Security Suche Unterstützung für das Testen meines ende-zu-ende verschlüsselten Cloud Storage.

ProfThrbn

New member
Moin,

vor ca. zwei Wochen habe ich die Beta Version meines ende-zu-ende verschlüsselten Cloud Storage - based in Germany gelaunched.
Wir bieten dem Nutzer mit unserem Cloud Storage, die Möglichkeit, sowohl unregistriert Dateien/Videos hochzuladen als auch sich vollkommen anonym, ohne Angabe persönlicher Informationen, zu registrieren.

Als junger Gründer ohne unendlich großes Startkapital, ist es teilweise sehr schwierig, Beta-Tester zu gewinnen. Aus diesem Grund wollte ich es auf diesem Wege probieren.
Ich hoffe der Beitrag ist hier nicht vollkommen falsch & verstößt gegen keine Regeln.

Ich suche Unterstützung/Feedback/Anregungen für unseren Webclient. Als kleines Dankeschön, erhält jeder Nutzer nach der Registrierung 100GB kostenlosen Speicherplatz.
Besonders Interessieren würde mich:
  • Design - UX/UI
  • Funktionalität allgemein & Videostreaming
  • Benutzerfreundlichkeit
Vielen Dank!
 
Die Antwort kommt vielleicht etwas spät, aber ich bin gerade erst über deinen Beitrag' gestolpert.

Hab mir mal erstmal nur deine Website angeschaut, ohne deine Cloud-Lösung mittels Account genauer anzuschauen. Da du aber irgendwo auf der Seite auch die NIS2-Richtlinie als Verkaufsargument erwähnst, mit der ich als Security-Berater / ISMS-Berater momentan ständig konfrontiert bin, weil viele Kunden derzeit genau deswegen zu uns kommen, hab ich mir deine Seite mal mit meiner "Berater-Brille" angeschaut.

Das Fazit schonmal vorweg: Ich würde deine Plattform meinen Kunden ganz sicher nicht empfehlen, eher davon abraten. Warum, erfährst du gleich.

Denn ein paar Fragen lässt die Website offen und es fehlen ein paar Infos, damit ich die Plattform ausreichend bewerten und meinen Kunden empfehlen kann. Außerdem gibt es ein paar Dinge au der Seite, die ich als etwas fraglich bzw. aus Security-Sicht sogar als kritisch empfinde.

- Warum müssen die Daten innerhalb Europas für die Redundanz verteilt werden? Zwei verschiedene RZ innerhalb Deutschlands, die ausreichend Abstand zueinander haben, wären die bessere Lösung. Gibt ja eigentlich genug und die meisten davon haben auch eine ISO-27001-Zertifizierung. Selbst wenn du auf Managed Services beim Hosting setzt, liessen sich sicher dafür problemlos 2 Anbieter in DE finden. Als KRITIS-Unternehmen oder KRITIS-Dienstleister möchte man seine Daten eigentlich nicht in andere Länder syncen, selbst wenn es nur innerhalb der EU ist. Denn auch wenn die NIS2-Richtlinie für alle EU-Länder gleich ist, unterscheiden sich die jeweiligen Umsetzungsgesetze der Mitgliedsstaaten in einigen Details.

- Zertifizierte RZ sind schön und gut. Aber wie sieht es mit der Server-Plattform aus? Sind die genutzten Dienste als Managed Services im Einsatz, die im Scope der Zertifizierung der genutzten Rechenzentren sind? Oder betreibst du die Server-Dienste und Kubernetes auf gemieteten Servern? Wenn letzteres, sind das dedizierte Server oder vServer?

- Das bereitgestellte Whitepaper ist, im Vergleich zu vielen anderen Anbietern, schon ziemlich vorbildlich. Es fehlen jedoch die Infos darüber, wie ihr eure Plattform und die Kundendaten handhabt. Zumindest grundlegende Infos zu Patch- und Update-Management, Risikomanagement und BCM mit Notfall-Management sollten verfügbar sein. Da der Seite nicht zu entnehmen ist, dass auch deine Plattform ISO-zertifiziert ist, sollten solche Infos bereitgestellt werden. NIS2-relevante Unternehmen müssen diese Infos sonst erst umständlich bei dir einholen, da sie die Anforderungen, die durch NIS2 an sie gestellt werden, im Rahmen des Supply-Chain-Managements an Dienstleister und Zulieferer weitergeben müssen. Wenn du solche Infos nicht öffentlich machen willst, und bspw. nur unter einem NDA mit Interessenten und Kunden teilen möchtest, wäre ein Hinweis darauf hilfreich: "Wenn Sie mehr zu unseren Sicherheitsvorkehrungen wissen möchten, wenden sie sich bitte an security@domain.tld oder nutzen Sie unser Kontaktformular. Gern senden wir Ihnen nach Abschluss einer Geheimhaltungsvereinbarung detaillierte Informationen zu den von uns getroffenen technischen und organisatorischen Maßnahmen zum Schutz Ihrer Daten zu." Oder sowas in der Art. Das würde Berater wie mich zumindest dazu bewegen, wenigstens einen zweiten Blick auf deinen Service zu werfen und diese Infos anzufragen, damit ich meine Kunden im Rahmen eines Anbietervergleich mit den notwendigen Infos versorgen kann. Gerade bei einem UG-Unternehmen, will ich wissen, wie das BCM geregelt ist, um sicherzugehen, dass die Plattform nicht von heute auf morgen einfach abgeschaltet wird, weil das Geld alle ist, und der Kunde über Nacht ohne seinen Cloud-Storage dasteht. Ohne ein handfestes BCM wäre die Risikobewertung für die Nutzung dieser Plattform als kritisch einzustufen.

- Es ist keine Hinweis darauf zu finden, dass die Plattform und die zugehörige Webapp mal einem Pentest unterzogen wurde. Das ist für eine Plattform, die für KRITIS-Daten genutzt werden soll, jedoch notwendig. Pentests müssen, ähnlich wie bei ISO-zertifizierten Plattformen, sogar min. jährlich wiederholt werden, da der letzte Pentest maximal 12 Monate alt sein sollte. Und selbst ein jährliches Test-Intervall halte ich persönlich schon für zu lang, weil ich lange im SaaS-Umfeld tätig war und daher weiß, wie viele Änderungen in einem Jahr in den Code einfließen können. Bei jährlichen Pentests würde ich zumindest noch grundlegende Security-Checks in der CI/CD- bzw. Deployment-Pipeline erwarten. Im Optimalfall sollte auch der Dienstleister irgendwo angegeben werden, der den Pentest durchgeführt hat und ein Prüfbericht, selbst wenn nur in einer zusammengefassten Form, sollte einsehbar sein. Alternativ auch hier wieder einen Hinweis irgendwo anbringen, wenn der Bericht nur unter einem NDA geteilt wird.

- Auch wenn im Whitepaper die Verschlüsselung ziemlich gut beschrieben ist, würde ich empfehlen, dass dort zusätzlich angegeben wird, welche Libraries du für die Verschlüsselung nutzt. Ich hab im Laufe meiner Karriere schon ziemlich üble Sachen gesehen, wo die Entwickler der Meinung waren, sie könnten die Algorithmen selbst implementieren, was letztendlich zu üblen Lücken in der Verschlüsselung führte. Verschlüsselungen sollten immer mit bekannten Open-Source-Libraries umgesetzt werden, deren Entwickler noch aktiv sind und eine möglichst breite User-Basis haben.

- Bitte erstelle dir ein echtes Wildcard-SSL-Zertifikat. Es ist keine gute Idee, seine Subdomains im Zertifikat preiszugeben. Das macht es potentiellen Angreifern einfacher, potentielle Angriffsvektoren zu finden. Und das ist bei dir gar nicht schwer, wie wir gleich sehen werden.

- Wozu sind Grafana und Prometheus öffentlich erreichbar? Pack dein Monitoring hinter ein VPN oder einen SSH-Tunnel.

- Dass unten auf der Login-Seite vom Grafana steht, dass neue Updates verfügbar sind, ist dir in den letzen 10 Monaten nicht aufgefallen? Deine Version ist die 10.3.3, die aktuelle 10er-Version ist die 10.4.14. Es wurden seit mindestens März 2024 keine Updates mehr durchgeführt. Das zeigt mir, dass es in deinem Unternehmen kein geregeltes Patch- und Update-Management gibt. Spätestens als ich das gesehen habe, war für mich klar, dass ich jedem meiner Kunden von der Nutzung deiner Plattform sogar dringend abraten muss. Für jemanden, der seine Plattform an NIS2-relevante Unternehmen verkaufen will und diese als hochsicher anpreist, ist sowas ein absolutes No-Go! Wenigstens die Grundregeln der Informationssicherheit sollte ein Betreiber so einer Plattform befolgen.

- Joulee als Unternehmen der Energiebranche anzugeben, halte ich übrigens für etwas irreführend, auch wenn es sprachlich nicht falsch ist. Ich glaube aber kaum, dass die als Energieberater den Informationssicherheitsanforderungen des EnWG unterliegen, so wie es bei Unternehmen aus dieser Branche üblicherweise der Fall ist. Ich würde Referenzkunden sowieso eher auf einer extra Seite unterbringen und ggf. auf der Startseite ihre Logos einbauen. Aber das ist nur meine persönliche Meinung.

Da meine Freundin im Bereich Mediendesign unterwegs ist, noch was zum UX der Website: Es ist richtig schreckliches UX, dass die Links im Footer sich immer in einem neuen Tab öffnen. Das macht man nicht, es sei denn, die Links führen auf Websites, die auf einer anderen Domain liegen bzw. von einem anderen Anbieter sind. Da kann man das machen, um sicherzustellen, dass der User die eigene Seite nicht verlässt, wenn er auf so einen Link klickt. Aber selbst das gilt im UX-Bereich eigentlich schon als "Entmündigung des Users". Der User hat schließlich eigene Möglichkeiten zu entscheiden, ob er eine Seite in einem neuen Tab öffnen möchte oder nicht. Ihm diese Wahlmöglichkeit zu entziehen, gehört sich einfach nicht.
 
Zuletzt bearbeitet:
Zurück
Oben