zum Zugriff auf die Plattform – was den Nutzen als Cloud-Speicher gehörig einschränkt. Die Webanwendung ist zudem offensichtlich schlecht umgesetzt: Bereits einen Tag nach dem Start der Plattform tauchten erste Berichte über Cross-Site-Scripting-Lücken auf, die mit Screenshots dokumentiert wurden. Über derlei Schwachstellen wäre es möglich, die Verschlüsselungsfunktionen zu manipulieren.

Dass die Verschlüsselung entgegen den markigen Werbeaussagen ohnehin keine Garantie für Datenschutz ist, zeigt ein Blick in die ellenlangen Geschäftsbedingungen von Mega: Das Unternehmen, heißt es dort, speichere „Kommunikations-Logs, Verkehrsdaten, Website-Benutzung und andere Informationen, die wir benötigen, um die Dienste bereitzustellen“ einschließlich der Daten, die es für das Einspielen von Werbung benötige und der benutzten IP-Adressen. Auch „jede persönliche Information in hochgeladenen Daten“ werde gespeichert. Was dieser Passus genau bedeutet, ist angesichts der zugesicherten Verschlüsselung völlig unklar.

Der Selbstdarsteller

Zur Erinnerung: Am 20. Januar 2012 hatten US-Ermittler Dotcoms erfolgreiche Filehosting-Plattform Megaupload über Nacht vom Netz genommen, Kim Dotcom inhaftiert und Anklage wegen massiver Urheberrechtsverletzungen erhoben. Am 20. Januar 2013, also genau ein Jahr später, feierte er mit einer Party auf seinem neuseeländischen Anwesen den Start von Mega. Maori tanzten den furchteinflößenden Haka, dann kündigte ein Moderator den „Megamann des Megamoments“ an.

Kurz darauf twitterte der Megamann: „Es wird riesig“, innerhalb weniger Stunden hätten sich eine halbe Million Nutzer angemeldet. Viele Neugierige dürften sich allerdings längst wieder abgewendet haben. Der rudimentäre Dienst ließ sich kaum nutzen, weil offensichtlich die Server überlastet waren und meist „temporary not available“ meldeten.

Eines ist schon jetzt deutlich geworden: Dotcom, der Meister der Selbstinszenierung, will mit dem Verschlüsselungsversprechen keineswegs die Privatsphäre seiner Nutzer, sondern sich selbst schützen. In den USA, wo nach wie vor ein Haftbefehl gegen ihn vorliegt, wird ihm vorgeworfen, illegale Aktivitäten auf Megaupload en détail gekannt, aber nichts dagegen unternommen zu haben. Nach dem Motto „Was ich nicht weiß, macht mich nicht heiß“ will er sich der Kenntnis nunmehr entziehen.

Es steht zu bezweifeln, dass Dotcom Erfolg haben wird. Wer will schon einem per Haftbefehl gesuchten, dubiosen Geschäftsmann wichtige Daten anvertrauen? Nach dem Aus von Megaupload konnte kein Nutzer mehr auf seine Daten zurückgreifen, auch wenn es sich dabei um legale eigene Dateien handelte. Dotcom will seit geraumer Zeit mit Unterstützung der US-Bürgerrechtsorganisation EFF dafür sorgen, dass Premium-Nutzer ihre Daten zurückerhalten – bislang ohne Erfolg. (hob)

Artikel kostenlos herunterladen

Kommentare

Infos zum Artikel

Kapitel
  1. Dubiose Verschlüsselung
  2. Der Selbstdarsteller
3Kommentare
Kommentare lesen (3 Beiträge)
  1. Avatar
  2. Avatar
  3. Avatar
Anzeige

Anzeige

Anzeige