Dropbox ist, wie Wikipedia so schön schreibt, ein Webdienst, für die Synchronisation von Dateien zwischen verschiedenen Rechnern und Benutzern und gleichzeitig eine Online-Datensicherung. Persönlich hab ich die Dropbox inzwischen lieb gewonnen, um eben genau dieses Feature zu nutzen, um Daten zwischen meinen verschiedenen Systemen synchron zu halten bzw. Daten einfach und unkompliziert mit Bekannten auszutauschen.

Gestern wurde ich in der Firma gefragt, ob wir hier nicht auch zum Austausch Daten mit einer externen Firma ebenfalls die Dropbox verwenden könnten. Grundsätzlich ist diese Idee nicht schlecht, da hier die Daten einfach zwischen den Firmen PCs ausgetauscht werden. Aber es gibt hier halt doch einige Sachen, die man beachten sollte und die bei uns gegen einen Einsatz sprechen.

Daten, die im Dropbox Ordner liegen, werden automatisch auf alle angeschlossenen Rechner des Accounts synchronisiert (dies ist ja der eigentliche Sinn). Im Falle eines gemeinsamen Ordners können hier auch Daten von einem anderen Benutzer auf das System synchronisiert werden. Diese Funktion wäre auch die benötige Funktion, um mit anderen Firmen/Benutzern Daten auszutauschen. Auf diesen Weg können natürlich auch Schadprogramme wie Viren etc. übertragen werden. Natürlich können solche Programme auch per FTP oder E-Mail übertragen werden aber das Einschleusen in das Firmennetz ist hier wesentlich schwieriger. Firewalls etc. sind hier wesentlich komplexer. Auch werden Daten nicht von privat Rechner transferiert, was bei einem privaten Dropbox Account möglich ist, der ggf. auch für die Firma verwendet wird.

Genauso einfach, wie Daten rein kommen, können diese natürlich auch aus der Firma raus kommen. Neben unkritischen Daten für Werbeagenturen können dies auch schnell kritische und vertrauliche Informationen sein. Während ich z. B. FTP-Server über Proxies etc. sehr genau regulieren kann und hier die Verbindung nur auf bestimmte Server lenken kann, so ist die Dropbox einfach offen. Wer hindert einen Mitarbeiter daran (sollte es ein Geschäftsdropboxkonto geben), dieses abzumelden, und sich mit seinem privaten anzumelden. In Firewalls etc. sehe ich hier nicht wirklich viel.

Ein weiterer Punkt ist, dass alle Daten in den USA liegen und somit amerikanischem Recht unterliegen. Dropbox verwendet den Amazon S3 Service mit ausschließlich US Datastorage. Für Firmendaten ist dies unter Umständen schon ein wichtiger Punkt, der für Privatdaten außer Acht gelassen werden kann. In der Votebox gibt es zwar den Wunsch, auch europäische S3 Server zu verwenden, bis jetzt ist hier aber noch nichts passiert. Dadurch wäre zumindest dieses Thema entschärft.

Eher grundsätzlich ist das Problem der Verschlüsselung zu betrachten. Zwar verwendet Dropbox mit AES-256 eine sehr gute und hochwertige Verschlüsselung, da der Schlüssel jedoch zentral vorliegt und man keinen eigenen eingeben kann, besteht immer die Möglichkeit, dass die Daten von Dritten entschlüsselt werden. Dies könnten jetzt Hacker sein, die in den Server eindringen oder aber auch Regierungsbehörden. Durch den Standort in den USA sind diverse amerikanische Behörden ja durchaus befugt, in gewissen Situationen Einsicht in die Daten zu nehmen. Man müsste hier also Firmendaten noch einmal verschlüsseln (z. B. mit TrueCrypt oder GnuPG).

Bei uns wären nur relativ unkritische Dateien ausgetauscht worden aber trotzdem haben wir uns gegen den Einsatz der Dropbox entschieden. Der erste Punkt war der Ausschlaggebende, da wir nicht sicherstellen können, welche Daten von extern in das Firmennetz synchronisiert werden würden.

Am 30. August habe ich über den Angriff auf die Niederländische SSL-CA DigiNotar geschrieben. Inzwischen liegt ja auch der Untersuchungsbericht¹ vor und was man hier liest ist ja mehr als erschreckend. Es wurden über 500 Zertifikate ausgestellt². Auch wenn einige total Schwachsinnig sind, ist allein diese Anzahl erschreckend.

Wie konnte so etwas passieren? Die kritische Infrastruktur, die für das Betreiben einer solchen CA notwendig ist, war nur unzureichend geschützt. CA-Server über Management-LAN erreichbar, unsichere Passwörter, Mitglied in einer Windows Domäne usw. Die Ermittler fanden dann auch noch diverse Schadprogramme welche mit einem simplen Virenscanner gefunden werden hätten können. Ein solches Programm war jedoch nicht installiert.

Die niederländische Regierung hat nun die Kontrolle über DigiNotar übernommen. Ob man dadurch wieder mehr Vertrauen in die CA hat überlasse ich jeden selbst. Grund wird jedoch auch mit sein, dass die Regierung selbst Zertifikate³ herausgibt und dies über DigiNotar läuft. Anfänglich hieß es zwar, PKloverheid sei von diesem Angriff nicht betroffen aber dies hatte sich ja inzwischen als falsch herausgestellt.

Das PKloverheid-Stammzertifikat wurde auch noch nicht zurückgezogen was meiner Meinung nach unverantwortlich ist. Natürlich laufen damit verschlüsselte Verbindungen von Computersystemen und auch Regierungsangelegenheiten. Aber doch gerade hier ist es doch wichtig, dass die Echtheit sichergestellt ist. Unter der Hand wird dies übrigens auch als der Grund gehandelt, wieso Microsoft das Update für XP und Windows 2003 noch nicht automatisch verteilt.

Auf der einen Seite sieht man die Macht des Staates, wie dem Iran der sich Zertifikate beschafft um dann Leute auszuspionieren und auf der anderen Seite gibt es die Regierung der Niederlande, die verhindert das Zertifikate zurück gerufen werden um einfach die Kommunikation aufrecht zu erhalten. Die Sicherheit ist so oder so nicht mehr gewährleistet und das Vertrauen in die Verschlüsselung dahin.

Der Hacker hat übrigens zwischenzeitlich ein Manifest⁴ veröffentlicht, indem er auch behauptet, die Kontrolle über GlobalSign zu haben. Diese CA untersucht den Vorfall und stellt bis auf weiteres keine neuen Zertifikate mehr aus.

1) http://cryptome.org/0005/diginotar-insec.pdf
2) http://www.heise.de/security/meldung/Ueber-500-Zertifikate-Ausmass-des-CA-Hacks-schlimmer-als-erwartet-1336603.html
3) http://www.logius.nl/producten/toegang/pkioverheid/
4) http://pastebin.com/1AxH30em