Dropbox mit falschem Sicherheitsversprechen

«Deine Dateien sind sicher aufbewahrt» – so werden Bedenken von Dropbox-Benutzern (Referral-Link) im Bezug auf die Sicherheit ihrer bei Dropbox gespeicherten Daten duzenderweise beruhigt. Auf der gleichen «Features»-Seite und auch anderswo bewirbt Dropbox die Verschlüsselung beim Übertragen und Speichern aller Daten und behauptet darüber hinaus:

Dropbox-Mitarbeiter haben keinen Zugriff auf Benutzerdateien.

Diese Behauptung ist falsch, wie ein Blick in die englischsprachige «Privacy Policy» von Dropbox zeigt:

If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement.

Dropbox stellt Strafverfolgungsbehörden demnach nicht nur Daten von Dropbox-Benutzern zur Verfügung, sondern entschlüsselt diese dabei auch — und wer, wenn nicht Dropbox-Mitarbeiter, haben dabei Zugriff auf Benutzerdateien? 🙄

In der deutschen Version der «Privacy Policy« fehlt diese Information übrigens bislang, nachfolgend der entsprechend Abschnitt «Beachtung der Gesetze und Strafverfolgung» beziehungsweise «Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights» im Vergleich (mit Hervorhebung in der englischsprachigen Version):

Dropbox arbeitet mit der Regierung und den Behörden sowie privaten Entitäten zusammen, um die Gesetze einzuhalten. Wir werden nach unserem eigenen Ermessen dies im Verlauf von rechtlichen Ansprüchen oder Verfahren (einschl. aber nicht begrenzt auf Vorladungen) Information über Sie der Regierung oder den Strafverfolgungsbehörden bekannt geben, um die Rechte von Dropbox oder Dritten zu schützen, die Sicherheit der Öffentlichkeit oder von Personen zu wahren oder um Aktivitäten zu stoppen oder vorzubeugen, von denen wir meinen, dass Sie illegal, unethisch, unangemessen oder rechtlich fragwürdig sein könnten.

We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.

Dropbox-Sicherheit bleibt Benutzersache, denn «Verschlüsselung» à la Dropbox ist letztlich Schlangenöl — und Cloud-Speicherdienste mit integrierter lokaler Verschlüsselung bleiben rar. Unter den gängigen Cloud-Speicherdiensten ist Wuala der einzige mir bekannte, der Daten lokal und vor der Datenübertragung verschlüsselt. Gibt es allenfalls noch andere solche Anbieter?

16 Comments

  1. AssetBurned
    16. April 2011

    Na da bleibt doch einfach nur eine variante übrig. Wenn sich der Cloud service per laufwerk einbinden lässt dann macht man da halt seine eigene verschlüsselung drauf. MacFuse sei dank ist so etwas ausgesprochen leicht möglich. EncFS ist zum beispiel eine solche lösung. http://thenakedman.wordpress.com/encfs/

    Reply
    • Martin (MacMacken)
      16. April 2011

      Leider sind solche Varianten eher umständlich einzurichten, wenn auch komfortabler als verschlüsselte Disk Images in der alltäglichen Verwendung … für die meisten Benutzer dürfte einfacher sein, von Anfang an Cloud-Software zu verwenden, die lokale Verschlüsselung unter vollständiger Benutzerkontrolle unterstützt.

      EncFS selbst hat den grossen Nachteil, dass es auf FUSE basiert, dessen MacFUSE-Ableger letztlich Ende 2008 aktualisiert wurde: http://code.google.com/p/macfuse/downloads/list 🙁

    • AssetBurned
      17. April 2011

      nun solange es funktioniert werde ich es nutzen. der ungemeine vorteil ist einfach das es auch kompatibel zu time machine ist. was man von discimages leider nicht wirklich behaupten kann.
      zwar können sie komplett gesichert werden, aber es ist halt immer eine komplett sicherung. EncFS bietet mir hingegen die möglichkeit wirklich nur die veränderten dateien zu sichern.
      deutlich vorteilhafter wenn man also die daten lokal auch per TM sicher will.

    • Martin (MacMacken)
      17. April 2011

      Zur Verwendung mit «Time Machine» kann man Mac OS X-Sparse Bundles mit Verschlüsselung nutzen. Allerdings ist fraglich, ob Dropbox inzwischen damit umgehen kann …

  2. DAMerrick
    17. April 2011

    Mal so gefragt, es ist verständlich das man seine Privatsphäre schützen will.

    Aber im gegensatz zu dir, Martin, mir und noch ein paar wenigen pochen die Nutzer nicht so sehr auf Sicherheit. So haben die PCs zwar Passwörter und manche Daten werden sogar verschlüsselt (TANs for example) aber FDE? Alles verschlüsselt? Das haben die wenigsten, wäre den meisten zu umstaendkich und finden die meisten auch unnötig.

    Seien wir doch mal ehrlich, das Dropbox Zugriff auf die Daten hat finden weniger Leute gravierend als die Tatsache das ein Skript ausreicht um auf die Dropbox Daten zugriff zu erhalten.

    Es ist einfach fuer den Durchschitt zu paradox seine privaten Daten auf einen Server zu laden wo keiner mehr drankommt aber seinen PC nur mit dem Standardoassword ohne Verschlüsslung zu schützen.

    Und die, welche auch FDE nutzen, werden keine sensiblen Daten unverschluesselt auf Dropbox laden.

    Reply
    • Martin (MacMacken)
      17. April 2011

      @DAMerrick:

      Mal so gefragt, es ist verständlich das man seine Privatsphäre schützen will.

      IMHO ja. Aber leider ist es viel einfacher, Gefahren dieser Art zu verharmlosen anstatt sich zu schützen. Dropbox beispielsweise ist bequem und jede Art von Schutz beschränkt diese Bequemlichkeit erheblich.

      Gerne vergessen geht bei solchen Diskussionen, dass viele Benutzer verpflichtet sind, Daten bei Dropbox und Co. sicher zu speichern: Berufs- und Geschäftsgeheimnisse, aber auch viele Verpflichtungen vertraglicher Natur. Solche Benutzer setzen nicht nur Datensicherheit und Datenschutz aufs Spiel, sondern auch ihre persönliche Karriere und allenfalls ihre bürgerliche Existenz.

    • André
      1. Juni 2011

      Niemand ist verpflichtet, irgendwas bei Dropbox zu speichern. (Dein Satz hat da eine andere Aussage.) Und die Verpflichtung zur sicheren Speicherung von Daten betrifft keinesfalls „viele Benutzer“.

      Wenn ich nun zu dieser Minderheit gehöre und es hart auf hart kommt, muss ich irgendwie nachweisen, nicht fahrlässig mit Daten umgegangen zu sein. Da sollte ich dann schon die AGBs gelesen haben.

      Einfache Regel: Sensible Daten sollten nicht hochgeladen werden. Und wenn doch, sollte ich mich selbst um die Verschlüsselung kümmern. Sich auf die Werbe-Versprechen anderer zu verlassen ist keine gute Strategie.

  3. Helmut
    17. April 2011

    Hi, das Versprechen der lokalen Verschlüsselung gibt aus iDrive ab. Wer weiss Genaues?

    Reply
  4. Markus
    17. April 2011

    Es gibt ja immer noch die Möglichkeit, Truecrypt mit Dropbox zu benutzen. Näheres siehe auch hier.

    Reply
    • Martin (MacMacken)
      17. April 2011

      Klar, diese Möglichkeit besteht — aber wie schon oben erwähnt sind verschlüsselte Disk Images im Alltag umständlich, denn sie entsprechen nicht den standardmässigen Strukturen um Daten zu speichern und stehen dem System (beispielsweise «Spotlight») erst nach dem Mounten zur Verfügung.

      Verschlüsselte Sparse Images sind unabhängig von Dropbox und Co. für besonders schützenswerte Daten sinnvoll, für den grössten Teil der Benutzerdaten aus meiner Sicht aber zu wenig komfortabel.

  5. iReview 15/2011 - iPad, iPhone - ApfelBlog
    17. April 2011

    […] amerikanische Unternehmen Ihre Produkte im eigenen Land fertigen und so für mehr Jobs sorgen.Dropbox mit falschem Sicherheitsversprechen – Dropbox ist beliebt, keine Frage. Die Sicherheit könnte aber besser sein.Apple […]

    Reply
  6. Alex
    17. April 2011

    Vielen Dank für den Beitrag.

    Spannendes Thema. Ich hatte bisher auch relatv sorglos auch sensible Daten auf Dropbos abgelegt.

    Wie sicher schätzt Ihr denn die Möglichkeit ein, einzelne Dateien mit PGP direkt zu verschlüsseln und abzulegen?

    Viele Grüße
    Alex

    Reply
    • Martin (MacMacken)
      17. April 2011

      @Alex:

      Wie sicher schätzt Ihr denn die Möglichkeit ein, einzelne Dateien mit PGP direkt zu verschlüsseln und abzulegen?

      Umständlich, aber unproblematisch im Bezug auf Dropbox — sofern man davon ausgeht, dass PGP (oder GnuPG) grundsätzlich sicher ist und davon kann man als Benutzer zum heutigen Zeitpunkt wohl ausgehen.

  7. Thomas
    18. April 2011

    SpiderOak verschlüsselt Dateien lokal auf jedem Rechner bevor sie in die Cloud kommen und hat nach eigener Aussage keinen Zugriff auf die Schlüssel:

    https://spideroak.com/

    Reply
  8. Michael
    2. Mai 2011

    Du verweist auf das Dropbox-Versprechen, dass Mitarbeiter keinen Zugriff auf gespeicherte Daten hätten. Es geht hier aber nicht um irgendwelche Mitarbeiter aus Fleisch und Blut, es geht um Algorithmen, die im Zweifel Datenbestände nach was für undurchsichtigen Kriterien und über welche Schnittstellen auch immer scannen.

    Wer sich nur hinreichend Gedanken um die Sicherheit seiner Daten macht, sollte sich vor Augen führen, wer Dropbox betreibt. wo deren Server stehen und wer Zugriff darauf hat. Es ist nicht nur vor dem Hintergrund des Patriot Act ein datenschutzrechtliches Desaster, hier irgendetwas „sichern“ zu wollen. Post-Privacy-Diskussion hin oder her…

    Wer steht denn bei Datenlecks (welche auch immer das sein mögen) oder bei Datenverlusten für die Folgen gerade. Wer ist der Ansprechpartner bei Verletzungen der Privacy, wo ist die notwendige Transparenz.

    Dropbox ist sicher eine praktische Sache, aber Dropbox ist kein Online-Backup-Dienst. Wer Daten sicher auslagern will, kommt um eine Strategie, die vor Allem einmal auf selbst gemanagter Hardware basiert, nicht drumherum. Vertrauenswürdige Online-Backup-Dienste im deutschen Rechtsraum sind für die Meisten von uns Overkill, aber Dropbox taucht allenfalls mal für den Austausch von ein paar Dateien.

    Dazu ist die Dropbox gut, zu mehr aber auch nicht. Leute, bei aller Bequemlichkeit, lasst die Finger von solchen Diensten und nutzt sie allenfalls mit grosser Wachsamkeit!

    Reply

Leave a Reply