Datenschutz

Dropbox verschlüsselt nutzen

Die Sicherheitslücken bei Dropbox nehmen ja kein Ende. Vor ein paar Tagen waren dort für 4 Stunden alle Accounts offen: Sie akzeptierten jedes Passwort. Das Versprechen, dass die Dateien verschlüsselt gespeichert würden, ist für den denkenden Menschen schon dadurch widerlegt, dass von jedem Rechner der Welt Zugriff über eine Weboberfläche besteht, Dropbox also so oder so Zugriff auf die Dateien der Nutzer hat – und diesen auch den US-Behörden einräumt. Dann gab es noch das Dropship, mit dem man Dateien aus anderen Accounts hijacken konnte – was als wahlweise als Sicherheitslücke oder als Filesharing-Feature gewertet werden kann.


netzpolitik.org - ermöglicht durch Dich.

Ich hatte ja schon vor einiger Zeit empfohlen, ein encFS oder von mir aus auch einen Truecrypt-Container in die Dropbox zu werfen. Das ist natürlich mit etwas Umstand verbunden, der Dropbox-Nutzern wohl kaum zuzumuten ist, nutzen Sie den Service doch der Einfachheit wegen. Da kann man nicht verlangen, noch umständlich jedes Mal einen Crypto-Container zu mounten.

Für alle, die trotz allem gezwungenermaßen oder aus Überzeugung bei Dropbox bleiben wollen, gibt es jetzt mit Secretsync einen kleinen daemon/wrapper, der neben der Dropbox einen zweiten Ordner bereitstellt, der verschlüsselt über die Dropbox synchronisiert wird.

Dabei gibt es mit WUALA eine vollverschlüsselte Dropbox-Alternative, deren Synchronisierungsgeschwindigkeit aber leider zu wünschen übrig lässt. Auch Tarsnap wurde von unseren Lesern empfohlen. Dann gibt es noch AeroFS, das vollständig auf einen Server verzichtet, verschlüsselt überträgt, und auch flott synct.

Von der Nutzung von AeroFS muss ich im momentanen Alpha-Zustand aber noch abraten, weil andauernd unverschlüsselte UDP-Pakete den Nutzer, und die Personen, mit denen Dateien geteilt werden, anhand ihrer Email-Adressen identifizieren. Ich debattiere gerade mit den Entwicklern, wann sie diese Privacy-Lücke denn wohl mal zu fixen gedenken.

Weitersagen und Unterstützen. Danke!
41 Kommentare
    1. War eigentlich Anlass für den Artikel ;-)

      Für alle, die trotz allem gezwungenermaßen oder aus Überzeugung bei Dropbox bleiben wollen, gibt es jetzt mit Secretsync einen kleinen daemon/wrapper, der neben der Dropbox einen zweiten Ordner bereitstellt, der verschlüsselt über die Dropbox synchronisiert wird.

      1. kann man sich da nicht auch ein verschlüsseltes Sparsebundle erstellen?

        Ja, kann man.

        Aber: Man verlässt damit die gewohnte Mac OS X-Verzeichnisstruktur und verliert auch einiges an Komfort, weil man das verschlüsselte Sparse Bundle vor der Nutzung jeweils erst mounten muss. Ausserdem muss man darauf achten, dass das Sparse Bundle jeweils nur auf einem einzigen Mac geöffnet ist und auf anderen Macs erst nach vollständiger Synchronisation geöffnet wird. Beides ist auf Dauer meiner Erfahrung nach kaum Möglichkeit und früher oder später kann man das Sparse Bundle dann leider nicht mehr öffnen.

  1. Ich habe jetzt längere Zeit Dropbox genutzt, nutze es seit 2 Tagen nur noch um Daten mit meinen Kommilitonen zu teilen. Den Rest mache ich neuerdings mit Wuala. Allerdings ist mir ebenfalls aufgefallen, dass das Ganze etwas zäher ist :-(

      1. Es kann auch viel mehr … Geschwindigkeitseinbußen habe ich nicht bemerkt.

        Wuala mag ich auch, trotz Mängeln wie dem Dock-Zwang und der wenig erfreulichen Mac-Integration (Benutzeroberfläche, keine Metadaten, viele Standardfunktionen noch nicht vorhanden). Im direkten Vergleich scheint mir die Synchronisation per Dropbox aber auch effizienter zu funktionieren. Gerade auch grosse Dateien kann Wuala anscheinend nur vollständig synchronisieren, während Dropbox jeweils die tatsächlichen Änderungen überträgt und so viel Zeit spart.

  2. Für alle, die trotz allem gezwungenermaßen oder aus Überzeugung bei Dropbox bleiben wollen, gibt es jetzt mit Secretsync einen kleinen daemon/wrapper, der neben der Dropbox einen zweiten Ordner bereitstellt, der verschlüsselt über die Dropbox synchronisiert wird.

    War eigentlich Anlass für den Artikel ;-)

  3. Und in dem Zusammenhang faellt auch SpiderOak.com positiv auf: Client-Verschluesselung, keine PW-Speicherung auf dem Server, 2GB free-of-charge (Wuala: 1GB), und kann auch monatlich gebucht werden (Wuala nur Jahresabo)
    Nachteil ist, die sitzen in den VSA ….

    1. Und in dem Zusammenhang faellt auch SpiderOak.com positiv auf: Client-Verschluesselung, keine PW-Speicherung auf dem Server

      Vorsicht: Loggt man sich via Web ein, muss man sein Passwort selbstverständlich eingeben … oder sind inzwischen die Passwörter für Benutzerkonto und Daten getrennt?

  4. Das Komplizierte sind nicht die Alternativen sondern die Nutzungsmöglichkeiten.

    Ich nutze Dropbox und Wuala.
    Wuala für Wichtige Dinge die nicht offen rumliegen sollen.
    Aber Dropbox ist der einzige Dienst dessen API überall eingebaut wird und werden kann. For example the hundred of thousand apps.

    Was nützt es komplett bei Wuala zu sein oder einen TC Container zu nutzen wenn ich diese Alternativen nicht in meinen Apps nutzen kann?

    Da muss ich eben Dropbox auf einfache Dinge beschränken.

  5. Wer Dropbox für vertrauliche Daten unverschlüsselt nutzt, ist auch ein wenig selbst schuld. Trotzdem wäre es natürlich schön, wenn sich Dropbox im Bereich der Sicherheit mal ein wenig verbessern würde.

    So ist Dropbox nur zum Tauschen von Dateien, die keine vertraulichen Daten enthalten, oder zum Hosten von Website-Inhalten zu gebrauchen.

  6. Dropbox ist in meinen Augen nach wie vor der beste Filesharing-Dienst und für mich als Besitzer eines Android-Handies (noch) alternativlos.
    Ja, DropBox ist out-of-the-box eine Datenschutz-Katastrophe. Man muß dem Dienst allerdings zu Gute halten, daß er Truecrypt sehr gut unterstützt und sein rsync-ähnliches Protokoll meinen 1GB großen Container schnell und ohne Problem synchronisiert. Der zusätzliche Aufwand des Mountens sollte für jedermann vertretbar sein.

  7. Nebenbei: Auch mit Verschlüsselung à la Wuala besteht der Nachteil, dass der einzige Schutz in einem Passwort besteht. Two-Factor Authentication ist bei Gmail mittlerweile zwar Standard, aber bei Diensten wie Dropbox und Wuala noch in weiter Ferne … immerhin kann man bei Wuala das Passwort nicht per E-Mail zurücksetzen, wodurch eine gravierende Sicherheitslücke entfällt.

    1. Hier stellt sich allerdings die Frage, ob das gut funktioniert. Bevor Du den TrueCrypt-Container von einem anderen Rechner aus wirst öffnen und verändern können, muss der auf dem ersten wieder geschlossen worden sein. Andernfalls funktioniert die Sychronisation nicht mehr richtig.

      Nichts gegen TrueCrypt, aber gerade für die Cloud ist es nicht entwickelt worden und funktioniert hier dann auch nur im Sonderfall wirklich gut.

      Für eine Cloud braucht man eine Software, die dateiweise verschlüsselt und die ggf. Überschneidungskonflikte bei der Berarbeitung dieser Dateien auflöst. Das bekommt man durch die Kombination Dropbox und TrueCrypt aber eben nicht hin.

      1. @Linus:

        Unter Linux funktioniert EncFS problemlos, auf dem Mac hingegen ist das Einrichten allein schon eine Bastelarbeit und man muss sich vor jeder Mac OS X-Aktualisierung fürchten … das entspricht IMHO nicht jenem Anspruch an Benutzerfreundlichkeit, den man an Mac-Anwendungen stellt.

  8. Im übrigen gibt es noch Amazon S3. Mit der passenden Software kann man dort schon seit Jahren bequem und ohne Probleme seine Daten sicher lagern. Günstig und vor allem ohne bescheuerte Limits. Dropbox ist doch eine typische „for dummies only“-Lösung.

    1. Genau solche benutzerfreundlichen Lösungen sind wichtig – ansonsten werden sie nicht genutzt …

      Amazon S3 allein ist übrigens noch keine Lösung, sondern schlicht eine (vergleichsweise teure) Speichermöglichkeit in der Cloud. Für die Nutzung ist wiederum Software notwendig.

  9. Und, es gibt ja auch noch Rackspace, Google Storage, Azure Blob Storage usw. Die Datenspeicherung erfolgt dort ohne Verschlüsselung, und das aus gutem Grund: das ist einzig die Aufgabe der verwendeten Clientsoftware.

    So wie Dropbox arbeitet, wird es nie sicherer sein, als die oben genannten Dienste. Allein die Möglichkeit einzelne Dateien freizugeben zeigt, dass das auch nie Absicht war. Denn das würde mit sicher verschlüsselten Daten nie funktionieren können.

  10. Bei diesen ganzen kostenlosen Services, die dann auch noch von Startups aus den USA kommen, bin ich immer sehr sehr skeptisch,was die Datensicherheit anbelangt. Leider bestätigt sich diese Sicht immer wieder aufs neue…

  11. Ich möchte dilberts Kommentar noch einmal aufgreifen, um für Teamdrive etwas Werbung zu machen. Funktioniert bei mir fast so bequem wie die Dropbox – allerdings mit dem Unterschied, daß die Daten vor der Übertragung verschlüsselt werden, und ich mir zusätzlich die Cloud aussuchen darf. Hier greife ich auf das HiDrive von Strato zurück, deren Daten nach deutschem Datenschutzgesetz in Deutschland gespeichert werden. Fühle mich mit dieser Lösung ganz wohl…

  12. Hallo.

    Ich möchte hier eine weitere Lösung vorstellen, http://enomis.qnea.de

    Enomis erzeugt passwortgeschützte 7-Zip/ZIP/RAR/SFX Archive von Dateien oder Ordnern durch einfaches Ziehen auf ein Desktopsymbol. Die Archive lassen sich mit Mustern wie Zeitstempel oder Version im Dateinamen und auch direkt bei Cloud-Speicherdiensten wie Dropbox ablegen.

    Entwickelt wurde Enomis in erster Linie für eine unkomplizierte, schnelle, komprimierte und sichere Ablage von Dateien oder Ordnern in Cloud-Speicherdiensten wie Dropbox, Wuala und ähnliche – Enomis läßt sich jedoch auch gänzlich ohne diese Dienste verwenden. Hierzu sind Dateien oder Ordner lediglich aus dem Dateimanager auf das Desktopsymbol von Enomis zu ziehen, oder alternativ im Dateimanager über das Kontextmenü einer Datei oder Ordner (Senden an) an Enomis zu übergeben. Wenn es vom Dateimanager unterstützt wird, läßt sich Enomis auch als Verknüpfung in dessen Symbolleiste einbinden.

    Enomis ist portabel, da 7-Zip bereits im Programm integriert ist. Es werden keine Treiber, wie bei anderen Lösungen, im System installiert.

    1. Im Moment wieder besser, nachdem der von mir bemängelte Bug laut Email behoben wurde – ich habe das aber noch nicht eingehend geprüft. Leider wurde auch die Anzahl der Beta-Invites gedeckelt, so dass ich nicht mehr so viele Leute einladen kann.

  13. Danke für die vielen Infos (auch an die bisherigen Kommentatoren).

    PGP ist auch ein guter (i.S.v. sicherer) Ansatz, allerdings wollte ich nicht extra ein Wrapperscript schreiben und damit Betriebssystemabhängig sein. Stattdessen würde ich inzwischen EncFS empfehlen, das läuft auf Mac, Linux und Windows. Inspiriert davon habe ich ein paar englischsprachige Artikel mal auf Deutsch zusammgenfasst:
    Dropbox mit EncFS (statt PGP) verschlüsseln

    Vielleicht für den einen oder anderen auch eine interessante Möglichkeit.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.