Der IT-Sicherheitsexperte Christopher Soghoian kritisiert in seinem Blog die Sicherheit des cloudbasierten Dateisynchronisationsprogramms Dropbox. Er bemängelte dass Dropbox seinen Benutzern eine komplette Verschlüsselung der Dateien suggeriert, dies jedoch nicht einhält um den Speicherplatz und die Bandbreite auf den Dropbox Servern gering zu halten. Aufgefallen sei dies dem IT-Experten, als er in einem Forum den Eintrag eines Dropbox Benutzers las, welcher sich über den unerwartet schnellen Upload einer Datei wunderte. Die Erklärung des Supports lautete, dass die Datei so schnell hochgeladen wurde, weil bereits ein anderer Nutzer diese Datei hochgeladen hatte. Einige Versuche mit anderen Dateien zeigten dem IT-Experten schnell, dass dies den Tatsachen entspricht. Dropbox dedupliziere die hochgeladenen Daten, um für mehrere identische Dateien nur einmalig Speicherplatz zu verbrauchen. Obwohl dieses Verfahren beim Speichern von großen Datenmengen weit verbreitet sei, führt es bei verschlüsselten Dateien nicht zum gewünschten Ergebnis. Sind identische Dateien durch unterschiedliche Benutzer mit unterschiedlichen Schlüsseln verschlüsselt, wird der Deduplikationsalgorithmus keine Gemeinsamkeiten feststellen können. Dies führt ihn dem Schluss, dass Dropbox die Dateien seiner Nutzer entschlüsseln kann. Durch diesen Sachverhalt sieht Christopher Soghoian die Privatsphäre der Dropbox Nutzer gefährdet. Denn wenn der Betreiber selbst die privaten Schlüssel seiner Nutzer kenne, hätten möglicherweise auch andere Personen Zugriff auf die Daten. Der IT-Experte mutmaßt sogar, dass Behörden bei einer Ermittlung die Herausgabe einzelner Nutzerdaten per Gerichtsbeschluss erwirken könnten. Dies wäre bei einem System, in dem nur der Benutzer selbst seine Schlüssel kennt, wirkungslos. Soghoian empfiehlt den Dropbox Nutzern deshalb, die mit Dropbox gespeicherten Dateien zusätzlich mit einem Verschlüsselungsprogramm wie TrueCrypt zu verschlüsseln.
Die ars tutandi GmbH befasst sich schon länger mit den Eigenheiten und Problemen der cloudbasierten Dateisynchronisation und setzt auf die Lösung TeamDrive. TeamDrive nutzt ähnlich wie Dropbox die Cloud zum Speichern der Daten, belässt die privaten Schlüssel jedoch stets beim Benutzer. Die mit TeamDrive gespeicherten Daten werden bereits vor der Übertragung verschlüsselt und somit für Dritte unlesbar auf dem Server abgelegt. Diese Datensicherheit hat sich der Hamburger Hersteller TeamDrive Systems vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein zertifizieren lassen. Hat man trotz allem Bedenken gegen die Speicherung in der Cloud, bietet TeamDrive seine Serverapplikation auch für den Betrieb auf eigenen Servern an.
Als Spezialist für Informationssicherheit und Datenschutz empfiehlt die ars tutandi GmbH TeamDrive somit all jenen, die den Austausch von Dateien im Internet zeitgemäß, einfach und sicher durchführen wollen. Daher nutzt die ars tutandi GmbH TeamDrive sowohl zur Kollaboration als auch zur redundanten Bereitstellung und Replikation der IT-Notfallpläne, die sie für ihre Kunden erstellt. So werden Verfügbarkeit, Vertraulichkeit und Integrität der sensiblen Kundendaten sichergestellt.
Quellen:
- Blog von Christopher Soghoian
- Golem.de Artikel
- IT-Notfallpläne von ars tutandi
- TeamDrive