Dropbox hat wohl die Nutzer belogen, was die Sicherheit betrifft

Dropbox ist ein beliebter Service mit rund 25 Millionen Nutzern, mit dessen Hilfe man Daten bequem in der Cloud speichern kann. Das ist praktisch, wenn man nicht alles auf der eigenen Festplatte ablegen möchte, und z.B. dezentral von verschiedenen Rechnern darauf zugreifen möchte. Ein weiteres Anwendungsszenario ist Filesharing, da man Ordner mit anderen Nutzern teilen kann. Bisher erklärte Dropbox immer, dass die Daten gut verschlüsselt sind und Dropbox-Mitarbeiter nicht sehen können, was die Nutzer speichern. Das war natürlich eine vertrauensbildende Maßnahme, wer möchte schon einen Dienst nutzen, wo man vielleicht sensible Daten auf eine Festplatte in der Clound hochlädt, und fremde Menschen darin rumstöbern können. Nun, das mit der Verschlüsselung war wohl eine Lüge, wie das Wired-Blog Threat-Level berichtet: Dropbox Lied to Users about Data Security, Complaint to FTC Alleges. Vor kurzem wurde die Webseite geändert.

Up until April 13, the site promised this: “Dropbox employees aren’t able to access user files, and when troubleshooting an account, they only have access to file metadata (filenames, file sizes, etc. not the file contents).”
Now the site says “Dropbox employees are prohibited from viewing the content of files you store in your Dropboxaccount, and are only permitted to view file metadata (e.g., file names and locations).”

Dropbox checkt wohl bei jedem Upload mit einem Hash, ob jemand anderes schonmal dieselbe Datei hochgeladen hat. Gleichzeitig liegen die Schlüssel bei Dropbox und nicht beim Nutzer. Der Wissenschaftler Christopher Soghoian hat jetzt eine Beschwerde bei der FCC eingereicht, wo er seine Analyse näher beschreibt (PDF) und Dropbox der Lüge bezichtigt.

Mittlerweile weist Dropbox daraufhin, dass man ab und an auch aus rechtlichen Gründen auf die Daten zugreifen muss:

Like most online services, we have a small number of employees who must be able to access user data for the reasons stated in our privacy policy (e.g., when legally required to do so). But that’s the rare exception, not the rule. We have strict policy and technical access controls that prohibit employee access except in these rare circumstances. In addition, we employ a number of physical and electronic security measures to protect user information from unauthorized access.

Über die Backdoor-Funktion bei Dropbox mit dem neuen Feature des Behördenzugangs hatten wir bereits vor einem Monat berichtet. Was ist aber nun von einem Anbieter zu halten, der offensichtlich seine Kunden belogen hat? Auch wenn der Service noch so praktisch ist, kann man dem Anbieter noch vertrauen?

Update: Kristian Köhntopp hat sich Ende April auch schon mit der Frage beschäftigt: Verschlüsselt Dropbox überhaupt?

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

42 Ergänzungen

  1. der Cloud sollte man grundsätzlich nicht vertrauen und nur Doppeltes und selber Verschlüsseltes hineintun. Ich versteh die Aufregung nicht so ganz.

  2. Denke auch, dass man grundsätzlich nicht vertrauen sollte. Momentan komme ich mit Dropbox in Kombination mit Truecrypt gut zurecht, wenn man vom Nachteil des, zumindest jetztigen, Wegfalls der Smartphone-Nutzung absieht.
    Ob ich aus Prinzip zu Wuala oder etwas anderem wechseln werde, kann ich mir selbst noch nicht beantworten.

  3. Im Punkto Verschlüsselung kann man generell KEINER CSS trauen … nicht nur Cloud, auch lokal.

  4. Seltsam. Ich hatte den Satz „Dropbox employees aren’t able to access user files…“ immer so verstanden, dass zwar die normalen Angestellten von Dropbox die Daten nicht entschlüsseln können bzw. dürfen, die Geschäftsführung (oder eine andere kleine, klar definierte Gruppe innerhalb Dropbox) dazu durchaus in der Lage ist.
    Es ist doch einfach anhand der „Verhaltensweise“ der Dropbox-Software bzw. mancher Features offensichtlich, dass eben _nicht_ mit benutzerspezifischen Schlüsseln gearbeitet wird, sondern dass Dropbox einen (oder mehrere) Master-Schlüssel hat, mit dem die Daten aller Nutzer verschlüsselt werden.

  5. Nur mal so als Erinnerung: Dropbox hat ein Webinterface, in dem man sich alle Daten in seinem Account ansehen kann. Da dabei offensichtlich keine Krypto in Javascript/Flash/Java implementiert ist, müssen die Daten serverseitig unverschlüsselt vorliegen. Also kann Dropbox alle Daten entschlüsseln.

    Ich habe echt so langsam den Eindruck, dass es um die technische Kompetenz in weiten Teilen der „Netzcommunity“ nicht besonders gut bestellt ist…

    1. ja, die netzgemeinde hat wenig plan von sicherheit.
      das stimmt, das gebe ich auch zu. liegt aber auch daran, dass dies nicht einfach ist-die ganzen netten aps und gadgets sind super noobkompatibel, einfach und intuitiv zu bedienen. aber ein gutes sicherheitskonzept für einen pc eben nicht.

      klar, antiviren software und firewalls sind irgendwo noch simpel, aber das reicht ja idr nicht. ich hab auch mal überlegt mich mit dem verschlüsselungskram auseinander zu setzen, aber für jemanden, der das internet nur so nebenher nutzt ist sowas auf den erste blick arsch-umfangreich und regelrecht erschlagend.

      es fehlt an hilfen, kurse für gute onlinesicherheit und einfach, intuitive programme, die einen etwas an die hand nehmen und für netzdeppen wie mich gemacht sind-solange eine gute sicherheit nicht so intuitiv wird wie die haustür ab zu schliessen, dann werden viele leute da keinen bock und ggf auch einfach keine zeit haben.

      man muss sich einlesen, das prinzip kapieren, wissen wie man es richtig installiert und aufbaut, um das sinnvoll und funktionabel zu machen ohne seinen pc total zuzumüllen und ihn abschnarchen zu lassen. man sollte wissen wie man für aktualität sorgt, worauf zu achten ist, wie so versteckte viren denn erkennbar sind, welche gefahren in neuen medien die man selbst nutzt stecken-aber dafür muss man auch erstmal stundenlang recherchieren, vor und nachteile abwägen, sich informieren wie die programm zu installieren und einzurichten sind[das ist ja auch nicht immer einfach] da hat nicht jeder zeit und auch-weil ich denke dass viele das total trocken finden[wie ich auch] leider keine lust.

      also-wo sind die leute die daran arbeiten, sicherheitsprodukte so gut zu machen wie die apps-also eben nicht nur sicher sondern auch benutzerfreundlich, etwas an die hand nehmend und alles gut und simpel erklärend.
      [z.B: wenn sie dieses Programm einrichten, wird es ihre wichtigen daten in ein paket packen und es mit einem schlüssel verschliessen. sie haben den schlüssel, den sie bitte auch nur an einem bestimmten ort lagern sollten-denn sie legen ihren haustürschlüssel ja auch nicht auf die fensterbank nachdem sie das haus verlassen, oder? Sollten sie den schlüssel an jemanden weitergeben, an kollegen oder freunde, so sollten sie sich absolut sicher sein, dass diese wirklich die betreffenden Personen sind. Gehen sie absolut sicher-denn sie würden ihren haustürschlüssel ja auch niemandem anvertrauen, der ihrem nachbarn nur ähnlich sieht, oder?“]
      wo sind umfangreiche [online]sicherheitskurse, die einem die grundlagen so gut beibringen, dass die Aktualisierung gut von der hand geht? wo sind die seiten, die umfangreich und übersichtlich informieren- z.b eine seite die alle bekannten sicherheitslöcher für z.b andriod und co zeigt und die erklärt,wie man z.b sein smartphone so sicher wie möglich bekommt? und wenn es die schon gibt,warum wird nicht mehr dafür geworben, das öffentlich gemacht und darauf hingewiesen?
      Sowas sollte wirklich simpel und eingängig formuliert werden-also einfach verständlich und dann mit verweisen auf vertiefungen[aber das programm oder die hilfe sollte mir der simpelsten erklärung verstanden und benutzt werden können] Also versucht euch die user als omis vorzustellen-wer es schon versteht darf ja dem hinweis auf vertiefung folgen, aber wenn alles auf einmal ausgeschüttet wird überfordert das viele.

      die netzgemeide besteht heutzutage nunmal hauptsächlich aus menschen wie mir*,
      also leute die halt ihre freizeit gern mal verdaddeln, das inet für recherche und sowas nutzen, aber sonst eben halt wenig interese an der materie haben-weil es eben sehr umfangreich ist, [und mathematisch dazu *wörks*]sich die bedrohungen stets addieren und es schon schwer ist für jeden neuen kram den man nutzt erstmal auf x seiten zu recherchieren, wo er einem gefährlich werden könnte. Auf der einen seite die toleln aps mit guter werbung udn blingbling udn auf der anderen siete ne datenwüste mit zaun-das ist wie ein zuckerglasierter cupcake mit cremigster leckerer creme und zuckerperlen gegen staubtrockenes, 5 tage altes Zwergen-dinke-brot

      und viele interessiert das auch nicht weil ihnen die gefahr null bewusst ist-aber da wird ja aufgeklärt, immerhin etwas.

      *[wobei ich mich noch als recht sicherheitsschätzend einschätze-ich hab z.b kein Smartphone weil ich keinen bock´ auf den überwachungskram habe und verweigere mich noch aktiv der dropbox- aber bin auf facebook auch wenn ich da wieder kündigen möcht]

  6. Das hat man doch schon bei Apple gehört. Es scheint mir so, als könnte man den Unternehmen kaum noch vertrauen, wenn es um solche Sachen geht. Solange die Daten auf meinem Computer gespeichert sind, weiß ich genau, was damit passiert. Wenn ich aber etwas auf einen anderen Server hochlade, dann habe ich nur das Wort von dem Betreiber. Und das scheint ja nicht viel Wert zu sein.

  7. Wie sollte bei Dropbox die Dedup-Funktion mit Vollverschlüsselung funktionieren? Und dass Dropbox mit Strafverfolgungsbehörden zusammen arbeitet ist imho auch keine Überraschung.
    Ein bisschen Nachdenken, vor allem wenn man seine Daten ins Ausland (besonders die USA) auslagert schadet nie.

    Btw. aus einer Mail vom Dropbox-Support als ich Ende Januar/Anfang Februar zwecks Verschlüsselung und Dedup nachfragte:
    Dropbox employees are never permitted to view user files… (Hervorhebung durch mich). So stand es iirc damals auch in den AGB.

  8. Gähn. Also echt, Markus, das mit der Verschlüsselung war schon vor Wochen ein Thema und ich glaube, das wurde sogar in den früheren Artikeln hier auf netzpolitik.org erwähnt.

    Da ist es schon ein bisschen unfair, dass Du die Wochen alte Stellungnahme von Dropbox zu diesem Thema nicht gesucht, gefunden, gelesen und verlinkt hast: http://blog.dropbox.com/?p=735

    Ausserdem ist es völlig logisch, dass Dropbox prinzipiell an die Daten kann, sonst könnte der Dienst nicht funktionieren, so wie er es tut.

    Und Big Brother USA würde ganz schnell den Laden dicht machen, wenn sie nicht auf die unverschlüsselten Daten von 25 Millionen (oder noch mehr) Terroristen zugreifen könnten. (Siehe Blackberry in arabischen Ländern.)

    Wem seine Daten lieb und wichtig sind, der verschlüsselt sie selbst. Und der informiert sich vorher natürlich, wie richtige Verschlüsselung funktioniert und verlässt sich nicht auf notwendig verkürzte Werbeaussagen von irgendwelchen Dienstleistern.

    Vor ein paar Tagen gab es doch auch den Fall, wo ein Cloud-Passwortdienst (dass es überhaupt so etwas gibt, ist eine Beleidigung der Intelligenz) für die Nutzer gespeicherte Passwörter „verloren“ hat…

  9. Es gibt sehr wohl Cloud-Speicherdienste, die benutzerspezifische Schlüssel verwenden. Man erkennt diese daran, dass es keine Möglichkeit gibt, die Daten wiederherzustellen, wenn der Schlüssel verloren ist. Und natürlich keine Deduplizierung über Account-Grenzen hinweg.

    Beispiel:
    http://spideroak.com/

  10. Als das Posting im Feed auftauchte, dachte ich erst, dass Euer Feed Schluckauf hat, denn das Thema ist doch schon genügend durchgenudelt worden.

    Denjenigen, die sich jetzt ernsthaft belogen fühlen, kann man eine gewisse Naivität bescheinigen. Wer sich etwas mit den Features von Dropbox beschäftigt hat, dem sollte klar gewesen sein, dass Dropbox die Daten gar nicht verschlüsseln kann, weil dann die Key-Features nicht mehr oder nur noch mit großem Aufwand funktionieren würden.

    Wenn von Verschlüsselung die Rede ist/war, dann dürfte damit die Verschlüsseln gegenüber dem als Storage genutzten Amazon-S3 gemeint sein. (Und dass Dropbox und nicht der User diese Keys hat, war schon immer ein Kritikpunkt.)

    Und zur Einsichtnahme durch Mitarbeiter von Dropbox kann man auch nur fragen, wie naiv man sein kann, wenn man glaubt, dass der Betreiber, der für einen die Encryption macht (oder auch nicht), nicht in die Daten sehen kann. Mir war immer klar, dass es bei Dropbox Admins gibt, die die Daten in Klartext sehen können, dies aber nicht tun sollen.

    Meine Antwort auf diese Unwägbarkeiten ist encfs. Alles was inhaltlich eine gewisse Kritikalität übersteigt, wird per encfs gecryptet. Ich halte encfs für diesen Use case für geeigneter als True Crypt, weil es auf Dateibasis verschlüsselt.

    Wenn man – wie ich – die Einbindung in mobile Apps nutzt, muss man das Risiko abwägen und für den Teil seiner Daten, die man mobil Nutzen möchte, auf Crypto verzichten.

  11. Jetzt mal ehrlich … welche Firma würde einen Dienst anbieten, der komplett in den Händen der Nutzer ist? Verschlüsselung ist nur für eines gut: Daten vor dem Zugriff von Hackern oder anderen Unbefugten zu schützen. Dropbox ist eine US Firma, also ist absolut sicher, dass die Geheimdienste Zugriff haben. Es mag sogar sein, dass es vorher nicht so war, aber diese Änderung lässt den Schluss zu, dass es von deren Seiten eine Intervention gab.
    Es ist gut, auf diese Umstände laut aufmerksam zu machen, damit unbedarfte Nutzer vielleicht gewarnt werden, aber für einen etwas mehr informierten Nutzer, darf das alles keine Überraschung sein.

    Buhu, Firmen und Regierungen lügen …. welch Überaschung

  12. Ich habe vor anderthalb Jahren eine Datei hochgeladen, die weit verbreitet war, damals habe ich mich gewundert, dass die ca. 10 MB so schnell synchronisiert waren. Schon damals bin ich davon ausgegangen, dass Dropbox die Datei erkennt und intern synchronisiert.
    Seitdem liegen nur noch ungefährliche Fotos und verschlüsselte Dateien dort.
    Auch wenn ich weiß, dass es keinen perfekten Schutz gibt.

  13. Danke für den Artikel. Also ich weiß schon, warum ich lieber Wuala nutze. Die Daten werden VOR dem Upload auf meinem Rechner verschlüsselt, da sieht keine Wuala Employee auch nur irgendwas von. Dazu kommt noch, das Wuala wesentlich mehr Funktionen hat als Dropbox. Also DIE Alternative!?

  14. So lange die Leute von ihrer Marktmacht keinen Gebrauch machen, wird sich kaum etwas ändern. Dafür ist man aber viel zu bequem bzw. die ganzen vermeintlichen Heilsbringer der Generation Web 2.0 einfach viel zu „praktisch“ oder gar „alternativlos“, um darauf verzichten zu wollen.

    Da treibt man doch lieber fast wöchentlich die Sau durchs Blogdorf, das bringt einem die notwendigen Page Impressions, die man braucht, um sich das Ticket für das nächste Klassentreffen zu kaufen. Dort sinniert man dann z.B. über die bösen Paragraphen in den Facebook-AGBs. Und weils so schön war, drückt man zum Dank auch gleich noch den „Mag ich“-Button.

    What’s next?

      1. Welch wolkige Antwort.

        Oh, btw: tatsächlich war der Köhntopp-Artikel an mir vorbeigegangen. Daher thx für artikel und thread, ist sehr lustig zu lesen.

        Was ich mich immer wieder bei Dropbox frage: die Soft hat schreibrechte auf einer lokalen Platte, im zweifel der root-Partition. Gibt’s schon einen Killswitch-Fall, bei dem mal die ganze „Box“ oder gar mehr einfach weg war? (Links, anyone?) Die PR-Abteilung schreibt dann bestimmt wieder, daß vorläufig, und wir betonen vorläufig, Skynet dafür nicht verantwortlich gemacht werden kann.
        *g*

  15. Wie kann man aus dem Satz etwas von einer Verschlüsselung ablesen? Da steht nur das Mitarbeiter nur den Inhalt der Ordner sehen können, die Datei aber nicht öffnen. Weil sie dazu nicht die Zugriffsrechte haben. Ich bin immer davon ausgegangen das Dropbox nicht verschlüsselt, wurde IMHO auch immer als Nachteil von Dropbox genannt.
    Schlüssel die nur beim User liegen? Wie kommt ihr darauf? Dropbox installieren, Passwort rein – Dienst läuft. Gäbe es Schlüssel beim User müssten die doch von einem Gerät auf das andere übertragen werden oder gesichert.

  16. Erst 250GB gratis, jetzt 500GB, da sieht wohl der Laden seine Felle davon schwimmen, wenn er seine Spambots immer mehr bieten läßt :).

    Mein Vorschlag: wir reden weiter über die UNSICHERHEIT von Dropbox und über die LÜGEN der Betreiber – vielleicht fällt denen ja bei 1TB gratis so langsam auf, dass Gratisspeicher nicht alles ist, was man von so einem Dienst erwartet :).

    Naja, ich hab das Thema „Cloud“ für mich schon wieder abgehakt. Meine Daten liegen bei jemandem, dem ich vertrauen kann: bei mir.

    1. Der Laden hat keine Spambots, das ist nur ein Spinner der seinen Account vergrößern will.
      Belege mir das mit den „Lügen“ doch bitte mal. Das Dropbox wegen der fehlenden Verschlüsselung unsicher ist wusste ich schon immer.
      BTW du hast deine eigene Cloud bei dir stehen + eigene IP oder brauchst deine Daten nur lokal?

  17. Was ist aber nun von einem Anbieter zu halten, der offensichtlich seine Kunden belogen hat?

    Hm, ich bin da wohl zu sehr Realist (oder Paranoide?!), ich gehe IMMER davon aus, daß ein Anbieter von was auch immer mich anlügt und mir nur irgendwelchen Käse aufschwatzen will. Er kann mich natürlich gerne vom Gegenteil überzeugen – was bisher nur sehr wenigen gelungen ist.

    Für mich geht es immer nur darum, das am wenigsten schlechte Angebot zu nehmen. Wobei da natürlich viele Faktoren hineinfließen.

    gruß

  18. Immer noch nicht geschnallt?

    Google, Facebook, MS, Clouds, VZs und Konsorten, sie belügen Euch immer.

    Und Ihr seid einfach nur doof. Mein Brot aus dem Ofen hat mehr Verstand. Mehr Teig im Kern. Ihr wisst nichts. Gar nichts.

    Peer

    1. OMG ich wusste es immer – wollte es nur nicht wahr haben! Ich weiss nichts, gar nichts! SIE belügen UNS immer! Aber SIE werden meine beiden „Catcher in the Rye“ Ausgaben nie lebend bekommen!
      Aber halt, DU bist sicher auch nur einer von IHNEN! ARRRGGGHH

      1. @Mühsam

        Ich bin es nicht. Keine dumme Sau.

        Ich nutze gar nichts dergleichen. Facebook, VZs, Google und Konsorten behelligen meine Rechner nicht. Meine Rechner sind erstklassig erzogen.

        Mein IE kann auch deren Seiten gar nicht aufrufen oder umsetzen. Was da so blinkt und zaubert, geht meinem IE am Arsch vorbei. Nichts weiß das Netz über mich. Und ich möchte, daß es so bleibt. Meine über alles geliebten Rechner sind mir zu kostbar, als sie mit dem Schmuddel Facebook, Google etc. zu versauen.

        Werbung sehe ich auch nicht, denn wer läßt seinen Rechner durch Scriptings den Hintern treten? Idioten vielleicht. Meine Rechner bewahren sich davor. Mein IE zeigt keinerlei Werbung an und duldet keine Scripts.

        Sonst noch Fragen? Peer Jäger antwortet gerne.

        Peer

      2. Ja genau, Peer Jäger, das Netz weiss nichts über dich – da du es ja bestimmt gut erzogen, gell! Obwohl hinter einer grossen Klappe normalerweise nichts dahinter steckt, solltest du gemerkt haben, dass du nicht der einzige bist, der Informationen über dich im Netz verbreiten kann und du auch nicht wissen kannst was das Netz weiss.

        –>Bitte aufhören mit der Schaumschlägerei

  19. Den Sinn dieses Artikels verstehe ich überhaupt nicht. Wie du selbst schreibst, hat Linus das Thema vor einem Monat doch schon behandelt, und in den dortigen Kommentaren wurde es auch schön breitgetreten.

    Wissenschaftliche Analyse bei der FCC eingereicht? Da möchte sich jemand wichtig machen, nicht mehr. Wie die Deduplizierung von Dropbox funktioniert ist kein Geheimnis, es gibt inzwischen sogar Tools um diese zu nutzen, Dateien privat zwischen Benutzern zu
    kopieren (quasi File-Sharing ohne öffentliche Ordner; Blog-Artikel).

    Dropbox hat sehr schlecht kommuniziert, dem durchschnittlichen Anwender ist es herzlich egal, all das wussten wir schon vor über einem Monat.

  20. Das ist Schade. Wir hatten überlegt, Dropbox im Unternehmen für kleine Projekte zu nutzen. Wenn ich das alles lese, naja, dann will ich das eher nicht mehr haben. Schade.

    1. Kein Problem, es gibt ja noch Wuala und Spideroak, die funktionieren grundsätzlich anders als Dropbox und gelten als sehr sicher.

  21. Also wer nix zu verbergen hat muß sich auch keine sorgen machen , klar das man sich ärgern tut wenn man belogen wird aber da ich mir sowas schon lange – noch bevor dies jetzt bekannt wurde – gedacht habe befinden sich nur treiber und diverse freeware in meinem ordner.is halt auch ne bequeme BACKUP Methode ;-)

  22. Mir scheint, dass es heut zu Tage keinerlei Sicherheit mehr für die Daten gibt, ganz gleich wo diese liegen bzw. gespreichert sind.
    Damit spiegelt sich für mich die Naivität dieser Leute wieder,
    die so etwas nutzen !
    Wie weit soll das noch so weiter gehen ?
    Wie viele Menschen machen sich darüber überhaupt noch Gedanken ?
    ……………. ein schwer Geschädigter !

  23. Wer insb. aus dem Bereich der IT, heutzutage glaubt, dass eigene nicht selbst verschlüsselte Daten in eine Cloud hochgeladen werden können, der gehört asap gefeuert! Abgesehen von sonstigen Sicherheitsbelangen grenzt dies schon an Vorsatz. Irgendwelche Beteuerungen der Bereitsteller in Bezug auf eine gegebene Verschlüsselung sind nur mit äußerster Vorsicht zu genießen. Und auch wenn tatsächlich durch den Betreiber verschlüsselt wird, so sagt das noch gar nichts über den Grad der Zuverlässigkeit der Verschlüsselung aus.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.