Spenden

Dieser Artikel ist mehr als 15 Jahre alt.

Neues Feature bei Dropbox:
Backdoor für US-Behörden

Für alle, die nicht zum Beispiel per SSHFS ihre eigene Cloud betreiben, ist Dropbox ein genialer Service: Dateien werden über mehrere Rechner automatisch synchronisiert, es gibt eine eingebaute Backup- & Restore-Funktion, und wenn man mal keinen Rechner dabei hat, sind alle Dateien auch per Webinterface zugänglich.

  • Linus Neumann
Linus Neumann
95

Für alle, die nicht zum Beispiel per SSHFS ihre eigene Cloud betreiben, ist Dropbox ein genialer Service: Dateien werden über mehrere Rechner automatisch synchronisiert, es gibt eine eingebaute Backup- & Restore-Funktion, und wenn man mal keinen Rechner dabei hat, sind alle Dateien auch per Webinterface zugänglich. Natürlich kann man auch Ordner & Dateien mit anderen teilen: Daraus hat man sich sogar schon ein „dezentrales(?)“ soziales Netzwerk gebastelt. Besonders mutige synchronisieren sogar ihre Passwörter darüber.

Da kommt natürlich auf den Festplatten der Dropbox-Server einiges zusammen, an dem Ermittlungsbehörden Interesse haben. Und bei Dropbox ist man natürlich hilfsbereit: Die AGBs wurden dahingehend angepasst, dass man einwilligt, dass die US-Behörden auf Anfrage Zugriff auf die Daten bekommen. Man hat ja nichts zu verbergen.

Vor einigen Tagen wurde zudem auf die Sicherheitslücke hingewiesen, dass der auf der Festplatte eines Dropbox-Clients gesicherte Authentifizierungs-Token sich problemlos auf andere Rechner kopieren, und dort nutzen lässt. (Die gleiche Möglichkeit bieten vermutlich auch Programme wie Echofon, die Twitter OAuth nutzen, das ist aber nur meine Vermutung). 

Das ist natürlich bei zentralen Cloud-Diensten nichts neues: Wir kennen das von Twitter-Subpoenas, Skype-Backdoors und anderen Fällen, die zu den wenigen gehören, die öffentlich wurden. Somit sind auch bei Dropbox die jetzt zur Wahl stehenden Strategien die gleichen:

Entweder, man boykottiert den Dienst (1), nutzt eine dezentrale Alternative wie z.B. Tahoe lafs (2) (Update: Mir wurde auch Wuala & Tarsnap empfohlen, habe ich aber nicht getestet) oder man nutzt ihn nur verschlüsselt (3). Der Dropbox-Client ist m. W. nicht Open Source, also wäre es viel Arbeit, einen eigenen mit Verschlüsselung zu bauen. Einfach nur einen TrueCrypt-Container hineinzulegen halte ich wegen der Dateigröße nicht für zielführend, denn der Dropbox-Daemon scheint mir nicht so schlau wie rsync zu sein, sondern jedes Mal die ganze Datei zu übertragen, wenn sie sich ändert (Update: in den Kommentaren wird mir gesagt, dass das zwar nicht so ist, aber zugestimmt, dass der Dropbox-Sync sehr langsam ist). Denkbar wäre aber zum Beispiel eine FUSE-pipe, die dafür sorgt, dass jede Datei vor dem Speichern in die Dropbox verschlüsselt, und beim Lesen aus der Dropbox automatisch entschlüsselt wird. So etwas wird hier zum Beispiel per gpg symmetric encryption beschrieben. Symmetric encryption bietet sich an, wenn man von unterwegs drauf zugreifen möchte, ohne seinen secret key mit sich herumzutragen oder ihn gar auf fremden Rechnern zu nutzen. Für ernstes Geschäft wäre man natürlich mit asymmetrischer Key-basierter Verschlüsselung besser beraten, müsste aber wohl auf den Allzeit-Zugriff verzichten.

Ich schreibe gerade an so einem fremden Rechner, kann daher das vorgeschlagene encfs nicht ausprobieren. Hat jemand von euch schon Erfahrungen damit gemacht?

For the record: Tahoe-lafs scheint die beste Alternative zu sein, aber es gilt ja erstmal, die Dropbox-Freunde zu schützen.

Über die Autor:innen

  • Linus Neumann
    Linus Neumann

    Dipl.-Psych. Linus Neumann war seit 2010 mehrere Jahre Mitglied der Netzpolitik-Redaktion und ist einer der Sprecher des Chaos Computer Clubs. Zusammen mit Tim Pritlove macht er den wöchentlichen Podcast Logbuch:Netzpolitik. Er arbeitet in Berlin bei einem Unternehmen im Bereich der IT-Sicherheit. Ab und an twittert er ein bisschen Unsinn. Per E-Mail erreicht man ihn hier.

Veröffentlicht

Kategorie

Schlagwörter

Weiterlesen

Thema

Datenschutz

Digitalministerkonferenz

Wildberger will Datenschutz für KI-Einsatz in der Verwaltung schleifen

Karsten Wildberger, Kristina Sinemus und Jan Pörksen im Hamburger Rathaus
Widerstand gegen Überwachung

„Man kann Kameras auch kaputtmachen“

Ein Polizist steht vor einer Kundgebung. Im Hintergrund eine improvisierte Bühne unter einem Pavillon.

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

95 Kommentare zu „Neues Feature bei Dropbox:
Backdoor für US-Behörden“

  1. Johannes

    ,

    TrueCrypt synchronisiert natürlich nicht jedes mal den kompletten Container, sondern nur die Änderungen innerhalb. Einfach die Timestamp-Änderung bei Truecrypt deaktivieren, fertig.

    1. Linus Neumann

      ,

      Das Problem ist nicht TrueCrypt, sondern der Dropbox-Daemon, für den der TrueCrypt-Container eine Datei ist.

      1. Johannes

        ,

        Ja, es ist natürlich nur eine Datei, aber diese wird beim unmounten des containers auch nur auf Änderungen überprüft und auch nur die Änderungen werden synchronisiert.

      2. Linus Neumann

        ,

        Danke, habe den Artikel ergänzt.

      3. Sounour

        ,

        was nichts daran ändert, dass der Container erst nach dem unmounten synchronisiert wird und ich während das geschieht nicht damit arbeiten kann.

      4. Frank

        ,

        Stimmt, das ist ein Vorteil der encfs-Lösung. ich probiere die mal aus.

  2. 9er0

    ,

    Auch Dropbox synct nur die Änderungen in einem Container. Es wird nicht jedesmal der Container neu hochgeladen.
    Es braucht aber trotzdem relativ lange – die Uploadgeschwindigkeit hält sich ja durchaus in Grenzen. Da legt man doch nur ungern große Container hinein …

    1. moeffju

      ,

      Du kannst in den TrueCrypt-Optionen einstellen, dass der Modified Timestamp der Containerdatei nicht verändert wird. Das sollte das Problem beheben.

  3. Isegrim

    ,

    Wie steht es denn mit http://www.wuala.com/ ? Hab das immer als gute und sichere Alternative zu Dropbox empfohlen…

    1. Linus Neumann

      ,

      Danke für den Hinweis, habe ich auch mit aufgenommen. Ich hab mal eine LaCie-Platte gekauft, und da war irgendein Gutschein dafür dabei – hatte ich als nicht vertrauenswürdig eingestuft, aber mir wird gerade ins Ohr geflüstert, dass ich mich getäuscht haben mag.

      1. Sascha E

        ,

        Wuala ist allerdings Zentralisiert, das P2P was da drin steckt ist größtenteils nur aus Werbezwecken drin. Die Daten werden tatsächlich auf zentrale Server geladen und erst dann teilweise per P2P verteilt. Die Hauptlast tragen aber die zentralen Server.
        Daher kann dir da letztlich technisch das gleiche passieren wie bei Dropbox.

        Gab da letztens ein neues Paper der TU Darmstadt die Wuala analysiert haben. Bei Interesse kann ich das mal verlinken ;)

      2. Nein-Sager

        ,

        Ich habe Interesse an dem Bericht der TU Darmstadt. Das nächste Mal lieber gleich verlinken. :-)

        Ich warte gespannt…

      3. Sascha E

        ,

        Hier erstmal die Folien zum Thema: http://www.p2p.tu-darmstadt.de/fileadmin/user_upload/Group_P2P/share/p2p-ws10/Wuala.pdf

        Das Paper an sich kann ich gerade nicht finden! Ich reichs nach ;)

        Liebe Grüße

      4. manka

        ,

        Wäre auch sehr interessiert an dem etwas ausführlicheren Bericht.

  4. champanda

    ,

    caschy hatte hier http://stadt-bremerhaven.de/dropbox-und-truecrypt-verschluesselte-daten-in-der-cloud mal beschrieben, wie das TC-container problem lösbar ist, ohne das jedes mal das ganze file neu geuppt werden muss. keine ahnung, ob das noch aktuell ist…

  5. Mela

    ,

    Sparkleshare ist auch einen zweiten Blick wert: http://www.sparkleshare.org/

  6. Tscheckoff

    ,

    Als Linuxuser verwende ich Dropbox zusammen mit encfs, welches auf Dateibasis verschlüsselt. Es gibt aber glaube ich noch keine Portierung für Windows.

    1. Name *

      ,

      Das geht hier wahrscheinlich total unter, aber: Es gibt inzwischen einen Windows-Port von encfs, der auch schon voll einsatzfähig scheint. Es gibt zwar keine grafische Oberfläche, aber die mitgelieferte .cmd-Datei ist hinreichend komfortabel.

      Das ganze funktioniert auch problemlos mit Dropbox.

      Setup:
      1. Dokan library installieren: http://dokan-dev.net/wp-content/uploads/DokanInstall_0.6.0.exe
      2. Das encfs.zip von herunterladen und irgendwohin entpacken.
      3. Die enthaltene encs_mount.cmd ausführen, um Quell- und Zielordner auszuwählen.

  7. Rungel

    ,

    Dropbox hat keine Server, die nutzen die Amazon S3 cloud. Das heißt natürlich nicht, dass ihre vorliegenden Metadaten wertlos sind, aber wo Amazon politisch anzusiedeln ist, wissen wir ja bereits.

    1. moeffju

      ,

      Auf S3 sind die Dateien aber AES-256-verschlüsselt und können nur von Dropbox entschlüsselt werden. Amazon hat damit also nix zu tun, die können Dropbox höchstens morgen aus ihrer Cloud schmeißen.

  8. Chuck

    ,

    EncFS-ähnlich und so ziemlich auf jedem modernen OS lauffähig ist der c’t-Abkömmling ‚SecurStick’
    http://www.withopf.com/tools/securstick/

    Es ist zwar keine ‚Hochleistungslösung’, aber für den normalen Betrieb vollkommen ausreichend, da keine Adminrechte oder ähnliches von näten sind, da die WebDAV-Implementierungen der Betriebsysteme benutzt werden. Soll heissen, dass ein virtueller WebDAV-MountPoint angelegt wird und man Dateien dorthin speichert, die dann on-the-fly als verschlüsselte Versionen abgelegt werden.

    Und wie gesagt, das beste dran ist, dass man nicht gross etwas installieren muss oder weitergehende Userrechte benötigt.

  9. Chuck

    ,

    Achso, als Dropbox-Alternative kann man sich ggf. auch mal SpiderOak anschauen, deren Client nach eigener Aussage alle Datein lokal verschlüsselt und dessen Key nicht zugänglich ist für den Betreiber.

    https://spideroak.com/

    1. moeffju

      ,

      Natürlich ist der Key für den Betreiber zugänglich, denn es läuft ja Client-Software des Betreibers auf dem eigenen Rechner. Und wenn die es für mich entschlüsseln kann, kann sie den Schlüssel auch an den Betreiber senden. Man muss dem Betreiber dann eben so viel Vertrauen entgegenbringen.

  10. moeffju

    ,

    Ich halte den Tonfall des Artikels für reißerisch und das „Problem“ für übertrieben. Man mag von den USA halten, was man will, aber mal eben alle Dropbox-Server (die natürlich eh bei Amazon stehen) beschlagnahmen würden sie auch nicht ohne gigantischen Backlash machen können. Dropbox reden in den AGB ausdrücklich von gerichtlichen Beschlüssen, sprich: Da steht der Staat dann mit seinem Gewaltmonopol bei denen im Büro und hat eine richterlich legitimierte Subpoena dabei, um Daten eines Nutzers zu kriegen. Wer das unbedingt vermeiden will, muss halt lokal verschlüsseln – ob mit encfs, TrueCrypt, gpg, oder whatever, bleibt jedem überlassen. Auf die Möglichkeit von TrueCrypt wiesen die Dropbox-Macher auch ziemlich von Anfang an hin.

    1. Philipp

      ,

      Da stimme ich eindeutig zu. Wenn es über den Rechtsweg läuft, muss auch bei Online-Speicher ein Zugriff des Staates bestehen können. Genau wie man die Festplatten Beschlagnahmen kann..

    2. Frank

      ,

      Wow, für einen CCC-nahen Hacker sind das sportliche Worte.
      Aber vielleicht überzeugt dich ja der Token-Hack.

      1. moeffju

        ,

        Der HostId-„Hack“ ist jedenfalls deutlich schlimmer als diese AGB-Änderung, die eigentlich gar keine ist. Aber auch da gilt natürlich, wenn ein Angreifer Zugriff auf deine lokale Dropbox-Konfiguration hat, die normalerweise unter deinem Userverzeichnis liegt, ist eh schon viel verloren. Aber, granted, dauerhafter Zugriff ist ne ganze Spur schlimmer. Dafür arbeiten Dropbox aber da auch schon an einer Lösung.

  11. _bberg

    ,

    Danke für das Aufzeigen von Alternativen!

    Aufgrund der Reichweite von netzpolitik.org, ist es natürlich immer gut die Geschichte hier zu bringen. Eine Nennung der (vermeintlichen) Original-Quelle (http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/) wäre jedoch schön gewesen und keine Verlinkung auf winfuture. Des weiteren fände ich ein „via“ auch angebracht. Ich weiß nicht, wo du die Geschichte her hast, aber sie steht z.B. schon seit dem 9. April in den Linktipps der Fritz-Sendung „Trackback“: http://trackback.fritz.de/

  12. Inte

    ,

    Wirf mal einen Blick auf Teamdrive. Das verschlüsselt standardmäßig und man kann eigene Server betreiben.

    1. Dirk

      ,

      Teamdrive habe ich gerade im Test. Die kostenlose Version scheint mir aber etwas krüppelig zu sein. Auch bei Betrieb eines eigenen Servers kann ein Space maximal 2GB groß sein. An sich ist das kein Problem. Da aber in der kostenlosen Version die Versionierung auf unendlich fest eingestellt ist, wird das zum Problem wenn sich Dateien oft ändern (wie bei einem Backup einer Postgres-DB z.b.). Dann ist nämlich irgendwann die 2GB Grenze erreicht obwohl man eigentlich nur 300MB Daten drauf liegen hat. Dann klappt das syncen scheinbar nur noch händisch.

  13. Mela

    ,

    Bzw. auch wenns Eigenwerbung ist .. im Linux Magazin 3/11 werden vier Cloud-Storage-Anbieter verglichen: http://www.linux-magazin.de/Heft-Abo/Ausgaben/2011/03

  14. Sigi

    ,

    Es gefällt mir nicht, dass geschrieben wird, mit SSHFS könne man „eine Cloud“ betreiben. Dieses Buzz-Word sollte man ohnehin verbieten, aber selbst wenn man es begrifflich vernünftig eingrenzt, wird aus einem entfernten Dateisystem noch lange keine „Cloud“. (Mit Apache 2 soll man übrigens sehr gut ein „Web 2.0“ aufsetzen können, wie ich gehört habe :-).

    Zum Inhalt: meines Erachtens ist es grob fahrlässig, schützenswerte Daten unverschlüsselt auf fremden Datenträgern zu lagern. Wer etwas in der sog. „Cloud“ speichert darf sich m.E. über keinerlei Begehrlichkeiten von Regierungen aufregen. Das ist im Preis inbegriffen.

    Dem entsprechend finde ich den Tonfall des Artikels falsch gesetzt.

  15. name

    ,

    Der Grund warum sich nun alle aufregen ist nicht, dass es so ist. Nein, es ist leider ein folgender.

    Auf der secruity Info Seite wird angepriesen, dass die Daten sicher verschlüsselt sind und niemand ausser dem User zugriff darauf hat. Selbst wenn man keinen trueCrypt container verwendet.

    Sie beschreiben eine Verschlüßelungsmethode die eigentlich nur mit hohem Aufwand knackbar ist.

    Nun werden die Terms geändert und plötzlich kann man diese Verschlüsselung auf zuruf umgehen ?

    Sorry, aber was soll man nun davon halten ?
    Erster einen auf sicher machen aber im Grunde die ganze zeit etwas den Usern vorgaukeln ?

    Natürlich ist jeder selber Schuld wenn man sich auf dritte verlässt, aber dann noch so dreist belogen zu werden geht mal gar nicht.

    1. markus

      ,

      @Name: +1

    2. Bernd

      ,

      Die Security Seite von Dropbox ist ein Witz. Denn sie sagen „wir verschlüsseln mit AES256“. Es steht aber nirgends wo (client oder server) verschlüsselt wird, und es steht auch nirgends wo die Schluessel liegen und wer diese kennt.

      Aus dem Mechanismus wie DropBox Problemlos zwischen Web Usern oder mobilen Geräten sharen kann kann man eigentlich nur ablesen dass die Dropbox Server die Verschlüsselung machen und den Schlüssel kennen – daraus ergibt sich null sicherheit. Das erklärt auch wieso sie problemlos LEA Zugriff gewähren können.

      Und wie gesagt, das liest sich so schon aus der Security Beschreibung (files sind passwort protected und verschluesselt heisst eben nicht „files sind durch einen schluessel geschuetzt den nur der client kennt“).

      Und der nicht-bedarf von key management macht den service natürlich auch so attraktiv – weil einfach zu benutzen.

      Gruss
      Bernd

    3. irp

      ,

      Naja, gerade die NSA hat sich glaube ich einen Namen gemacht für sowas.
      Mal überlegen, war der Vorgänger von AES nicht *extra so ausgewählt*, dass er mit vertretbarem Rechenaufwand zu knacken war?

  16. Oliver

    ,

    Truecrypt und eine externe Festplatte. Löst alle o. g. Probleme.

  17. Slobo

    ,

    Moinsen,
    also ich nutze EncFS lokal ohne Dropbox und mache Backups mit rsync. Klappt super. Theoretisch sollte daher EncFS mit Dropbox auch klappen. Praktisch werde ich es am WE mal ausprobieren…

  18. Oli

    ,

    Ich nutze EncFS für meine Dokumente in der Dropbox. Funktioniert tadellos, kann ich bedenkenlos empfehlen. Ist wesentlich handlicher als Truecrypt, das ich zuvor hatte.

    1. Sebastian

      ,

      Ich auch, funktioniert tadellos. Ich wünsche mir allerdings encfs und einen besseren dropbox-client für Android.

    2. igorette

      ,

      benutze ich auch, klappt super.
      s.a. http://skweez.net/dokumente-in-dropbox-verschlusseln/

  19. Bommi

    ,

    Hier noch eine Alternative:

    3 GB + 500 MB gratis

    http://memopal.com/de/

    Gruß Bommi

    1. Lars

      ,

      aber das syncht doch nicht, das ist doch witzlos

  20. Name

    ,

    Mich wundert die immer noch <a href=„https://www.dropbox.com/help/27„zu findende widersprüchliche Aussage von Dropbox:
    „Dropbox employees aren’t able to access user files, and when troubleshooting an account they only have access to file metadata (filenames, file sizes, etc., not the file contents)“

    1. Marian

      ,

      Was den Support-Mitarbeitern erlaubt wird und was sie können, wenn sie wollen, muss sich ja nicht unbedingt decken…

  21. Bernd

    ,

    Es gibt übrigens eine WebService API für den Zugriff auf DropBox, der FTP Client Cyberduck kann diese nutzen. Damit sollte es auch möglich sein einen Dropbox Client zu schreiben, der lokal verschlüsselt. Man muss halt nur das synchronisieren dann selber bauen.

    http://trac.cyberduck.ch/wiki/help/de/howto/dropbox

    Ist natürlich die Frage ob man dann nicht gleich was eigenes nimmt.

    Gruss
    Bernd

  22. C.K.

    ,

    Tipp am Rande: Alice hat einen ähnlichen Dienst SmartDisk, der für Alice-Kunden nur ein paar Euro im Monat kostet und kein Limit hat. Ernsthaft: kein Limit, keine Drosselung etc.

  23. steffen

    ,

    tahoe ist nicht so prall, wenn man nicht gerade massig rechner zur verfügung hat. ausserdem will man ja eigentlich clientseitig verschlüsseln.

  24. Unagi

    ,

    Egal welchen Dienst man benutzt, bei keinem Anbieter sollte man blind darauf vertrauen daß er sich die Daten nicht anschaut oder sie vor dem Zugriff des Staates schützt. Die sitzen im Zweifel am längeren Hebel. Um lokale Verschlüsselung wird man da also nicht herumkommen.

    Ich selbst verwende Dropbox mit EncFS und mehreren Rechnern. Es funktioniert einwandfrei.

    Einen guten Guide für Ubuntu findet man übrigens auf http://pragmattica.wordpress.com/2009/05/10/encrypting-your-dropbox-seamlessly-and-automatically/

  25. Michael

    ,

    Gibts seit letzer Woche: http://www.boxcryptor.com/
    Der Entwickler ist deutscher und ist seit letzer Woche im Heise-Forum unterwegs.

  26. Patrick

    ,

    Ich find die Aufregung irgendwie etwas albern.
    Dropbox schreibt das in die AGB, weil sie sonst gegen amerikanisches Recht verstoßen, was sicherlich sehr teuer werden kann.
    Trotzdem muss ja nun erst ein Gerichtsbeschluss her um an eure Daten ranzukommen.
    Wer jetzt meint, er wäre mit einer Verschlüsselung auf der sicheren Seite, wenn man Pech hat, zwingt einen das Gericht zur Herausgabe der Schlüssel.
    Wer von euch verschlüsselt denn seine Emails?

    1. Martin

      ,

      > Wer von euch verschlüsselt denn seine Emails?
      Ich. Das Problem sind die „anderen“ die es nicht machen… oder das es einfach nicht „einfach so out of the box geht“.

      Würden alle verschlüsseln, wäre nur noch Grundrauschen unterwegs… herrlich ;)

    2. mayleen

      ,

      Nicht nur Emails ^^

      Wenn jemand von mir unverschlüsselte Daten (/boot zählt nich;)) auf meinen Platten findet, würde mich das überraschen.

      off-the-record messanging ist auch sehr empfehlenswert.
      Sogar DAU tauglich!
      http://de.wikipedia.org/wiki/Off-the-Record_Messaging
      http://www.cypherpunks.ca/otr/

  27. Thomas

    ,

    Wenn ich Schlüssel einfach mal mit Passwörtern und (Truecrypt-)Keyfiles gleichsetze, kann kein Gericht der Welt mich dazu zwingen irgendwas herauszugeben. Da gehts mir dann wie Dr. h.c. Helmut Kohl – temporäre Partialamnesie…

    1. Peter

      ,

      Das sagt sich vor dem Computer so leicht, aber wenn Jack Bauer mit der die „Intensivbefragung“ beginnt erinnert man sich eventuell doch wieder.

    2. Christoph

      ,

      Nur das du dann in GB z.B. mal eben ins Gefängnis wandern kannst…

      1. mayleen

        ,

        Grundsätzlich darf ein Rechtsstaat von seinem Bürger ein unmögliches Verhalten NICHT fordern.

        Wenn ich eine Schlüsseldatei habe, die beispielsweise auf dem USB Stick war, der mir dummerweise abhanden gekommen ist, dürfte das schwerlich als Grund für eine Gefängnisstrafe ausreichen. Ich weigere mich ja nicht es herauszugeben, es ist mir schlicht unmöglich. Freilich muss ich das beweisen, aber hier gilt in dubio pro reo.

        @ Thmoas
        danke für die Idee, gefällt mir!

  28. Dropbox richtet Backdoor für US-Behörden ein

    ,

    […] ich über Dropbox berichtet. Leider hat sich der Dienst soeben selbst ins Aus befördert, denn wie netzpolitik.org meldet, hat man den US-amerikanischen Behörden bereitwillig eine Backdoor eingerichtet und die AGBs […]

  29. Thomas

    ,

    Jack Bauer? Das ist doch der seit Monaten in Quantico versucht ein Geständnis aus einem jungen Corporal herauszukriegen, dass er Daten an Wikileaks weitergegeben hat? Soweit ich weiss hat Brad bisher nichts dergleichen gesagt – geht also. Und in Deutschland sind wir – wenigstens im Moment noch – mehr Rechtsstaat als das land of the free.

  30. Sigi

    ,

    Ein Hinweis an alle hier, die sagen, man solle halt EncFS oder vergleichbare Dateisysteme verwenden: das senkt doch den Nutzwert von DropBox erheblich, weil dann die ganzen Mobilgeräte und ggf. Appliances nicht mehr auf die Daten zugreifen können.

    Die Popularität von DropBox ergibt sich aus der Einfachheit – die Sicherheit bleibt auf der Strecke, das ist die übliche Abwägung. Vielen Leuten dürfte es auch egal sein.

    Gäbe es ein starkes Sicherheits-Konzept (mit Ende-zu-Ende- oder gar Zero-Knowledge-Verschlüsselung), so wären weitaus weniger Nutzer bereit, DropBox einzusetzen – und ein Konkurrent stünde bereit, um mit unsicherem Konzept diese abzufischen.

    Ich denke, die beste Lösung ist, die potentiellen Nutzer besser zu informieren (das darf man natürlich nicht DropBox überlassen), auf was sie sich einlassen. Anschließend muss dann jeder selbst entscheiden, ob er seine Daten fremden Staaten übergibt.

  31. ssh

    ,

    Danke für den Hinweis!
    Aber ich frage mich gerade etwas ganz anderes:
    Warum klingen dezentrale, bzw. Open-Source Alternativen immer ein wenig wie Markennamen für Bio-Tofu? Oder wie medizinische Begriffe für Magengeschwüre o.ä.?

  32. Frank

    ,

    Danke für den Hinweis. Bin an sich Fan von Dropbox vor allem, da man es leicht mit anderen sharen kann. Also doch nach einer Alternative Ausschau halten, sind ja bereits einige genannt hier. Mistmüll.

  33. Otzelotz

    ,

    Do it your self!

    Man mietet (~25€/Monat) oder kauft (~150€ Hardware + 20€/Monat Housing im RZ) sich einen eigenen Server auf Atombasis und installiert sich dort FreeBSD mit ZFS + GELI. Den Zugriff auf den Server regelt man per OpenVPN und die Shares gibt man z.B. mit Samba frei. 100% Open Source und 0% Abhängigkeit zu einem bestimmten Anbieter.

    Natürlich kann man den auch zusammen mit Freunden nutzen und dazu auch gleich noch als VPN-Gateway verwenden.

  34. Lies mal… » Blog Archive » Neues Feature bei Dropbox: Backdoor für US-Behörden

    ,

    […] Netzwerk gebastelt. Besonders mutige synchronisieren sogar ihre Passwörter darüber. [weiterlesen…] Tags: Dropbox, SSHFSabgelegt in Technik Keine Kommentare […]

  35. Dirk

    ,

    Wer dropbox blind vertraut ist eh selber schuld. Wer Daten durchs Netz bläst (Facebook, Onlinespeicher, ICQ, what ever) muss auch den Missbrauch mit einkalkulieren.

    Wer das nicht will, muss drauf verzichten oder sich schützen. Leider verwenden gefühlte 99,99431% der User keine Krypto :-(.

    Mit dropbox und Truecrypt habe ich eigentlich gute Erfahrungen gemacht. Liegt wohl auch an der Größe des Containers.

  36. Finkregh

    ,

    what about OwnCloud?

  37. Luther Blisset

    ,

    Excuse my interference, it is kindly ment: Spricht etwas gegen einen KeePass-Container zum Paswort-Syncen in der db? Und: was spricht – zum mobilen Einsatz – gegen gnuPG on a stick? Sowie KeePass on a stick? Voraussetzung: wenn man dem fremden Rechner halbwegs vertrauen kann, aber davon muß ich eh ausgehen… sonst bringt mir jede andere Lösung nämlich auch, genau: nichts.

  38. anonym

    ,

    Ist man denn, was staatliche Zugriffe angeht, besser dran, wenn man seine Daten im deutschen Teil der Cloud speichert? Oder bei einem anderen Anbieter?

    Das Problem ist doch wohl nicht Dropbox, sondern der unverhältnismäßige Zugriff durch irgendwelche Behörden, die Contentindustrie oder wen auch immer. Der (bequeme) Boykott eines Produktes löst dieses Problem nicht. Da muß man schon den Schlafanzug ausziehen und seinen politischen Arsch hochkriegen.

  39. Kurt

    ,

    Viele der hier genannten Probleme hat JungleDisk (www.jungledisk.com) schon lange gelöst. Der User hat die Kontrolle über seine Daten, speichert sie aber (verschlüsselt) bei Amazon mit eigenen Schlüsseln, etc. Alles ist trotz Verschlüsselung auch auf allen Plattformen wie Mac, Linux, iOS nutzbar, Teile des Sourcecodes sind offen, das Pricing ist fair. Schaut’s euch mal an.

    1. Kurt

      ,

      Edit: Ich meine natürlich den Client, nicht deren komplette Solution. Die ist für Leute, die sich nicht damit beschäftigen wollen… die Desktop Edition ist aber nur das (Mounting)Interface, um den Rest selbst zu machen.

    2. Michael

      ,

      Woher weisst du, das dort nich auch eine Möglichkeit zur Entschlüsselung besteht, analog wie es bei Dropbox ist?

  40. Martin

    ,

    Hallo,

    Exzellente Artikel.
    Zum Abschluss finden Sie eine Liste aller Anbieter von Online-Backup / Storage-und Collaboration-Tool auf dem Dropbox
    http://www.start-online-storage-backup.com/

  41. Dirks Logbuch

    ,

    Wuala .…..

    Nach den neuesten Veröffentlichungen über Dropbox, ist es vielleicht an der Zeit nach einer Alternative zu suchen bis es Lösungen gibt, die ich selber hosten kann. Eine gute Alternative ist dabei Wuala. Das Unternehmen ist eine Tochter von Lacie und…

  42. Phylu

    ,

    Ich habe einen Ordner mit encfs verschlüsselt in Dropbox liegen. Funktioniert wunderbar. Allerdings gibt es keine encfs implementierung für Windows (war zumindest das letzte mal, als ich nachgesehen habe so). Auch für Android habe ich (und das stört mich mehr) noch nichts gefunden.
    Auch meine Passwörter synchronisiere ich mit Dropbox. In einer verschlüsselten Datenbank in dem per encfs verschlüsselten Ordner…

    1. luther blisset

      ,

      Vorteil einer encfs-verschlüsselten Passwortlösung gegenüber KeePass, abgesehen davon, daß du Datenbankfiles einer fremden Passwortdatenbank damit verschlüsseln kannst? Keepass is quite comfortable, that’s why I stick to it. And as you may have inferred: I do have to work in a M$windows-based environment…

  43. Tagestipp: Wuala | Technical-Life

    ,

    […] der Dropbox gibts in letzter Zeit nicht gerade wirklich viel gutes zu berichten. Dafür umso von seinem schweizer Konkurrenten. Die […]

  44. Wuala statt Dropbox? » Dennis Wisnia

    ,

    […] Es ist ja so dass Dropbox die Verschlüsselung der Dateien für die US Behörde öffnen wurde. Das interessante ist dass meiner Meinung nach das jetzt eine Panikmache ist die vollkommen, nein – fast unbedenklich ist – wir haben ja alle da unsere wichtigen Dateien und wenn man wirklich Top Secret Dateien dort ablegt dann hat man immer noch die Möglichkeit mit einem Truecrypt Container oder ähnliches zu arbeiten. […]

  45. Dropbox – Probleme und Updates « Computer und EDV « Dropbox, Cloud, Business, Netzwerken, Networking, Frankfurt, Rhein-Main, Computer

    ,

    […] krasse Wirkung sorgte auch die Meldung: “Neues Feature bei Dropbox: Backdoor für US-Behörden“. Eine mögliche Lösung besteht darin, die Dropbox-Inhalte wiederum zu […]

  46. anonymous

    ,

    Dropbox hat sich heute mit einem Blogeintrag nochmal zu der ganzen Thematik geäussert: .

  47. Max

    ,

    Sorry, aber das ist schlicht ein grauenhaft schlechter Blogeintrag. Der nötige richterliche Beschluss wird nicht mal erwähnt ! Genauso wenig das die Lage bei anderen Diensten in den USA (Gmail, MSN-Live, Facebook) die ebenfalls private Daten enthalten schlicht nicht anders ist, oder ?

    Da heute praktisch schon Freitag ist möchte ich mal zurück trollen und dem Autor empfehlen künftig für Telepolis zu arbeiten.

    Frohe Ostern

    1. Frank

      ,

      Stimmt. So ein Richterbeschluss ist in den USA ja auch eine kaum zu überkommende Hürde:
      http://www.netzpolitik.org/2011/us-regierung-will-zugriff-auf-twitter-daten-von-wikileaks-unterstutzern/
      http://www.netzpolitik.org/2011/neues-vom-fall-usa-vs-twitterwikileaksfollowereffaclu/

  48. Dropbox macht sich im Moment keine Freunde | blog.mourningsun.de

    ,

    […] http://www.netzpolitik.org/2011/neues-feature-bei-dropbox-backdoor-fur-us-behorden/ Dieser Beitrag wurde unter Allgemein veröffentlicht. Setze ein Lesezeichen auf den Permalink. ← Depeche Mode bringen “neue” Maxi CD raus! Fritzbox 7390: Neue Laborversion (84.05.04–19718) vom 19.04. (Update 3) → […]

  49. Phylu

    ,

    Die verschlüsselte Datenbank ist eine KeepassX Datenbank ;-)
    Also das unixoide Pendant zu Keepass. Aber da man nicht paranoid genug sein kann, liegt die Datenbank eben zusätzlich in meinem encfs Ordner

  50. web-crap » Post Topic » Neues Feature bei Dropbox: Backdoor für US-Behörden

    ,

    […] voller Artikel GD Star Ratingloading… […]

  51. manka

    ,

    Kann jedem der sicher sein möchte das seine Daten bei ihm verschlüsselt werden, nur er den Schlüssel kennt und dann erst der Upload in die Wolke losgeht, wie hier bereits angemerkt http://www.wuala.com empfehlen.
    Ich nutze den Dienst jetzt etwas länger als 3 Jahre und bis auf die damaligen Startschwierigkeiten machen die Jungs aus der Schweiz einen sehr guten Job.

  52. Digitale Evolution « AdoaCoturnix

    ,

    […] Dass Daten wirklich wichtig sind, merken nicht nur die Wissenschaft, die Wirtschaft, sondern auch staatliche Stellen. Es gibt auch Leute, die sich sehr für Datenschutz einsetzen. Was mir an dieser ganzen […]

  53. links 20110425 | i live in my own little world, but it's ok... they know me here

    ,

    […] Neues Feature bei Dropbox: Backdoor für US-Behörden Virenscanner-to-go: Microsoft stellt portables Antiviren-Tool zum Download bereit Yahoos neue Vorratsdatenspeicherung Springer-Verlag gibt zu, dass es sich bei “Bild” um Satirezeitung handelt Spam und das Gesetz: High Noon im Herbst, Verluste im Spamverkehr iPhone und iPad schreiben Aufenthaltsorte mit “Führerschein, Fahrzeugpapiere und Handy bitte!” BILD hetzt wieder gegen Hartzer Freiwillig zum Bund? Nein, danke! Datenschützer kritisiert Friedrichs Anti-Terror-Pläne scharf Bahn zahlt Fahrgästen 25 Euro, damit sie aussteigen Da hat offenbar tatsächlich eine Firma das Monitoring von Patienten mit Herzproblemen über die Amazon-Cloud gemacht. Tags: links 0 kommentare kommentar abgeben kommentar abgeben […]

  54. En ondertussen in de rest van de wereld… « Bits of Freedom

    ,

    […] Dropbox blijkt een backdoor voor de autoriteiten te hebben […]

  55. Linkbox #8 – Interessante Querverweise | Ganz-Sicher.Net Blog

    ,

    […] https://spideroak.com/ – eine Dropbox-Alternative mit vielen Einstellungsmöglichkeiten. Hier ist es beispielsweise möglich, beliebige Ordner zum backupen oder synchronisieren auszuwählen. Die Daten werden auf dem eigenen Rechner verschlüsselt, sodass der Zugriff auf die Daten von anderen nach eigenen Angaben nicht möglich sein soll. (siehe http://www.netzpolitik.org/2011/neues-feature-bei-dropbox-backdoor-fur-us-behorden/) […]

  56. Dropbox hat wohl die Nutzer belogen, was die Sicherheit betrifft

    ,

    […] Über die Backdoor-Funktion bei Dropbox mit dem neuen Feature des Behördenzugangs hatten wir bereits vor einem Monat berichtet. Was ist aber nun von einem Anbieter zu halten, der offensichtlich seine Kunden belogen hat? Auch wenn der Service noch so praktisch ist, kann man dem Anbieter noch vertrauen? Dropbox ist ein beliebter Service mit rund 25 Millionen Nutzern, mit dessen Hilfe man Daten bequem in der Cloud speichern kann. Das ist praktisch, wenn man nicht alles auf der eigenen Festplatte ablegen möchte, und z.B. dezentral von verschiedenen Rechnern darauf zugreifen möchte. Ein weiteres Anwendungsszenario ist Filesharing, da man Ordner mit anderen Nutzern …Tweet Dieser Eintrag wurde veröffentlicht in Datenschutz und getagged cloud_computing, Datenschutz, dropbox, sicherheit, USA. Bookmarken: Permanent-Link. Kommentieren oder ein Trackback hinterlassen: Trackback-URL. « EU-Datenverkehr: Sperren wg. illegaler Downloads? […]

  57. The Symantec Virtualization Blog

    ,

    Heiter bis wolkig: Die deutsche Blogosphäre über Cloud Computing…

    Cloud Computing oder auch Virtualisierung ist eines der wichtigsten IT-Themen der letzten Jahre. Der Begriff wird jedoch nach wie vor sehr unterschiedlich verstanden und die Implikationen verschieden gedeutet. Einige Themenstränge lassen sich in der de…

  58. dirk

    ,

    TrueCrypt-Einstellungen

    Starten Sie nun die Benutzeroberfläche von TrueCrypt und nehmen Sie folgende Einstellung vor: Settings » Preferences » Gruppe Windows » das Flag „Preserve modification timestamp of file containers“ anhaken. Diese Einstellung sorgt dafür, dass nicht die gesamte Container-Datei immer wieder komplett übertragen wird, sondern nur jeweils die Änderungen oder neue Dateien innerhalb des Containers (inkrementeller Upload).

  59. Die Wahrheit 011 – Onlinefestplatten | monoxyd

    ,

    […] Dropbox & US-Behörden […]

  60. Frank

    ,

    Be your own Cloud… Synology DSM 4.0

  61. Wege aus dem Panopticon | Flaschenpost

    ,

    […] vom Anwender gedacht. Diese Hintertüren sind schwer zu finden. Wenn beispielsweise in Skype oder Dropbox so eine Hintertür wäre – wer könnte sie entdecken, ohne den Quelltext zu haben? Wenn […]

Dieser Artikel ist älter als 15 Jahre, daher sind die Ergänzungen geschlossen.