Experte hält Nutzerdaten bei Dropbox für gefährdet

Dropbox hat 25 Millionen Nutzer und hostet über 200 Millionen Dateien - der Sicherheitsexperte und Doktorand der Informatik, Christopher Soghoian, fordert das Unternehmen auf, sie besser zu schützen. Soghoian kritisiert den Dienst, weil entgegen den Versprechungen von Dropbox die Dateien der Kunden nicht immer vor Zugriff geschützt sind.

Zwar sind die Dateien mit 256-Bit-AES verschlüsselt. Die Schlüssel liegen jedoch bei Dropbox, so dass Mitarbeiter des Dienstes jederzeit die von den Kunden als sicher gewähnten Dateien anschauen könnten. Dropbox-Kritiker Soghoian befürchtet, dass das auch Hacker oder böswillige Dropbox-Mitarbeiter ausnutzen könnten. Insider-Angriffe gehören laut dem Sicherheitsexperten zu den größten Risiken für die Privatsphäre.

Dropbox-Werbung - seit Mitte April 2011 wirbt der Dienst nicht mehr damit, dass niemand die Dateien ansehen kann. (Bild: Golem.de)

Der Verschlüsselungsschutz wäre nach Meinung von Soghoian nur dann wirksam, wenn Kunden ihre Dateien mit einem selbst gewählten Passwort durch den Dienstleister verschlüsseln lassen würden. Das ist bei einigen Konkurrenten der Fall. Im Moment sollten Dropbox-Nutzer sensible Dateien mit Tools wie Truecrypt selbst verschlüsseln und erst dann zu Dropbox übertragen.

Kritik auch seitens der EFF

In Kooperation mit der Electronic Frontier Foundation (EFF) hatte Soghoian bereits Druck auf Dropbox ausgeübt, seinen Sicherheitsversprechen gerecht zu werden oder die Kunden davon zu informieren, dass ihre online gespeicherten Dateien nicht so sicher sind, wie es versprochen wurde. Die Kunden, die es mitbekamen, vor allem die zahlenden, sollen bereits entsprechend negative Kommentare im Dropbox-Blog hinterlassen haben.

Dropbox hat zwar Soghoian zufolge die Kunden nicht informiert, dass ihre Daten nicht so sicher sind wie versprochen. Dropbox relativierte aber einige Wochen später seine Werbeaussagen und erneuerte seine allgemeinen Geschäftsbedingungen - die seit dem 21. April 2011 auch konkret die gesetzeskonforme Datenweitergabe an die US-Regierung erwähnt.

In der von Wired veröffentlichten Beschwerde an die FTC bemängelt Soghoian deshalb, dass die Nutzer nicht angemessen informiert. Wären sie informiert, könnten sie selbst für Verschlüsselungsschutz sorgen, zu anderen Diensten wechseln oder ganz auf Cloud-basierte Backups verzichten. Für Soghoian sind Dropbox' Versprechungen ein klarer Verstoß gegen die Wettbewerbsregeln und müssten deshalb von der Federal Trade Commission überprüft werden.

Dropbox sieht keinen Handlungsbedarf

Gegenüber Wired widersprach eine Dropbox-Sprecherin der Kritik. Es handle sich um alte Vorwürfe, die Dropbox im eigenen Blog bereits angesprochen habe und die Beschwerde bei der FTC sei nicht gerechtfertigt. "Jeden Tag verlassen sich Millionen von Leuten auf unseren Dienst und wir arbeiten hart daran, ihre Daten sicher, geschützt und privat zu halten", wird sie von dem Magazin zitiert.

Soghoian sorgte auch in der vergangenen Woche für Aufmerksamkeit, als er den E-Mail-Wechsel mit einer PR-Agentur veröffentlichte, die im Auftrag von Facebook und mit Hilfe von bezahlten Blogbeiträgen eine Schmierkampagne gegen Google durchführen sollte. Soghoian lehnte ab und machte die Angelegenheit publik.