1049018

Wie sicher ist Dropbox?

16.05.2011 | 15:34 Uhr |

Dropbox in der Kritik: Angeblich geht der Cloud-Service unsauber mit den Daten seiner Anwender um und verschlüsselt nicht mit einem anwenderspezifischen Passwort. Dropbox dementiert - wir zeigen, was zu tun ist.

Das Internet-Magazin Wired hat einen Artikel veröffentlicht , der auf eine Klage gegen Dropbox bei der amerikanischen Federal Trade Commission hinweist. In dieser Klage, die man als PDF auch in voller Länge lesen kann , wird gegen eine Behauptungen von Dropbox hinsichtlich der Sicherheit der von Dropbox gespeicherten Nutzerdaten Stellung bezogen. So sei es nicht richtig, wie von Dropbox bisher behauptet, dass Mitarbeiter von Dropbox in keinem Fall auf die Daten der Nutzer zugreifen können. Denn anders als von vielen Anwendern vermutet würden die Daten nicht mit dem Benutzerpasswort des Anwenders verschlüsselt, sondern mit einem von Dropbox selbst erstellten Schlüssel, der Angestellten von Dropbox zugänglich sei.

Stellungnahme von Dropbox

Inzwischen hat Dropbox hierzu in einem Blog Stellung genommen und dort unter anderem festgehalten:

"Some concerns have been raised about our Help Center article and other statements that discuss employee access to user data. We agree that we could have provided more details and we will be updating these to make them more clear. Like most major online services, we have a small number of employees who must be able to access user data when legally required to do so. But that’s the exception, not the rule. We have strict policy and technical access controls that prohibit employee access except in these rare circumstances. In addition, we employ a number of physical and electronic security measures to protect user information from unauthorized access."

Außerdem geht der Blog darauf ein, dass Anwender, die mit der Speicherung der Schlüssel durch Dropbox nicht zufrieden sind, ihre Daten selbst verschlüsseln und erst dann an Dropbox übergeben sollten:

"The files you store on Dropbox’s servers are encrypted using an industry standard, AES-256. We manage the encryption keys on our users’ behalf. This encryption protects against a variety of security threats, particularly when your data is at rest. For users who feel more comfortable managing their own encryption keys, we recommend using products like TrueCrypt to store encrypted volumes within their Dropboxes. Those users will unfortunately lose access to some functionality, but we leave this decision to the user."

Neue Texte zur Sicherheitsinfo

Zudem hat Dropbox auch seine Hilfetexte zur Sicherheit geändert . Dort heißt es nun:

"Dropbox employees are prohibited from viewing the content of files you store in your Dropbox account, and are only permitted to view file metadata (e.g., file names and locations). Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). But that’s the rare exception, not the rule. We have strict policy and technical access controls that prohibit employee access except in these rare circumstances. In addition, we employ a number of physical and electronic security measures to protect user information from unauthorized access."

Was sollte man tun?

Aus dem Blog von Dropbox und den geänderten Texten geht eindeutig hervor, dass die Klage bei der amerikanischen Federal Trade Commission nicht grundlos erfolgt ist. Wer Dropbox verwendet, aber absolut sicher sein möchte, dass auch in Ausnahmefällen niemand auf seine Daten zugreifen kann, muss diese deshalb vor dem Ablegen im Dropbox-Ordner selbst verschlüsseln. Auf dem Mac kann man hierzu beispielsweise ein verschlüsseltes Disk-Image anlegen oder die Daten beispielsweise mit dem Shareware-Programm Better Zip sowohl verschlüsseln als auch komprimieren. Beide Lösungen haben jedoch den Nachteil, dass dann jeweils immer das gesamte Image oder ZIP-Archiv auf die Server von Dropbox übertragen werden müssen, wenn man etwas geändert hat. Oder man sucht sich einen anderen Dienstleister. Als Alternativen kommen beispielsweise Spideroak oder Wuala in Frage, bei denen ihren Angaben nach die Daten mit einem anwenderspezifischen Passwort verschlüsselt werden.

0 Kommentare zu diesem Artikel
1049018