{"id":2024,"date":"2011-04-17T18:39:56","date_gmt":"2011-04-17T16:39:56","guid":{"rendered":"https:\/\/www.gambaru.de\/blog\/?p=2024"},"modified":"2011-04-17T18:39:56","modified_gmt":"2011-04-17T16:39:56","slug":"dropbox-wie-viel-paranoia-darf-es-sein","status":"publish","type":"post","link":"https:\/\/gambaru.de\/blog\/2011\/04\/17\/dropbox-wie-viel-paranoia-darf-es-sein\/","title":{"rendered":"Dropbox: Wie viel Paranoia darf es sein?"},"content":{"rendered":"

Ich bin seit l\u00e4ngerer Zeit zufriedener Nutzer des Cloud- und Synchronisationsdienstes Dropbox<\/a>. Vor ein paar Tagen bin ich auf zwei interessante Artikel gesto\u00dfen.
\nDer erste ist ein englischer Artikel dar\u00fcber, wie Dropbox scheinbar Privatsph\u00e4re gegen Kosteneinsparungen tauscht: How Dropbox sacrifices user privacy for cost savings<\/a>
\nDer andere stammt von heise.de und besch\u00e4ftigt sich mit einer entdeckten Sicherheitsl\u00fccke bei Dropbox<\/a>, die es einem Angreifer erm\u00f6glichen k\u00f6nnte unabh\u00e4ngig vom Nutzerpasswort Zugang zu den bei Dropbox gespeicherten Daten zu erhalten. Dazu m\u00fcsste derjenige aber im Besitz der Dropbox Datei config.db sein.
\nZum ersten Artikel ist zu sagen, dass Dropbox mit einer Methode namens Deduplizierung<\/a> arbeitet um Kosten zu sparen, was nichts anderes hei\u00dft, als dass identische Dateien nicht doppelt abgespeichert werden sondern jede Kopie nur auf das Original verweist.
\nNur so ist eben auch zu erkl\u00e4ren, warum Gigabyte gro\u00dfe Dateien scheinbar in Sekunden synchronisiert werden. Was ist daran aber nun ein Sicherheitsproblem?
\nDropbox verwahrt die Daten nach eigener Aussage<\/a> sehr sicher. Alle abgespeicherten Daten werden gegen fremden Zugriff mit AES-256 verschl\u00fcsselt, k\u00f6nnen aber nat\u00fcrlich auch jederzeit wieder durch Dropbox entschl\u00fcsselt werden. Die \u00dcbertragung der Daten zwischen Client und Server findet sowieso nur \u00fcber eine gesicherte SSL Verbindung statt.
\nStaatliche Organisationen, Unternehmen oder einfach nur andere Nutzer des Dienstes k\u00f6nnten aber auf die Idee kommen und strafbare Daten auf die Server von Dropbox hochladen, um damit zu \u00fcberpr\u00fcfen, ob nicht irgendein anderer Dropbox-Benutzer gegen Gesetze versto\u00dfen hat.
\nOb ein solches Indiz in Deutschland ausreichen w\u00fcrde um das amerikanische Unternehmen Dropbox zur Herausgabe des Nutzernamens zu zwingen, der die Originaldatei hochgeladen hat, entzieht sich meiner Kenntnis. Das Beispiel zeigt aber zumindest, dass es zur Zeit ziemlich leicht ist einen m\u00f6glichen Rechtsversto\u00df zu \u00fcberpr\u00fcfen, solange die Daten nicht z.B. mit einem eigenem GnuPG-Schl\u00fcssel gesichert sind.
\nIch muss zugeben, die beiden Artikel haben mich etwas nachdenklich gemacht, aber meine grundlegende Haltung nicht ge\u00e4ndert. Dropbox ist f\u00fcr mich momentan noch ein kostenloser Dienst. Das Unternehmen kann diese Dienstleistung jederzeit einstellen, ohne dass es sich mir gegen\u00fcber rechtfertigen m\u00fcsste. Damit bin ich vollkommen einverstanden und stelle mich darauf ein.
\nWenn ich Daten auf einen Server hochlade, auf den andere au\u00dfer mir Zugriff haben, rechne ich damit, dass meine Daten gegen Aussp\u00e4hen nicht<\/span> sicher sind. Ich erwarte zwar, dass die Angestellten des Unternehmens den Tag \u00fcber besseres zu tun haben als Urlaubsfotos aus Deutschland durchzusehen, sicher sein kann ich mir aber nicht.
\nM\u00f6chte man Sicherheit haben f\u00fchrt kein Weg an GnuPG<\/a> oder Truecrypt<\/a> vorbei. Wer wichtige Dokumente nicht verschl\u00fcsselt und diese einem Clouddienst anvertraut handelt fahrl\u00e4ssig.
\nWie ernst das Problem mit der Datei config.db f\u00fcr den Linuxclient zur Zeit ist l\u00e4sst sich aus dem heise Artikel nicht herauslesen. F\u00fcr mich pers\u00f6nlich \u00e4ndert sich deswegen nichts.
\nEgal ob es der anonyme Hacker ist oder das b\u00f6swillige Internetunternehmen, welches nur gegr\u00fcndet wurde um MIR die geheimsten Informationen zu entrei\u00dfen, meine Strategie ist immer dieselbe. Vielleicht wird es auch bei Dropbox in Zukunft m\u00f6glich sein einen eigenen privaten Schl\u00fcssel<\/a> f\u00fcr seine dort gesicherten Daten festzulegen.
\nDoch bis es so weit ist werden wichtige Daten immer mit GnuPG verschl\u00fcsselt. Der Rest ist Vertrauenssache.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ich bin seit l\u00e4ngerer Zeit zufriedener Nutzer des Cloud- und Synchronisationsdienstes Dropbox. Vor ein paar Tagen bin ich auf zwei interessante Artikel gesto\u00dfen. Der erste ist ein englischer Artikel dar\u00fcber, wie Dropbox scheinbar Privatsph\u00e4re gegen Kosteneinsparungen tauscht: How Dropbox sacrifices user privacy for cost savings Der andere stammt von heise.de und besch\u00e4ftigt sich mit einer … <\/p>\n

\u201eDropbox: Wie viel Paranoia darf es sein?\u201c<\/span> weiterlesen<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[5],"tags":[53,62,178,202],"_links":{"self":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/2024"}],"collection":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/comments?post=2024"}],"version-history":[{"count":0,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/posts\/2024\/revisions"}],"wp:attachment":[{"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/media?parent=2024"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/categories?post=2024"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/gambaru.de\/blog\/wp-json\/wp\/v2\/tags?post=2024"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}