Dropbox: Datenschutz und Datensicherheit

Inhalt

An der Dropbox scheiden sich die Gemüter: Wer schon eimal ausprobiert hat, wie praktisch das Tool für die tägliche Arbeit ist, will kaum wieder darauf verzichten. Andererseits ist nach zahlreichen Negativschlagzeilen immer ein mulmiges Gefühl dabei, wenn man an die Sicherheit der Daten denkt, die man dem Unternehmen anvertraut. Sie müssen aber nicht auf die Vorteile der Dropbox verzichten, wenn Sie mit eigenen Maßnahmen für die Sicherheit ihrer persönlichen Daten sorgen.

Im Web-Interface von Dropbox kann man Dateien hochladen, kopieren, umbenennen und mit anderen teilen. Kopiert man Dateien in diesen Ordner, sind diese für von überall über den Browser abrufbar.

Die eigentliche Stärke von Dropbox liegt aber in der Integration ins Betriebssystem. Dropbox lässt sich in Mac OS X, in Windows und in Linux integrieren und ist damit sehr einfach zu benutzen. In der Stärke liegt aber auch zugleich die große Schwäche.

Wird nun eine Datei von jemanden hochgeladen, dann prüft Dropbox, ob diese Datei bereits von jemand anderem hochgeladen wurde. Existiert eine Datei mit der Prüfsumme, dem passenden Datum und Namen schon auf den Servern von Dropbox, dann muß Dropbox die eigentliche Datei gar nicht mehr bekommen, denn Dropbox hat ja bereits passende Daten. Es genügt also serverseitig, die Datei auf dem Dropbox-Server für diesen Kunden sichtbar zu machen. Das ist schnell, spart Bandbreite und für Dropbox spart es Speicherplatz.

Durch die Installation des Dropbox-Clients wird auf dem Rechner ein neuer Ordner erstellt: die Dropbox. Alle darin gespeicherten Dateien werden auf einen zentralen Server kopiert. Bei Änderungen innerhalb einer Datei werden nur die geänderten Bereiche übertragen. Als zentrales Speichersystem wird hierbei S3 von Amazon verwendet. Serverseitig werden die Dateien mit einer AES-Verschlüsselung versehen. Die Nutzer können für diese Verschlüsselung keine eigenen Schlüssel anlegen.

Bis vor einiger Zeit hatten die Betreiber von Dropbox noch behauptet, dass die hochgeladenen Dateien von niemandem eingesehen werden könnten und somit die anvertraute Daten sicherer seien als auf dem eigenen Computer. Nach einer massiven Datenpanne ist das Unternehmen vorsichtiger mit solchen Aussagen geworden.

Wenn aber Dropbox schon staatlichen Behörden uneingeschränkten Zugang zu den Daten der Kunden gestattet, sollte man generell skeptisch sein. Jetzt hat sich aber auch noch das Onlinemagazin Weird bei der amerikanischen Handelsbehörde Federal Trade Commision (FTC) über das Geschäftsgebaren und den offensichtlich mangelhaften Datenschutz bei Dropbox beschwert, wie hier im PDF dokumentiert ist.

Dropbox selbst ist aktuell auch nicht nach gängigen internationalen Normen zertifiziert. Auf der Webseite sagt das Unternehmen dazu folgendes:

Frage: “Is Dropbox HIPAA, FERPA, SAS 70, Safe Harbor, ISO 9001, ISO 27001, or PCI compliant?”

Antwort: “Unfortunately, Dropbox does not currently have any of these certifications. We are working on getting EU Safe Harbor certification. We’ll update this page with any new certifications as we receive them, so please do check back.”

Wer seine persönlichen Daten einem Onlinespeicherdienst anvertraut, geht generell ein Risiko ein und somit ist es auch nicht verwunderlich, dass die Betreiber von Dropbox allen möglichen Behörden und staatlichen Institutionen Zugriff auf die gespeicherten Dateien seiner Nutzer gewährt.

Aber wie macht man die Dropbox sicherer?

Ist es nötig, jedesmal abzuwägen, ob die Daten, mit denen ich heute arbeite zu sensibel sind, um sie in die Dropbox zu kopieren? Besser ist es, die Daten egal wie wichtig sie sind, grundsätzlich immer zu verschlüsseln.

Es besteht die Möglichkeit, beispielsweise mit Truecrypt verschlüsselte Dateien über den Dropbox-Dienst zu synchronisieren. Dieses systemübergreifende Programm ist open source und kostenlos. Im einfachsten Fall verschlüsselt man seine Daten, bevor man sie in den Dropbox-Ordner legt und entschlüsselt sie, wenn man sie wieder lesen will. Der Umgang mit den Dateien wird dadurch nur ein wenig umständlicher, der Schutz der eigenen Informationen sollte es aber Wert sein, sich diesen kleinen Umweg anzugewöhnen. Dropbox selbst empfiehlt, mit wichtigen Daten so umzugehen.

Nachtrag im Februar 2014:
Aktuell plant ein Team von Sicherheitsforschern, Truecrypt einer umfassenden Prüfung zu unterziehen. Sie haben keinen konkreten Verdacht, aber wollen kontrollieren, ob die von Truecrypt bereitgestellten Binärversionen tatsächlich ausschließlich aus dem veröffentlichten Quellcode bestehen. Vielen Dank an unseren Leser Martin für den Hinweis!

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.