Netzpolitik.org: "Dropbox hat wohl die Nutzer belogen, was die Sicherheit betrifft"

[Manis]

Ich mag Wuala aus verschiedenen Gründen nicht.
1. Sind die Clients hässlich, richtig hässlich.
2. Will ich nicht immer sone riesen Software benutzen müssen, wenn ich was in die Cloud lade.
3. Ich will nicht, dass meine Daten auf Festplatten bei irgendwelchen anderen Usern gespeichert werden.

Den Vorteil mit dem Schweizer Datencenter sehe ich natürlich ein, aber dennoch :-/
So gross ist meine "Schweizer-Liebe" doch nicht...

 

[Angel]

Das er das jetzt bereut glaube ich gern. ...verrät es doch einiges über den Charakter eines Menschen.

Ich war mit 19 auch manchmal ein ziemlicher Depp und denke, mittlerweile ein wenig darüber hinausgewachsen zu sein. Hoffe ich jedenfalls.

...hat das hier jemand getan? Der Begriff fiel doch nur im Zusammenhang mit FB.

Dein erster Post in diesem Thread, einige andere Posts und sogar schon die erste Antwort unterstellen Naivität beim Umgang mit Cloud-Diensten (und Social Networks, weil das werfen wir einfach mal in einen Topf). Dazu ist mehrmals der Begriff Trottel gefallen, und nicht jedes Mal mit eindeutigem Bezug auf Facebook (was allerdings für sich genommen ebenfalls kritisierwürdig ist).

Da stimme ich Dir durchaus zu... aber dieser "fahle Beigeschmack" ist ja nicht das Einzige. Natürlich kann man das immer von zwei Seiten sehen, aber wenn man sich tatsächlich mal das größere Bild und die bereits aufgetretenen 'Zwischenfälle' (Telekom, Twitter, Sony, usw) anschaut, dann wekct das bei mir schon Zweifel ob diese ganzen Cloudgeschichten nicht vielleicht doch ein Schritt in die falsche Richtung sind,...

Ich bekomme dadurch keine Zweifel an der Cloud, sondern Zweifel an der technischen Durchführung. Ich erwarte, dass ein Dienst seine Datenbanken ordentlich absichert. Und nach dem, was man bei Sony so liest (übrigens ein sehr interessanter Präzedenzfall, der meiner Meinung nach ein Überdenken der Sicherheitsvorkehrungen solcher Dienste provoziert), ist das ja dort möglicherweise nicht geschehen. Offenbar sollen dort ja verschiedene Informationen im Klartext gespeichert worden sein. Und wieso musste überhaupt alles so vernetzt sein, dass man mit einem Angriff an alle Daten herankommen konnte? Wieso kann man den Store nicht vom Online-Netzwerk trennen und auch Patches usw. über externe Server einspielen? So wie ich das verstehe, wurde alles zentral gespeichert und dadurch konnte auch alles kompromittiert werden. Wobei anschließend ja noch die Server von Sony Online Entertainment gehackt wurden, was grundsätzlich das Sicherheitskonzept des Unternehmens in Frage stellt. Interessant fand ich auch, dass man erst im Nachhinein 3(!) Sicherheitsunternehmen beauftragt hat – warum hat man das nicht vorher gemacht, ob das Netzwerk auf Schwachstellen abzusuchen?

Natürlich ist Dropbox ein viel kleineres Unternehmen als Sony, weshalb es möglicherweise schlechtere Sicherheitsvorkehrungen hat. Hier wäre es aber interessant zu wissen, wie die Daten gespeichert sind. Sie sind ja AES-verschlüsselt, aber wie werden die Schlüssel geschützt? Dort sehe ich das einzige Risiko, denn AES-verschlüsselt ist AES-verschlüsselt.

Das Problem ist wohl einfach:
100%ige Sicherheit gibt es nicht und das wäre IMHO eigentlich eine Voraussetzung für umfangreiche Cloudnutzung.

100%ige Sicherheit gibts auch bei deinem ans Internet angeschlossenen Computer nicht.

Eine 100%ige Sicherheit gibt es nicht, aber dennoch kann man versuchen, sich dieser anzunähern.
Und neben grossen RAIDs und Backups ist eine durchgängige Verschlüsselung unumgänglich.

Was hat der Schutz vor fremdem Zugriff mit Backups zu tun?

Zu Wuala: Ist das nicht diese Online-Festplatte, die auf Peer-2-Peer basiert? Ich trau der Sache nicht so recht ...

 

[Manis]

Zitat von Manis
Eine 100%ige Sicherheit gibt es nicht, aber dennoch kann man versuchen, sich dieser anzunähern.
Und neben grossen RAIDs und Backups ist eine durchgängige Verschlüsselung unumgänglich.
Was hat der Schutz vor fremdem Zugriff mit Backups zu tun?

Gar nichts. Mit Backups und RAIDs meinte ich, dass die Daten nicht verloren gehen.

Doch ich glaube, Wuala basiert zum Teil auf P2P :-/

 

[Angel]

Die Daten sind bei Cloud-Storage aber üblicherweise auch redundant gespeichert. Außerdem werden Dropbox und MobileMe iDisk ja mit den Clients synchronisiert, das heißt man hat normalerweise auch auf dem Mac eine Kopie der Dateien (und dann entsprechend auch wieder in Time Machine).

 

[santigua]

Ich war mit 19 auch manchmal ein ziemlicher Depp und denke, mittlerweile ein wenig darüber hinausgewachsen zu sein. Hoffe ich jedenfalls.

...es geht ja nicht nur um dieses eine Zitat, sondern generell um das was FB macht. Schau einfach mal was hier und hier so zusammengetragen wurde,...aber wir driften ab..

Dein erster Post in diesem Thread, einige andere Posts und sogar schon die erste Antwort unterstellen Naivität beim Umgang mit Cloud-Diensten (und Social Networks, weil das werfen wir einfach mal in einen Topf). Dazu ist mehrmals der Begriff Trottel gefallen, und nicht jedes Mal mit eindeutigem Bezug auf Facebook (was allerdings für sich genommen ebenfalls kritisierwürdig ist).

Ja, in gewisser Weise sehe ich da auch Parallelen, allerdings habe ich den Begriff Trottel stehts auf FB bezogen... und das auch nur (wenn auch sehr gerne) in Anlehnung an das Zuckerberg-Zitat. Denn das bringt es schön auf den Punkt.
Sollte sich jemand, abgesehen von Facebook, als Trottel tituliert gefühlt haben, dann möchte ich das hiermit korrigiert wissen.

Ich bekomme dadurch keine Zweifel an der Cloud, sondern Zweifel an der technischen Durchführung. Ich erwarte, dass ein Dienst seine Datenbanken ordentlich absichert.Und nach dem, was man bei Sony so liest (übrigens ein sehr interessanter Präzedenzfall, der meiner Meinung nach ein Überdenken der Sicherheitsvorkehrungen solcher Dienste provoziert), ist das ja dort möglicherweise nicht geschehen. Offenbar sollen dort ja verschiedene Informationen im Klartext gespeichert worden sein. Und wieso musste überhaupt alles so vernetzt sein, dass man mit einem Angriff an alle Daten herankommen konnte? Wieso kann man den Store nicht vom Online-Netzwerk trennen und auch Patches usw. über externe Server einspielen? So wie ich das verstehe, wurde alles zentral gespeichert und dadurch konnte auch alles kompromittiert werden. Wobei anschließend ja noch die Server von Sony Online Entertainment gehackt wurden, was grundsätzlich das Sicherheitskonzept des Unternehmens in Frage stellt. Interessant fand ich auch, dass man erst im Nachhinein 3(!) Sicherheitsunternehmen beauftragt hat – warum hat man das nicht vorher gemacht, ob das Netzwerk auf Schwachstellen abzusuchen?

Ja, mal wird sehen ob dieser Präzedenzfall in der Branche etwas bewirkt. Aber ich bin da skeptisch... in 2 Monaten wird sich genau nichts geändert haben, aber es kräht trotzdem kein Hahn mehr danach. (Beispiele dafür gibt es ja ebenfalls genug. Finanzkrise, Telekom, Fukushima, usw usf)

Natürlich ist Dropbox ein viel kleineres Unternehmen als Sony, weshalb es möglicherweise schlechtere Sicherheitsvorkehrungen hat. Hier wäre es aber interessant zu wissen, wie die Daten gespeichert sind. Sie sind ja AES-verschlüsselt, aber wie werden die Schlüssel geschützt? Dort sehe ich das einzige Risiko, denn AES-verschlüsselt ist AES-verschlüsselt.

Stimmt... wenn 'man sich die Schlüssel auf Stirn tätowiert', dann kann man sich das Verschlüsseln auch sparen...

100%ige Sicherheit gibts auch bei deinem ans Internet angeschlossenen Computer nicht.

Stimmt auch. Leider. Und macht manchmal auch ein ungutes Gefühl. Andererseits ist es eben dieses 'ungute Gefühl' das einen wachsam hält. Man sagt ja nicht ohne Grund, dass oft große Gefahr von trügerischer Sicherheit und/oder Routine her rührt...

Zu Wuala: Ist das nicht diese Online-Festplatte, die auf Peer-2-Peer basiert? Ich trau der Sache nicht so recht ...

Soetwas würde ich auch nicht trauen. Auf der Webseite klingt das aber nicht so. Da ist nur die Reder von Servern in der Schwiez Frankreich und Deutschland... das kann andererseits aber auch vieles bedeuten...

 

[steve it]

Ich nutze ebenfalls Dropbox. Habe da aber noch nie etwas unverschlüsselt reingelegt (TrueCrypt). Es hieß ja immer, dass es verschlüsselt ist. Nur hat der Schlüssel der Besitzer, was ich in dem Fall nicht bin.
Besser als nichts aber ich bin doch kein Trottel (wie offenbar recht viele).

Alternative: Windows-Software zur Dropbox-Verschlüsselung
Werden in dieser Konfiguration Daten auf das Laufwerk gespeichert, landen sie verschlüsselt direkt in der Dropbox. Boxcryptor läuft nur unter Windows. Linux und Mac OS X können auf die verschlüsselten Daten allerdings über EncFS zugreifen
http://www.golem.de/1104/82680.html

In meiner Dropbox dann TrueCrypt-Container anlegen, finde ich auch nicht gerade die beste Lösung.
Dann brauche ich auf jedem Gerät, auf dem ich die Dropbox benutzen will, eine trueCrypt-Installation.
Das wird auf einem iPhone z.B. ziemlich schwierig.

Dann nutzt man es eben nicht.

Nur ich kenne solche Diskussionen nur zu gut.
Es wird verdrängt, kleingeredet usw. und der Bequemlichkeit nachgegeben...

Ähnliche Diskussion hatte ich erst letzte Woche mit jemanden über E-Mail-Verschlüsselung.

 

[LbbnPx]

Ich mag Wuala aus verschiedenen Gründen nicht.
1. Sind die Clients hässlich, richtig hässlich.
2. Will ich nicht immer sone riesen Software benutzen müssen, wenn ich was in die Cloud lade.
3. Ich will nicht, dass meine Daten auf Festplatten bei irgendwelchen anderen Usern gespeichert werden.

Den Vorteil mit dem Schweizer Datencenter sehe ich natürlich ein, aber dennoch :-/
So gross ist meine "Schweizer-Liebe" doch nicht...

Ich hatte den Thread vollkommen aus den Augen verloren, wollte jetzt aber doch noch etwas spät kurz auf die Punkte zu Wuala eingehen.

1) Prinzipiell schon, aber den Client braucht man doch so gut wie nie. Ich habe zunächst einmal in ~/Library/Application Support/Wuala/Wuala.cfg eine zusätzliche Zeile mit dem Text "Silent" eingetragen. Damit startet der Client immer im Hintergrund, leider lässt sich diese Option nicht über das Einstellungsmenü setzen. Dann habe ich die Pro-Features aktiv (Bezahlen, oder Speicher tauschen) und habe meine Dokumentenordner als Syncordner angelegt. Damit arbeite ich nun ganz normal über den Finder auf meinem Ordner, und alles wird automatisch synchronisiert. Den "Client" habe ich mir schon lange nicht mehr angeschaut, mal abgesehen von der iPhone-Version.

2) Siehe 1)
3) Das ist natürlich schon ein Argument, die Daten liegen zwar auch dort nur verschlüsselt vor, aber im Rechenzentrum gefallen mir die Daten auch besser.

So richtig perfekt ist wohl keine Lösung, alle haben Vor- und Nachteile. Bei mir hat halt Wuala gegen Dropbox gewonnen, andere dürfen das gerne anders sehen ;-)

 

[Manis]

Nur ich kenne solche Diskussionen nur zu gut.
Es wird verdrängt, kleingeredet usw. und der Bequemlichkeit nachgegeben...

Stimmt leider.

Damit arbeite ich nun ganz normal über den Finder auf meinem Ordner, und alles wird automatisch synchronisiert

Jetzt hast du mich!
Kann man auch einfach die Wuala Software nutzen und den Ordner über ein NAS synchronisieren?

3) Das ist natürlich schon ein Argument, die Daten liegen zwar auch dort nur verschlüsselt vor, aber im Rechenzentrum gefallen mir die Daten auch besser.

Bei der Dropbox hiess es auch, es würde verschlüsselt...

Manis

 

[Late]

Sensible Daten sind in meiner Dropbox verschlüsselt. (Ich erstelle dann verschlüsselte Images)

Sonst nutze ich Dropbox nur für Bilder, die dann eh weiter geschickt und/oder veröffentlicht werden.

Mir ist das ganze also relativ egal.

 

[Grettir]

Können Daten eigentlich sensibel sein? Das sind ja ganz neue Perspektiven!

 

[pdr2002]

Korrekt. Vom Gründer von Facebook

Das ist nicht korrekt. Er hat NICHT alle Facebook-Anwender als Trottel bezeichnet, sondern diejenigen, die mit ihm befreundet sein wollten ohne ihn zu kennen, waren zwar auch über 10.000, aber eben nicht alle. Ich finde seine Aussage korrekt. Warum will ich mit jemandem befreundet sein, den ich gar nicht kenne?

Ich liebe es einfach, wenn man Zitate aus dem Zusammenhang reißt, aber das ist ja leider sehr beliebt.

 

[Manis]

Ich liebe es einfach, wenn man Zitate aus dem Zusammenhang reißt, aber das ist ja leider sehr beliebt.

Wir stehen halt auf Skandale ;-)

Gibt's eigentlich in der Sache schon Neuigkeiten? Ich nutze die Dropbox immer lieber und frage mich immer noch, wies mit der Sicherheit meiner Daten aussieht.

Manis

 

[lundehundt]

unschoen ist, wenn eine Firma ihren Kunden gegenueber etwas behauptet, was nicht der Wahrheit entspricht. Das nennt man Luegen. Wer allerdings grundsaetzlich erwartet, dass alle Daten verschluesselt in der Cloud liegen damit Admins nicht unberechtigt darauf zugreifen koennen, der muss auch ein polizeiliches Fuehrungszeugnis, eine Unbedenklichkeitsbescheinigung des Arbeitgebers und eine Kopie des unterschriebenen None Disclosure Agreements von seinem Postzusteller verlangen. Alternativ koennte man auch eine Verschluesselung mit seinem Briefpartner vereinbaren

 

[pdr2002]

SÄMTLICHE Deiner Beiträge, die Du in den besagten Foren verfaßt hast, zu scannen.

Dann such mal bei Google nach WirbelFCM und Du wirst alle Beiträge finden die Du gemacht hast unabhängig von FB...

 

[pdr2002]

unschoen ist, wenn eine Firma ihren Kunden gegenueber etwas behauptet, was nicht der Wahrheit entspricht.

Also ich kann eigentlich keine "Lügen" erkennen, eher Mißverständnisse, die Dropbox deutlich adressiert hat. Es war nicht deutlich, dass der Verschlüsselungsschlüssel bei Dropbox liegt, dies wurde inzwischen klargestellt. Dropbox-Mitarbeiter dürfen grundsätzlich keine Anwenderdaten anfassen und dies wird lt. Dropbox streng kontrolliert, das bedeutet natürlich nicht, dass es technisch nicht möglich ist. Dropbox weißt ausdrücklich darauf hin, dass sie gesetzlich verpflichtet werden können Benutzer-Dateien Verfolgungsbehörden unverschlüsselt auszuhändigen. Da es sich um eine amerikanische Firma handelt, sollte dies aber klar sein.
Es gab eine Sicherheitslücke beim Windows-Client, welche adressiert wird, aber solche Sicherheitslücken wird man nie zu 100% ausschließen können. Bei Android-Geräten ist die Übermittlung der Daten aus performancegründen nicht zu 100% per SSL verschlüsselt, ist aber in Arbeit.
Wenn man die Vorteile von Dropbox uneingeschränkt nutzen möchte, muss sie mit dem bestehendem System abfinden, oder auf einige Vorteile verzichten und selbst für Verschlüsselung sorgen. Das bleibt einem selbst überlassen.
Also ich kann jetzt weder eine Lüge erkennen, noch ein fahrlässigen Umgang mit der Sicherheit der anvertrauten Daten.

Hier noch einmal eine schöne Zusammenfassung durch Dropbox in Hinsicht der Problematik der Verschlüsselungsschlüssel:

However, since the files are encrypted with the DB teams encryption key, they still have the possibility to see the files if they really wanted. If not the web interface would not have been possible. What you should do, for those highly private files, is to use a third party encryption application that you control. TrueCrypt is the recommended one. That way, no-one will ever have the possibility to look at the files. At least not without you giving them the password. ;-) It all just comes down to how much trust you're willing to place on the few people in the DB team that actually can access the key, if they like (and would take the risk of being discovered).