Dropbox ist, wie Wikipedia so schön schreibt, ein Webdienst, für die Synchronisation von Dateien zwischen verschiedenen Rechnern und Benutzern und gleichzeitig eine Online-Datensicherung. Persönlich hab ich die Dropbox inzwischen lieb gewonnen, um eben genau dieses Feature zu nutzen, um Daten zwischen meinen verschiedenen Systemen synchron zu halten bzw. Daten einfach und unkompliziert mit Bekannten auszutauschen.

Gestern wurde ich in der Firma gefragt, ob wir hier nicht auch zum Austausch Daten mit einer externen Firma ebenfalls die Dropbox verwenden könnten. Grundsätzlich ist diese Idee nicht schlecht, da hier die Daten einfach zwischen den Firmen PCs ausgetauscht werden. Aber es gibt hier halt doch einige Sachen, die man beachten sollte und die bei uns gegen einen Einsatz sprechen.

Daten, die im Dropbox Ordner liegen, werden automatisch auf alle angeschlossenen Rechner des Accounts synchronisiert (dies ist ja der eigentliche Sinn). Im Falle eines gemeinsamen Ordners können hier auch Daten von einem anderen Benutzer auf das System synchronisiert werden. Diese Funktion wäre auch die benötige Funktion, um mit anderen Firmen/Benutzern Daten auszutauschen. Auf diesen Weg können natürlich auch Schadprogramme wie Viren etc. übertragen werden. Natürlich können solche Programme auch per FTP oder E-Mail übertragen werden aber das Einschleusen in das Firmennetz ist hier wesentlich schwieriger. Firewalls etc. sind hier wesentlich komplexer. Auch werden Daten nicht von privat Rechner transferiert, was bei einem privaten Dropbox Account möglich ist, der ggf. auch für die Firma verwendet wird.

Genauso einfach, wie Daten rein kommen, können diese natürlich auch aus der Firma raus kommen. Neben unkritischen Daten für Werbeagenturen können dies auch schnell kritische und vertrauliche Informationen sein. Während ich z. B. FTP-Server über Proxies etc. sehr genau regulieren kann und hier die Verbindung nur auf bestimmte Server lenken kann, so ist die Dropbox einfach offen. Wer hindert einen Mitarbeiter daran (sollte es ein Geschäftsdropboxkonto geben), dieses abzumelden, und sich mit seinem privaten anzumelden. In Firewalls etc. sehe ich hier nicht wirklich viel.

Ein weiterer Punkt ist, dass alle Daten in den USA liegen und somit amerikanischem Recht unterliegen. Dropbox verwendet den Amazon S3 Service mit ausschließlich US Datastorage. Für Firmendaten ist dies unter Umständen schon ein wichtiger Punkt, der für Privatdaten außer Acht gelassen werden kann. In der Votebox gibt es zwar den Wunsch, auch europäische S3 Server zu verwenden, bis jetzt ist hier aber noch nichts passiert. Dadurch wäre zumindest dieses Thema entschärft.

Eher grundsätzlich ist das Problem der Verschlüsselung zu betrachten. Zwar verwendet Dropbox mit AES-256 eine sehr gute und hochwertige Verschlüsselung, da der Schlüssel jedoch zentral vorliegt und man keinen eigenen eingeben kann, besteht immer die Möglichkeit, dass die Daten von Dritten entschlüsselt werden. Dies könnten jetzt Hacker sein, die in den Server eindringen oder aber auch Regierungsbehörden. Durch den Standort in den USA sind diverse amerikanische Behörden ja durchaus befugt, in gewissen Situationen Einsicht in die Daten zu nehmen. Man müsste hier also Firmendaten noch einmal verschlüsseln (z. B. mit TrueCrypt oder GnuPG).

Bei uns wären nur relativ unkritische Dateien ausgetauscht worden aber trotzdem haben wir uns gegen den Einsatz der Dropbox entschieden. Der erste Punkt war der Ausschlaggebende, da wir nicht sicherstellen können, welche Daten von extern in das Firmennetz synchronisiert werden würden.