Wieder Kritik an Sicherheitsbestimmungen von Dropbox.
Dropbox, der populäre Dienst zur Datensynchronisierung und Erstellung von Online-Backups, hat seine Nutzungsbedingungen überarbeitet. US-Behörden erhalten unter bestimmten Umständen Zugriff auf verschlüsselte Nutzerdaten, wieder BusinessInsider berichtet. Die Änderungen haben dem Dienst nun erneute Kritik rund um die Sicherheitsbestimmungen eingebracht.
Auf richterliche Anordnung
Im geänderten Absatz heißt es, dass man die Daten dann herausgebe, wenn die "richtigen juristischen Schritte" dafür eingeleitet wurden. Gespeicherte Dokumente, Fotos und Videos werden also etwa bei einem Durchsuchungsbefehl auf richterliche Anordnung herausgegeben. Die Nutzungsbedingungen fallen dabei unter kalifornisches Recht.
Nicht bei eigener Verschlüsselung
Bei der Datenherausgabe wird die automatische Verschlüsselung aufgehoben, die Dropbox von sich aus anwendet. Nutzer können ihre Daten vor dem Upload natürlich auch selbst verschlüsseln. In diesem Fall kann Dropbox die Verschlüsselung nicht entfernen, wie in den Nutzungsbedingungen betont wird. Die Richtlinien können auf der Homepage unter Policies/ Security Overview nachgelesen werden.
Kritik an Kommunikation
Grundsätzlich ist es nicht ungewöhnlich, dass Unternehmen Nutzerdaten im Fall von richterlichen Anordnungen herausgeben. GNOME-Gründer Miguel de Icaza kritisiert in einem Blog-Eintrag allerdings, dass Dropbox die Sicherheitsmaßnahmen durchaus nicht einheitlich kommuniziere. Auf der Website betone das Unternehmen, dass Mitarbeiter keinen Zugang zu verschlüsselten Daten sondern nur Zugriff auf Metadaten hätten. Die neuen Nutzungsbedingungen würden diesen Angaben widersprechen, meint de Icaza. Man könne nicht sicher sein, dass sich Mitarbeiter oder Hacker nicht missbräuchlich Zugriff auf verschlüsselte Daten schaffen könnten. Gegenüber TUAW erklärte Dropbox in einem Statement, dass die Formulierungen missverständlich gewählt sei und man sie ändern werde. Inzwischen heißt es auf der Website, dass Mitarbeitern der Zugriff auf Nutzerdaten "verboten" sei.
Sicherheitsrisiko
Hacker müssen allerdings nicht erst auf die Server des Unternehmens einbrechen, um Zugriff auf Konten zu erhalten. Wie vor kurzem bekannt wurde, können sich unbefugte Nutzer offenbar sehr einfach Zugriff auf die privaten Daten anderer verschaffen. Wie berichtet werden alle Informationen zur Autorisierung in einer einzigen Datei abgespeichert. Diese Datei ist jedoch nicht an das jeweilige Gerät gebunden. Wenn es jemanden gelingt, die Datei zu kopieren und auf den eigenen Rechner zu speichern, kann er alle Daten des anderen Accounts synchronisieren. Das Unternehmen meint dazu, dass man in einem Update für die Desktop-Version bereits strengere Zugangsberechtigungen für den Ordner mit dem entsprechenden File verankert habe. Zudem will man überlegen, wie man die Sicherheit der Daten auch im Fall eines Hacks erhöhen könne. (br/derStandard.at, 20. April 2011)