Dropbox war der erste verfügbare Mainstream-Cloud-Speicher-Dienst und war in vielerlei Hinsicht wegweisend für die Branche. Leider hat das Unternehmen im Laufe der Jahre auch viele Fehltritte begangen, von denen das Dropbox-Datenleck von 2012 das schlimmste war, das die Branche bisher gesehen hat. Wir haben diese Chronik der Sicherheitsprobleme von Dropbox zusammengestellt, damit du selbst entscheiden kannst, ob dies noch der richtige Anbieter für dich ist.
Wenn du nach der Lektüre bereit für den Wechsel bist, schau dir diese Kurzanleitung zum Löschen deines Dropbox-Kontos an. Und da du gerade eine Dropbox-Alternative in Erwägung ziehst, teilen wir unten auch Informationen über Proton Drive mit, das viel sicherer ist.
Dropbox-Sicherheits-Datenlecks: Eine Chronik
Dropbox wurde 2008 gegründet und hat seit 2011 fast jedes Jahr irgendeine Form von Datenleck erlebt, auch wenn sich das Tempo in letzter Zeit etwas verlangsamt hat. Dennoch ist es wichtig, sich die bisherige Bilanz anzusehen, wenn man entscheidet, welchem Cloud-Speicherdienst man seine Dateien anvertraut.
2011: Dropbox-Passwortfehler
Der erste Skandal von Dropbox ereignete sich im Juni 2011, nur drei Jahre nach der Gründung. Aufgrund eines Fehlers akzeptierte das Dropbox-System über einen Zeitraum von etwa vier Stunden jedes Passwort(neues Fenster), das man eingab. Das bedeutete, dass jeder Zugriff auf jedes Konto erhalten konnte, solange er den Benutzernamen oder die E-Mail kannte – ein gutes Argument für die Verwendung eines sicheren Benutzernamens.
Allerdings sei angemerkt, dass das Dropbox-Team nur fünf Minuten brauchte, um das Problem zu beheben, nachdem es darüber benachrichtigt worden war. Während dieser vier Stunden stand jedoch jedes Dropbox-Konto sperrangelweit offen. Es war pures Glück, dass in dieser Zeitspanne keine Angreifer von der Schwachstelle erfuhren.
2012: Dropbox-Datenleck, 68 Millionen Passwörter gefährdet
Im Juli 2012 berichtete(neues Fenster) Dropbox, dass einige Benutzernamen und Passwörter von anderen Websites gestohlen und dann für den Zugriff auf Dropbox verwendet wurden (ein guter Grund, für jede Website separat starke Passwörter zu erstellen). Dropbox reagierte mit der Bereitstellung von Sicherheitsmaßnahmen, um unbefugten Zugriff zu erschweren.
So weit, so gut, aber 2016 kam heraus, dass Dropbox nicht die ganze Geschichte erzählt hatte(neues Fenster): Unter den 2012 gehackten Personen war auch ein Dropbox-Mitarbeiter, der sein Firmenpasswort auch bei LinkedIn verwendet hatte. Dies verschaffte den Angreifern Zugriff auf die Systeme von Dropbox.
Als die Geschichte 2016 ans Licht kam – vier Jahre nach dem ursprünglichen Datenleck – stellte sich schnell heraus, dass rund 68 Millionen Benutzer gefährdet worden waren. Damit war es der größte Hack in der Geschichte der Cloud-Speicher und einer der bedeutendsten in der Geschichte des Internets, Punkt. Hinzu kam der Skandal um Dropbox, ein riesiges Unternehmen, das vier Jahre brauchte, um das volle Ausmaß des Schadens einzugestehen.
2013: PRISM-Vorwürfe
Als Edward Snowden 2013 der Zeitung The Guardian enthüllte, dass die Regierung der Vereinigten Staaten über das PRISM-Programm Menschen auf der ganzen Welt ausspionierte, war einer der Namen(neues Fenster), die fielen, Dropbox. Laut Snowden war das Unternehmen bestrebt, mit den US-Behörden zusammenzuarbeiten, und nannte es einen „Möchtegern-PRISM-Partner(neues Fenster)“.
Es ist unklar, ob Dropbox jemals dem PRISM-Projekt beigetreten ist – das Unternehmen hat dies stets bestritten –, aber es sollte den Menschen wohl zu denken geben, dass jeder Cloud-Speicher-Dienst als enthusiastisch beschrieben wird, einer massiven Überwachungsverschwörung beizutreten.
2017: Auferstandene Daten
Im Januar 2017 stießen einige Dropbox-Benutzer auf etwas sehr Seltsames: Dateien, die sie gelöscht hatten, teilweise vor Jahren, tauchten plötzlich wieder in ihren Dropbox-Konten auf. Nach einigen Untersuchungen fand Dropbox heraus(neues Fenster), dass sich ein Fehler in den Code eingeschlichen hatte, der verhinderte, dass Dateien und Ordner dauerhaft gelöscht wurden.
Obwohl es auf den ersten Blick harmlos erscheinen mag, löschen wir Dateien oft aus einem bestimmten Grund, und die Tatsache, dass möglicherweise sensible Daten selbst nach ihrer Vernichtung ein geisterhaftes Dasein weitergeführt haben könnten, ist ein sehr ernstes Problem. Auch das ist etwas, das du von einem Unternehmen wie Dropbox nicht erwarten würdest.
2018: Ohne Einwilligung geteilte Daten
Im Juli 2018 wurde eine interessante Harvard-Studie(neues Fenster) veröffentlicht, in der die Zusammenarbeit von Tausenden von Menschen als Datenpunkte verwendet wurde, um zu ermitteln, wie Teams zusammenarbeiten können. Spannendes Zeug mit einigen sehr originellen Erkenntnissen. Die verwendeten Daten stammten jedoch von Dropbox, und die beteiligten Personen wurden nie gefragt(neues Fenster), ob sie auf diese Weise verwendet werden dürften.
Obwohl die verwendeten Daten anonymisiert wurden, bevor sie an die Forscher gesendet wurden (etwas, das in der ersten Version des Artikels nicht klargestellt wurde), sollte es dich dennoch beunruhigen, dass ein Dienst, dem du deine Daten anvertraut hast, diese ohne deine Zustimmung an Dritte weitergegeben hat, egal ob anonymisiert oder nicht.
Darüber hinaus könnte man argumentieren, dass anonyme Daten gar nicht so anonym sind, da es Möglichkeiten gibt, die Identität von jemandem zu rekonstruieren, selbst wenn Namen aus digitalen Dossiers entfernt wurden.
2022: Rückkehr des Phishing-Angriffs
Der jüngste Dropbox-Skandal ereignete sich im November 2022, als erneut die Anmeldedaten eines Dropbox-Mitarbeiters während eines Phishing-Angriffs gestohlen wurden(neues Fenster).
Diesmal gaben sich die Angreifer als GitHub aus, eine Website, auf der Entwickler ihren Code speichern. In diesem Fall entwendeten die Diebe E-Mails und Passwörter von Dropbox-Mitarbeitern sowie von Kunden. Es sollte auch angemerkt werden, dass GitHub selbst den Angriff gemeldet hat, nicht Dropbox.
Als Reaktion darauf erklärte Dropbox, dass zu keinem Zeitpunkt Kundendateien in Gefahr gewesen seien, ebenso wenig wie eines seiner Kernmodule, also die Teile, aus denen Dropbox besteht und die bei einer Offenlegung das gesamte System bedrohen könnten. Glück für sie, aber es ist nur ein schwacher Trost für jeden, dessen E-Mail von Cyberkriminellen missbraucht wurde.
Was kannst du anstelle von Dropbox verwenden?
Wie der obige Zeitstrahl zeigt, könnte Dropbox viel besser abschneiden als bisher. Auch wenn es nicht so schlimm wie bei LastPass ist, hat das Unternehmen mehr als einmal gepatzt. Oftmals wurden das Ausmaß und die Schwere der Vorfälle von Dropbox nicht gemeldet, was auf einen Mangel an Bewusstsein oder Transparenz hindeutet. Und in den meisten Fällen wurden die Datenlecks durch mangelhafte Sicherheitspraktiken verursacht.
Insbesondere die fehlende Ende-zu-Ende-Verschlüsselung von Dropbox ist besorgniserregend. Wenn ein Cloud-Speicher-Dienst deine Dateien mit Ende-zu-Ende-Verschlüsselung schützt, bedeutet das, dass deine Daten auf deinem Gerät verschlüsselt werden, bevor sie in die Cloud gelangen. Jeder spätere Angriff auf die Cloud-Server würde nicht dazu führen, dass Daten offengelegt werden. Wir gehen in unserem Artikel über die Sicherheit von Dropbox näher auf diese und weitere Details ein.
In Anbetracht dieser Schwachstellen der gängigen Cloud-Speicher-Anbieter haben wir Proton Drive entwickelt, eine sichere, Ende-zu-Ende-verschlüsselte Alternative, die erstklassige Sicherheit und eine angenehme Benutzererfahrung in einem bietet. Selbst wenn wir deine Daten sehen wollten – was wir nicht wollen, da unser Geschäftsmodell der Schutz deiner Privatsphäre ist –, könnten wir ohnehin nicht darauf zugreifen.
Dieses Versprechen zum Schutz der Privatsphäre steht seit unserer Gründung im Mittelpunkt von Proton, und dank unserer Unterstützer konnten wir dies ohne externe Finanzierung umsetzen. Unsere einzige Verpflichtung gilt also dir, unserer Community.
Wenn eine sichere und private Cloud-Speicher-Option für dich gut klingt, nutze Proton Drive kostenlos und bekomme einen Vorgeschmack darauf, wie ein privates Web aussehen könnte.
