Dropbox: Datenschutz und Datensicherheit

Geschrieben am: | Geschätzte Lesezeit: 4 Minuten

An der Dropbox scheiden sich die Gemüter: Wer schon eimal ausprobiert hat, wie praktisch das Tool für die tägliche Arbeit ist, will kaum wieder darauf verzichten. Andererseits ist nach zahlreichen Negativschlagzeilen immer ein mulmiges Gefühl dabei, wenn man an die Sicherheit der Daten denkt, die man dem Unternehmen anvertraut. Sie müssen aber nicht auf die Vorteile der Dropbox verzichten, wenn Sie mit eigenen Maßnahmen für die Sicherheit ihrer persönlichen Daten sorgen.

Im Web-Interface von Dropbox kann man Dateien hochladen, kopieren, umbenennen und mit anderen teilen. Kopiert man Dateien in diesen Ordner, sind diese für von überall über den Browser abrufbar.

Die eigentliche Stärke von Dropbox liegt aber in der Integration ins Betriebssystem. Dropbox lässt sich in Mac OS X, in Windows und in Linux integrieren und ist damit sehr einfach zu benutzen. In der Stärke liegt aber auch zugleich die große Schwäche.

Wird nun eine Datei von jemanden hochgeladen, dann prüft Dropbox, ob diese Datei bereits von jemand anderem hochgeladen wurde. Existiert eine Datei mit der Prüfsumme, dem passenden Datum und Namen schon auf den Servern von Dropbox, dann muß Dropbox die eigentliche Datei gar nicht mehr bekommen, denn Dropbox hat ja bereits passende Daten. Es genügt also serverseitig, die Datei auf dem Dropbox-Server für diesen Kunden sichtbar zu machen. Das ist schnell, spart Bandbreite und für Dropbox spart es Speicherplatz.

Durch die Installation des Dropbox-Clients wird auf dem Rechner ein neuer Ordner erstellt: die Dropbox. Alle darin gespeicherten Dateien werden auf einen zentralen Server kopiert. Bei Änderungen innerhalb einer Datei werden nur die geänderten Bereiche übertragen. Als zentrales Speichersystem wird hierbei S3 von Amazon verwendet. Serverseitig werden die Dateien mit einer AES-Verschlüsselung versehen. Die Nutzer können für diese Verschlüsselung keine eigenen Schlüssel anlegen.

Bis vor einiger Zeit hatten die Betreiber von Dropbox noch behauptet, dass die hochgeladenen Dateien von niemandem eingesehen werden könnten und somit die anvertraute Daten sicherer seien als auf dem eigenen Computer. Nach einer massiven Datenpanne ist das Unternehmen vorsichtiger mit solchen Aussagen geworden.

Wenn aber Dropbox schon staatlichen Behörden uneingeschränkten Zugang zu den Daten der Kunden gestattet, sollte man generell skeptisch sein. Jetzt hat sich aber auch noch das Onlinemagazin Weird bei der amerikanischen Handelsbehörde Federal Trade Commision (FTC) über das Geschäftsgebaren und den offensichtlich mangelhaften Datenschutz bei Dropbox beschwert, wie hier im PDF dokumentiert ist.

Dropbox selbst ist aktuell auch nicht nach gängigen internationalen Normen zertifiziert. Auf der Webseite sagt das Unternehmen dazu folgendes:

Frage: “Is Dropbox HIPAA, FERPA, SAS 70, Safe Harbor, ISO 9001, ISO 27001, or PCI compliant?”

Antwort: “Unfortunately, Dropbox does not currently have any of these certifications. We are working on getting EU Safe Harbor certification. We’ll update this page with any new certifications as we receive them, so please do check back.”

Wer seine persönlichen Daten einem Onlinespeicherdienst anvertraut, geht generell ein Risiko ein und somit ist es auch nicht verwunderlich, dass die Betreiber von Dropbox allen möglichen Behörden und staatlichen Institutionen Zugriff auf die gespeicherten Dateien seiner Nutzer gewährt.

Aber wie macht man die Dropbox sicherer?

Ist es nötig, jedesmal abzuwägen, ob die Daten, mit denen ich heute arbeite zu sensibel sind, um sie in die Dropbox zu kopieren? Besser ist es, die Daten egal wie wichtig sie sind, grundsätzlich immer zu verschlüsseln.

Es besteht die Möglichkeit, beispielsweise mit Truecrypt verschlüsselte Dateien über den Dropbox-Dienst zu synchronisieren. Dieses systemübergreifende Programm ist open source und kostenlos. Im einfachsten Fall verschlüsselt man seine Daten, bevor man sie in den Dropbox-Ordner legt und entschlüsselt sie, wenn man sie wieder lesen will. Der Umgang mit den Dateien wird dadurch nur ein wenig umständlicher, der Schutz der eigenen Informationen sollte es aber Wert sein, sich diesen kleinen Umweg anzugewöhnen. Dropbox selbst empfiehlt, mit wichtigen Daten so umzugehen.

Nachtrag im Februar 2014:
Aktuell plant ein Team von Sicherheitsforschern, Truecrypt einer umfassenden Prüfung zu unterziehen. Sie haben keinen konkreten Verdacht, aber wollen kontrollieren, ob die von Truecrypt bereitgestellten Binärversionen tatsächlich ausschließlich aus dem veröffentlichten Quellcode bestehen. Vielen Dank an unseren Leser Martin für den Hinweis!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

5 Kommentare

  1. Mik Jak Farther Profilbild
    Mik Jak Farther

    Was ist mit den Metadaten?
    Dropbox erfährt die Mailadressen aller Gäste deiner Feier, wenn du ihnen die Fotos schickst. Dropbox (und andere Cloud-Dienste) können ein digitales Soziogramm der Gesellschaft anlegen (wer kennt wen wie gut?).
    Ist das nicht die eigentliche Gefahr?

    Antworten
    1. Michael Plankemann Profilbild
      Michael Plankemann

      Danke für den Kommentar.
      Wir sind in diesem Beitrag bewusst nicht auf die Probleme eingegangen, die entstehen, wenn man Dropbox fremde Daten zugänglich macht. Werden fremde personenbezogene Daten (hierzu zählen auch entsprechende Metadaten) verarbeitet, müssen selbstverständlich die rechtlichen Voraussetzungen hierfür eingehalten werden. Zum einen ist eine belastbare Rechtsgrundlage zwingend, zum anderen müssen eingesetzte Dienstleister den gesetzlichen Vorgaben entsprechend beauftragt werden. Ohne einen Vertrag zur Auftragsdatenverarbeitung und ohne “vereinbarte Datenschutzgarantien” ist der Einsatz rechtswidrig.

      Antworten
  2. Clemens Pelz Profilbild
    Clemens Pelz

    Gibt es denn eine sichere Alternative zur Dropbox?

    Ich habe sie auf dem Handy installiert und mag überhaupt nicht, dass die automatisch geteilten Fotos sichtbar werden. Trotzdem mag ich sie online irgendwo ablegen können, wenn es geht, direkt per Handy und unmittelbar nach der Aufnahme.

    LG

    Clemens

    Antworten
  3. Bernd Profilbild
    Bernd

    Man darf nicht vergessen daß Dropbox ein Programm ist welches mit eingeschränkten Benutzerrechten innerhalb der Benutzerumgebung installierbar ist. Interessanterweise funktioniert der Uninstall nur über die UAC und erhöhten Rechten (Häh? wie krank und ohne wirkliches Programmkonzept ist das Ganze überhaupt dann gestrickt?)
    Das bedeutet auch daß das Programm in seiner Gesamtheit und in seiner Funktionalität durch Viren/Malware ganz einfach angreifbar und kompromittierbar ist!!!!! und zwar mit den einfachen Rechten eines eingeschränkten Benutzers. Daher rate ich von Dropbox bis heute und auch weiter in die Zukunft DRINGEND ab!

    Antworten

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.