Ich bin seit längerer Zeit zufriedener Nutzer des Cloud- und Synchronisationsdienstes Dropbox. Vor ein paar Tagen bin ich auf zwei interessante Artikel gestoßen.
Der erste ist ein englischer Artikel darüber, wie Dropbox scheinbar Privatsphäre gegen Kosteneinsparungen tauscht: How Dropbox sacrifices user privacy for cost savings
Der andere stammt von heise.de und beschäftigt sich mit einer entdeckten Sicherheitslücke bei Dropbox, die es einem Angreifer ermöglichen könnte unabhängig vom Nutzerpasswort Zugang zu den bei Dropbox gespeicherten Daten zu erhalten. Dazu müsste derjenige aber im Besitz der Dropbox Datei config.db sein.
Zum ersten Artikel ist zu sagen, dass Dropbox mit einer Methode namens Deduplizierung arbeitet um Kosten zu sparen, was nichts anderes heißt, als dass identische Dateien nicht doppelt abgespeichert werden sondern jede Kopie nur auf das Original verweist.
Nur so ist eben auch zu erklären, warum Gigabyte große Dateien scheinbar in Sekunden synchronisiert werden. Was ist daran aber nun ein Sicherheitsproblem?
Dropbox verwahrt die Daten nach eigener Aussage sehr sicher. Alle abgespeicherten Daten werden gegen fremden Zugriff mit AES-256 verschlüsselt, können aber natürlich auch jederzeit wieder durch Dropbox entschlüsselt werden. Die Übertragung der Daten zwischen Client und Server findet sowieso nur über eine gesicherte SSL Verbindung statt.
Staatliche Organisationen, Unternehmen oder einfach nur andere Nutzer des Dienstes könnten aber auf die Idee kommen und strafbare Daten auf die Server von Dropbox hochladen, um damit zu überprüfen, ob nicht irgendein anderer Dropbox-Benutzer gegen Gesetze verstoßen hat.
Ob ein solches Indiz in Deutschland ausreichen würde um das amerikanische Unternehmen Dropbox zur Herausgabe des Nutzernamens zu zwingen, der die Originaldatei hochgeladen hat, entzieht sich meiner Kenntnis. Das Beispiel zeigt aber zumindest, dass es zur Zeit ziemlich leicht ist einen möglichen Rechtsverstoß zu überprüfen, solange die Daten nicht z.B. mit einem eigenem GnuPG-Schlüssel gesichert sind.
Ich muss zugeben, die beiden Artikel haben mich etwas nachdenklich gemacht, aber meine grundlegende Haltung nicht geändert. Dropbox ist für mich momentan noch ein kostenloser Dienst. Das Unternehmen kann diese Dienstleistung jederzeit einstellen, ohne dass es sich mir gegenüber rechtfertigen müsste. Damit bin ich vollkommen einverstanden und stelle mich darauf ein.
Wenn ich Daten auf einen Server hochlade, auf den andere außer mir Zugriff haben, rechne ich damit, dass meine Daten gegen Ausspähen nicht sicher sind. Ich erwarte zwar, dass die Angestellten des Unternehmens den Tag über besseres zu tun haben als Urlaubsfotos aus Deutschland durchzusehen, sicher sein kann ich mir aber nicht.
Möchte man Sicherheit haben führt kein Weg an GnuPG oder Truecrypt vorbei. Wer wichtige Dokumente nicht verschlüsselt und diese einem Clouddienst anvertraut handelt fahrlässig.
Wie ernst das Problem mit der Datei config.db für den Linuxclient zur Zeit ist lässt sich aus dem heise Artikel nicht herauslesen. Für mich persönlich ändert sich deswegen nichts.
Egal ob es der anonyme Hacker ist oder das böswillige Internetunternehmen, welches nur gegründet wurde um MIR die geheimsten Informationen zu entreißen, meine Strategie ist immer dieselbe. Vielleicht wird es auch bei Dropbox in Zukunft möglich sein einen eigenen privaten Schlüssel für seine dort gesicherten Daten festzulegen.
Doch bis es so weit ist werden wichtige Daten immer mit GnuPG verschlüsselt. Der Rest ist Vertrauenssache.
Schon mal Wuala mit DropBox verglichen? Ich sehe da 3 große Vorteile
1. Verschlüsselt Wuala vor dem Hochladen lokal mit privatem Schlüssel derart, dass die Daten auf dem Wuala-Server nicht entschlüsselt werden können.
2. Sitzt das Unternehmen in der Schweiz und kann nicht von irgendeiner amerikanischen Behörde zur Herausgabe/Entschlüsselung der Daten gezwungen werden, nur weil die glauben man gehört gerade zu LulzSec, Anonymous, Wikileaks, Al Kaida o.ä. antiamerikanischen Vereinigungen.
3. Kann man eigenen Plattenplatz gegen Online-Platz tauschen (Ist ein P2P-Netz)
Danke für deinen Kommentar. Nein, bisher habe ich Wuala noch nicht ausprobiert. Vielleicht bietet sich aber in Zukunft mal die Gelegenheit mehrere Anbieter von Clouddiensten zu testen und sie dann hier vorzustellen.
Ich denke auch, dass das Verschlüsseln der eigenen Daten mit einem privaten Schlüssel der einzig sichere Weg ist. Wie gesagt genügt mir das Verschlüsseln mit GnuPG bisher vollkommen. Ich würde aber vorsichtig sein mit der Behauptung, dass die Daten sicher seien, nur weil sie sich auf einem Schweizer Server befinden. So etwas Ähnliches dachten sicher auch mal viele vom Schweizer Bankgeheimnis. 😉