Die letzthin bei Dropbox aufgetretene Sicherheitslücke führte bei manchen Benutzern zu einem großen Vertrauensverlust gegenüber dem amerikanischen Unternehmen. Verstärkt wurde dies durch einen schlechten und unglücklichen Informationsfluß seitens des Unternehmens.

Wie reagiert man auf so einen Ereignis? Welche Konsequenzen ergeben sich?

Natürlich gab es in den Kommentaren des Blogeintrags bei Dropbox eine entsprechende Welle von Entrüstung und völligem Unverständnis:

“So etwas darf nicht passieren!”

Richtig. Tut es aber, und zwar aus den verschiedensten Gründen. Einer davon ist menschliches Versagen und zeigt sich bei Software in Form von Bugs. Murphys Gesetz: “Alles, was schiefgehen kann, wird auch schiefgehen.”

“Mag sein, aber es gibt sicherere Anbieter!”

Dem ist tatsächlich so. Eine Verschlüsselung der Daten auf der Benutzerseite verhindert zwar nicht, daß sich ein Dritter unerlaubt Zutritt zu den Daten verschafft, er kann sie dann allerdings nicht lesen. Ist der Schlüssel komplex genug, wird ihm das auch nach Jahren einer Brute-Force-Attacke nicht gelingen.

“Sag ich doch: Nix wie weg!”

Dropbox ist “leider” ein Dienst, der mit einer stattlichen Menge von Pluspunkten aufwarten kann. Die wichtigsten dabei sind:

• Nahtlose Integration ins Betriebssystem
• Unterstützung der Extended File Attributes. Unter Mac OS X sind das Meta Tags, Etiketten, Spotlight Kommentare, etc.
• Breite Unterstützung durch Programme von Drittanbietern, und das auch bei mobilen Apps

Andere Anbieter können da (noch) nicht in allen Punkten mithalten.

“Dann verschlüssele ich halt meine Dateien”

Das ist natürlich ein gangbarer Weg. Unter OS X bieten sich die bordeigenen, mitwachsenden Bundle-Images oder EncFS an, für eine platformübergreifende Lösung TrueCrypt. Es gibt aber einen Pferdefuß: Mobile Geräte sind dann nicht mehr in der Lage, auf die Daten zuzugreifen. Somit wird eine Bearbeitung von unterwegs aus unmöglich.

“Also muß ich mich für Sicherheit oder Komfort entscheiden”

Jein. Vielmehr sollte man bewerten, wie groß das Risiko beim Benutzen der Dropbox tatsächlich ist bzw. was für Auswirkungen ein Sicherheitsleck haben könnte.

Was habe ich für Daten?

Handelt es sich bei den Dateien um die Fußballergebnisse der letzten 10 Jahre oder um Entwürfe für die nächsten Blogartikel, wird wohl kein ein Problem darstellen, wenn diese “in falsche Hände” geraten.

Ganz anders sieht das z. B. bei der eigenen Steuerklärung aus. Sicherheitsrelevante Dateien sollten mmer verschlüsselt werden. Und mal ehrlich: Solche Daten haben eigentlich auch nichts auf einem mobilen Gerät verloren, oder?

Wie sehen meine Zugangsdaten aus?

Ein weiterer wichtiger Punkt sind die eigenen Zugangsdaten, und damit ist nicht nur das Passwort gemeint. Für einen erfolgreichen Login braucht man nämlich eine zweite Komponente: Den Benutzernamen. Ein potentieller Angreifer muß also zwei Unbekannte in Erfahrung bringen.

So konnten bei dem vierstündigen Sicherheitsleck der Dropbox zwar beliebige Passwörter beim Login angegeben werden, allerdings mußte auch ein Benutzername (Email Adresse) bekannt sein!

Drew Houston (CEO, Dropbox) schrieb in seinem Brief:

We will continue our investigations, but as best as we can tell right now, a single individual took advantage of the lapse to access fewer than a hundred accounts.

Schlimm. Aber das konnte diese Person mit Sicherheit nur “ungezielt” durch die Benutzung von frei erratenen Email Adressen für den Login.

Mal sollte als Benutzer also Wert darauf legen, nicht nur das Passwort, sondern auch die verwendete Email Adresse komplex, einzigartig und geheim zu halten. Wenn man Ordner mit anderen Teilnehmern teilt, so nur dann, wenn man das Vertrauensverhältnis mit diesen einschätzen kann.

Dropbox läßt übrigens eine nachträgliche Änderung der Email-Adresse ohne Probleme zu. Das hat nicht einmal Auswirkungen auf die geteilten Ordner.

Fazit

Absolute Sicherheit gibt es nicht. Bei keinem der Anbieter in der Cloud kann man sich darauf verlassen, daß die Daten dort hundertprozentig sicher sind. Man muß deswegen als Benutzer seinen Teil beitragen und den Zugang möglichst sicher gestalten. Eventuell sollten bestimmte Daten erst gar nicht in der Cloud abgelegt werden. Dann kann sie dort auch kein ungebetener Gast einsehen.

Kategorie: Internet
Schlagworte: login, passwort