Mega verspricht besser geschützte Cloud-Schließfächer (Screenshot: ZDNet.de)
Nach dem aufsehenerregenden Start des neuen Cloud-Schließfachdienstes musste sich Megaupload-Gründer Kim Schmitz alias Kim Dotcom selbst für die „schlechte Qualität des Dienstes“ entschuldigen. Den Andrang der Nutzer konnte die anfangs schlechte Verfügbarkeit aber offenbar ebensowenig aufhalten, wie die von vielen Experten aufgedeckten Sicherheitsprobleme.
Bram van der Kolk ist Mitgründer von Mega und bei dem Dienst für Programmierung und Netzwerkstruktur verantwortlich. Er gilt als der zweite Mann hinter Kim Schmitz, drängt sich aber gewöhnlich nicht ins Rampenlicht. Aufgrund seiner Mitarbeit bei Megauplaod ist er ebenso wie Schmitz von einem Auslieferungsantrag der USA betroffen. Das US-Justizministerium wirft ihm, Schmitz und vier weiteren Beteiligten vor, 175 Millionen Dollar mit Piraterie verdient zu haben. Die neuseeländische Justiz hat noch nicht über eine mögliche Auslieferung entschieden.
ZDNets Schwestersite TechWeekEurope befragte van der Kolk zur wechselhaften ersten Woche von Mega und zu den weiteren Plänen. Das Gespräch führte Tom Brewster.
Was will Mega hinsichtlich der Sicherheit ändern, nachdem die Verschlüsselung so stark angezweifelt wurde?
van der Kolk: Es ist eine philosophische Frage, inwieweit es sinnvoll ist, Nutzer zu schützen, die unsichere Passwörter wählen, oder ob es nicht besser ist, sie über die Risiken aufzuklären. Wir neigen zu letzterem und werden unsere Anmeldeprozeduren entsprechend anpassen. Kryptographische Veränderungen sind daher nicht zu erwarten, aber mehr Vorgaben, um starke Passwörter zu erzwingen.
Was sagen Sie zum Vorwurf, mit den Sicherheitsmechanismen lediglich juristischen Anfechtungen ausweichen zu wollen?
van der Kolk: Verschlüsselung macht keinen Unterschied, was unsere Verantwortlichkeit angeht. Es ist uns nicht erlaubt, aus eigener Initiative Dateien auf mögliche Urheberrechtsverletzungen hin zu untersuchen, und wir sind gesetzlich verpflichtet, Löschungsaufforderungen verschlüsselter Dateien nachzukommen.
Wie haben sich die Nutzerzahlen seit dem Start von Mega am letzten Sonntag entwickelt?
van der Kolk: Die Resonanz der Nutzer war überwältigend und ist weiterhin stark, vor allem aus Europa und Südamerika. Sie laden reichlich hoch – manchmal sehen wir das Hochladen von über 500 neuen Dateien in der Sekunde.
Haben sich wegen der neuen Site schon Ermittlungsbehörden gemeldet?
van der Kolk: Noch nicht.
Wie viel wurde in die Schaffung von Mega investiert, ab wann hoffen Sie auf Gewinne?
van der Kolk: Investiert wurde bislang nur in die Server-Infrastruktur. Alle anderen Beteiligten haben ohne Bezahlung gearbeitet, das gilt auch für unsere Rechtsberater.
Wo stehen die Server eigentlich? Gibt es viele in den USA, und mit was für einer Infrastruktur arbeiten Sie in Ihren Rechenzentren?
van der Kolk: Wir verfügen über Server in Deutschland und Neuseeland. Wir werden keine Server in Ländern mit problematischer Gerichtsbarkeit betreiben. Bis jetzt arbeiten wir mit Standard-Hardware.
Was passiert, falls Sie und die anderen wegen Megaupload Angeschuldigten für schuldig befunden werden und die Site nicht mehr verwalten können? Wer übernimmt dann?
van der Kolk: Zur Absicherung steht ein Verwaltungsteam bereit, gegen das keine Anklagen laufen.
Die Benutzerfreundlichkeit soll verbessert werden – was ist diesbezüglich in den kommenden Monaten zu erwarten?
Wir hoffen, wenigstens die Hälfte der Entwicklungsvorgaben umsetzen zu können, wie wir sie in einem Blogeintrag aufgeführt haben.
Es gab schon Bugs und Sicherheitsprobleme, die Site war oft nicht erreichbar. Wie zufrieden sind Sie damit, wie es bisher gelaufen ist?
van der Kolk: Es hätte reibungsloser laufen können. Aber es mussten 50.000 Zeilen Code neu geschrieben werden, alles lief auf einer neuen und kaum getesteten Server-Infrastruktur, innerhalb von Stunden entwickelten sich die Besucherzahlen von null auf Millionen – wenn man das berücksichtigt, ist es gar nicht so schlecht gelaufen.
Was echte und eher virtuelle Sicherheitsprobleme angeht, hatten wir eine wesentliche XSS-Schwachstelle, die innerhalb von 30 Minuten behoben wurde, und dann mit AES-basiertem Hashing eine peinliche, die innerhalb von 24 Stunden beseitigt war. Alles andere waren Unterstellungen, die auf falschen Annahmen hinsichtlich Deduplizierung und einem unspezifischen Rigorismus basierten („Wenn du SSL brichst, dann kannst du Mega brechen!“). Wir hoffen, dass das mit der Zeit besser wird und uns mehr echte Probleme berichtet werden, damit wir sie lösen.
[mit Material von Tom Brewster, TechWeekEurope]
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.
Betroffen sind Windows 10 und Windows 11. Laut Microsoft treten unter Umständen VPN-Verbindungsfehler auf. Eine…
Server-CPUs und Server-GPUs legen deutlich zu. Das Gaming-Segment schwächelt indes.
Zwei Use-after-free-Bugs stecken in Picture In Picture und der WebGPU-Implementierung Dawn. Betroffen sind Chrome für…
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
