Wuala – Eine Alternative zu Dropbox und Co.

cloud 09
Fachbeitrag

Wer auf der Suche nach einem sicheren Online-Dienst zur Datensynchronisation oder zur Datensicherung ist, wird feststellen, dass inzwischen eine Reihe von Diensten europäischer Anbieter und hier insbesondere solche aus Deutschland und der Schweiz zur Auswahl stehen, die eine vor allem sichere Alternative zu Diensten von Anbietern in Übersee wie z.B. Dropbox darstellen.

Ein solcher Dienst ist u.a. der schon seit einiger Zeit verfügbare Dienst Wuala.

Was ist Wuala?

Wuala ist ein Cloud-Speicher-Dienst der LaCie AG in Zürich, mittels dessen Daten synchronisiert oder einfach gebackupt werden können. Der Dienst bietet Applikationen für Windows, Mac OS X, Linux und mobile Endgeräte. Speicherplatz können sowohl Einzelnutzer als auch Gruppen in Unternehmen nutzen. Ein zunächst auf 5 GB begrenzter Speicherplatz in der kostenlosen Produktversion kann durch das Werben weiteren Nutzer auf bis zu 15 GB oder im Übrigen kostenpflichtig erweitert werden.

Daten teilen

Im Rahmen der Nutzung von Wuala können wie auch bei anderen Diensten Daten entweder per E-Mail  oder über einen Weblink mit anderen geteilt werden. Es ist also nicht notwendig, dass derjenige, mit dem Daten geteilt werden sollen, selbst für den Dienst registriert ist.

Lokale Datenverschlüsselung

Wuala überzeugt im Hinblick auf Datenschutz und Datensicherheit damit, dass im Gegensatz zu vielen anderen Diensten die Daten bereits vor dem Transfer auf den Cloud-Speicher durch den Anwender lokal auf dessen Rechner mit einem eigens vom Anwender kreierten Passwort verschlüsselt werden. Hierbei wird ein 256 Bit AES-Algorithmus verwendet. Das Passwort wird nach Angaben von Wuala zu keiner Zeit übertragen, so dass der Dienstanbieter keinen Zugriff hierauf erhält und somit keine Möglichkeit der Kenntnisnahme von den hochgeladenen Daten hat.

Dieser Fakt könnte sich für Unternehmen, welche die Datensynchronisation und/oder die Datensicherung mittels Wuala vornehmen, unter Datenschutzgesichtspunkten dahin auswirken, dass die auf Wuala-Systemen verarbeiteten Daten aufgrund der bereits lokalen Verschlüsselung für Wuala als Dienstanbieter mangels herstellbaren Personenbezugs durch fehlenden (legalen) Zugriff auf den Schlüssel als anonym angesehen werden könnten. Dies hätte zur Folge, dass Datenschutzrecht und in diesem Zusammenhang insbesondere die Auftragsdatenverarbeitung (§ 11 Bundesdatenschutzgesetz) nicht thematisiert werden bräuchten, soweit man den Personenbezug subjektiv versteht. Eine einhellige Auffassung von Aufsichtsbehörden oder Gerichten zu dieser Frage existiert jedoch bislang nicht und es wird im Einzelfall entschieden.

Serverstandorte ausschließlich in Europa

Für Anwender in Europa und insbesondere in Deutschland dürfte erfreulich sein, dass die Datenverarbeitung ausschließlich auf Servern in der Schweiz, in Frankreich und in Deutschland erfolgt. Beim Hochladen werden die Daten fragmentiert an verschiedenen Speicherorten im Netzwerk des Diensteanbieters abgelegt.

Fazit

Auch wenn Wuala eine sicherere Version eines Dienstes zur Synchronisation und Datensicherung ist, bleibt zu bemängeln, dass eine Verifizierung der E-Mail-Adresse neuer Anwender unterbleibt und eine Zwei-Faktor-Authentifizierung ebenfalls nicht implementiert ist.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

9 Kommentare zu diesem Beitrag

  1. Kann das Programm nur empfehlen. Es sichert seit Jahren sicher und zuverlässig meine gesamten Uni-Notizen. Schön, dass es auch aus Datenschutz-Sicht nicht so schlecht abschneidet.
    Ich würde vor allem die Benutzerfreundlichkeit hervorheben. Einmal eingerichtet sichert es komfortabel die mir wichtigen Verzeichnisse ohne mich weiter mit irgendwelchen Meldungen zu behelligen.

  2. Einige kritische Punkte zu Wuala sollten erwähnt werden:

    Die App ist nicht benutzerfreundlich. Die Benutzeroberfläche ist veraltet und wenig ergonomisch. Die App basiert auf Java. Auf dem Mac kann man sie nicht im Hintergrund laufen lassen und es werden nicht alle Metadaten wie beispielsweise Tags für Dateien unterstützt. Beim Synchronisieren kommt es zu Konflikten zwischen verschiedenen Computern. Die Spotlight-Suche funktioniert nicht, wenn man Wuala als Laufwerk auf Macs einbindet.

    Wuala sitzt in der Schweiz und ist eine Tochtergesellschaft von Lacie aus Frankreich, die wiederum der amerikanischen Seagate gehört. Eigentlich ist Wuala also eine amerikanische Anbieterin.

    Nutzerkonten bei Wuala werden lediglich durch Nutzername und Kennwort geschtüzt. Das Fehlen von 2-Faktor-Verifikation wird im Text ja auch schon erwähnt.

    Der Quelltext von Wuala ist nicht offen. Man muss somit der Anbieterin blind vertrauen, was sich bislang bei (fast) jedem anderen Anbieter als falsch erwiesen hat.

    Wuala ist vor allem relativ gesehen eine Alternative, allerdings vor allem zu Spideroak. Mit Dropbox ist Wuala eigentlich nicht zu vergleichen. So gibt es keine oder kaum Apps, die Wuala integriert haben. Und Wuala läuft wesentlich langsamer als Dropbox.

  3. @Peter:

    Vielen Dank für den Beitrag! Selbstverständlich müssen im Rahmen des Einsatzes von Software auch immer allgemeine Sicherheitsrisiken beachtet werden.

    In der Tat nutzt Wuala einen Java-basierten Desktop Client. Insofern sollte der Anwender natürlich regelmäßig Updates sämtlicher verwendeter Software einschließlich der Java-Software vornehmen. Zudem empfiehlt sich die Verwendung von Script-Blockern wie NoScript im Browser. Hiermit lässt sich auch der Gebrauch von Seiten unterbinden, welchen der Anwender nicht vertraut.

    Die LaCie AG ist eine Schweizer Gesellschaft mit Sitz in Zürich. Dass die amerikanische Gesellschaft Seagate Technology LLC überwiegende Anteilseignerin ist, wirkt sich mit Blick sowohl auf die datenschutzrechtliche Thematik USA als unsicherer Drittstaat als auch die NSA-Affäre in diesem Zusammenhang eher nicht aus. Da Wuala nach eigenen Angaben keinen Zugriff auf die vom Anwender vor dem Transfer lokal verschlüsselte Daten hat, hätten auch die amerikanische Gesellschaft und dortige Behörden keinen Zugriff auf die Daten.

    Bedauerlich ist, wie Sie erwähnen, dass der Quelltext unbekannt ist, ebenso wie die verwendeten Protokolle für den Datentransfer auf den Cloud-Speicher, bei denen es sich nicht um SSL/TLS handelt.

  4. Meine Meinung: Sicher sind nur die Daten die man selbst kontrolliert. Wie man sieht tauchen immer wieder Fehler in den Sicherheitsprotokollen auf.

    Die Cloud ist immer ein Risiko.

  5. Warnung: Wir nutzen seit einiger Zeit die Business Version von Wuala. Funktioniert eigentlich gut, bis heute. Aufgrund eines Software Fehlers bei Wuala hat uns Wuala nach der Erneuerung des Lizenzkeys VOLLKOMMEN ausgesperrt (wohlgemerkt wir haben den Key gekauft und aktiviert!) Der Support reagiert nur mit nutzlosen Antworten, wie das die Zufriedenheit der Kunden ganz wichtig sei und hat sich jetzt ins Wochenende verabschiedet. Fünf Minuten Telefonsupport hätten das Thema spielend erledigt, aber den gibt’s nicht. Wuala hat jetzt unsere gesamte Datenstruktur lahmgelegt.
    Fazit: Als Spielerei ganz gut. Geschäftskunden kann ich nur warnen. Das ist eine Hobbyveranstaltung.

    • @Wuala-Nutzer und Peter:
      Wuala (wie SpiderOak, etc.) sind IMMER der falsche Ansatz!
      Verschlüsselung MUSS auf dem Client-System passieren (nicht im Software-Client) und zwar mit (selbst programmierter oder) 3RD PARTY SOFTWARE!
      DropBox mit BoxCryptor oder (viel performanter und sicherer*) Strato mit TrueCrypt* sind WEIT vertrauenswürdiger als jede inhärent verschlüsselnde Anwendung.
      So, wie kein geistig gesunder Mensch Microsoft EFS verwendet. Bequemlichkeit <<>> Sicherheit.

      P.S. @Wuala-Nutzer: Das gilt insbesondere für Euresgleichen, falls Ihr (auch) personenbezogene Daten wualat.

      * Wir haben 1TB bei Strato, über SMB verbunden (“Klartext”) und im verbundenen Laufwerk TrueCrypt-Volumes. Da durch Latency der Up-/Download eh ein wenig länger dauert macht selbst 3-fach-Verschlüsselung keinen Performance-Unterschied. Zwischen 10 und 30 MBit Transferrate haben wir trotzdem.

      • noch ein Nachtrag an die “ich habe Nichts zu verbergen”-Fraktion:
        Der Satz impliziert gemeinhin ein “als braver Bürger vor dem Staat” und soweit ist das zwar unsolidarisch (weil Willkür und Rechtsbruch Vorschub leistend), aber heute aus eigener Perspektive wohl meist nicht falsch.
        Morgen schon mag der Staat kippen (heute ein Worst-Case-Szenario: z.B. radikal islamisch werden. Oder wieder faschistisch. Oder radikal feministisch. Oder oder).
        Ist Alles, was heute “nicht zu verbergen” ist auch dann noch “Nichts zum verbergen” (Beispiel “Rosa Liste” -> https://de.wikipedia.org/wiki/Rosa_Liste , dort neben der (mich) erschreckenden Gegenwart siehe “NS-Zeit”).

        Neben dem Staat gibt es aber noch die hauptberuflich Kriminellen, die sich die Finger nach Daten jeder Art abschlecken. Siehe Nude-Pics aus Apples iCloud.
        “iCloud hat auch nicht verschlüsselt” magst Du einwerfen. Falsch: Beim Transport schon, nur nicht auf dem Server. Mehr als das kannst Du aber bei Wuala, SpiderOak, etc. auch nicht überprüfen (z.B. per Network Sniffer). Ob der Anbieter die Daten per Backdoor entschlüsselt (ich gehe *wenigstens* bei *den* Anbietern von einer Backdoor aus, die ein WebInterface auf die Daten anbieten) wirst Du nie wissen.
        Falls der Anbieter aber Daten im Klartext speichert (er wird von Profitgier dazu verführt, denn Klartext-Daten lassen sich deduplizieren und das spart massig Speicherplatz und damit Kosten!!) bist Du wieder auf iCloud (oder DropBox, etc.) Niveau.
        Was Du zu Hause mit sinnvollen/sicheren 3rd party tools verschlüsselst *kann* der Anbieter nicht entschlüsseln und ein Verlust an Datendiebe tut nicht weh. Nennenswerte Entschlüsselungskapazitäten haben nur die Geheimdienste und vor denen hast Du ja (sicher zu Recht(!)) “Nichts zu verbergen”.

  6. Da ich generell keinen großen Konzernen vertraue, habe ich mich für LUCKYCLOUD entschiden. Dort muss man 1 € / Monat bezahlen, dafür sind die Daten sicher! [Link entfernt] luckycloud bietet mit Nutzung des Sync-Klienten auch eine Ende-zu End verschlüsselte Datensynchronisaton an. Also ich bin damit sehr zufrieden! was sagt Ihr?

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.