Von Dropbox zu SpiderOak

Nachdem Dropbox verkündet hat, seine AGBs so zu verändern, dass im Falle des Falles auch Daten an US-Ermittlungsbehörden weitergegeben werden können, habe ich für mich entschieden, auch im Lichte der miesen Authentifikationsverfahren, Dropbox den Rücken zu kehren und mich nach einer Alternative umzusehen

Ich habe absolut nichts zu verbergen. Alle meine wirklich privaten Daten liegen nicht in der Cloud und sind sowieso verschlüsselt. Aber nichts desto weniger ist es ein Vertrauensbruch, den Dropbox hier begangen hat. Ich vertraue denen meine Daten an. Da steckt das Wort vertrauen schon drin. Wenn Dropbox schon in die AGBs reinschreibt, meine Daten ggf. an US-Behörden weiterzugeben, wer weiß dann schon, was noch alles mit meinen Daten angestellt wird. Geht gar nicht. Gerade, weil ich so ein langweiliges Leben führe, verbitte ich mir, dass in meinen Daten herumgeschnüffelt wird. Oder auch nur die Möglichkeit besteht rumzuschnüffeln. Das hat weder etwas mit Paranoia noch mit übertriebener Empfindlichkeit zu tun, sondern geht mir prinzipiell gegen den Strich. Ich behandle Dropbox hier wie jeden anderen Menschen und jedes andere Unternehmen auch. Ich vertraue gerne und gebe meinen Mitmenschen gerne eine Vertrauensvorschuss. Zugegeben, das geht manchmal in die Hose, aber die meisten Menschen vergelten es mir ebenfalls mit Vertrauen und einem guten Verhältnis. Gleichermaßen wie ich gerne vertraue, bin ich umso strikter, was Vertrauensbrüche betrifft. Damit meine ich das Ausplaudern von Vertraulichkeiten genauso wie Intrigen hinter meinem Rücken und eben das nachträgliche Ändern einer Vertrauensbasis.

Genau das hat Dropbox gemacht. Und damit hat es mein Vertrauen vollständig und vermutlich dauerhaft verloren. Daher brauche ich eine Alternative um Daten in der Cloud zu lagern. Am besten etwas, bei dem es technisch unmöglich ist, meine Daten weiterzugeben.

Auftritt SpiderOak.

Prinzipiell ist das Konzept von SpiderOak sehr ähnlich zu dem von Dropbox (wenn auch der Name nicht so cool ist). Man wählt Ordner aus, die als Kopie in der Cloud leben und auf allen meinen Rechnern synchronisiert werden. Sehr praktisch für mich, da ich meine Uni-Daten sowohl auf meinem Laptop, als auch auf dem Uni-Account sowie im Netz zur Verfügung habe. Ich speichere eine Datei in einem synchronisierten Ordner und voilá erscheint die Datei auch auf allen anderen Rechnern. SpiderOak ist genau wie Dropbox für Linux, Windows, Mac und einige Smartphonebetriebssysteme verfügbar. Soweit so gut.

SpiderOak hat eine Zero-Knowledge-Policy, d.h. alle Daten werden auf meinem Rechner verschlüsselt und entschlüsselt. Soweit ich weiß, ist es der einzige Cloud-Storage Service, der das so handhabt. In der Cloud liegt nur verschlüsselter Datensalat, mit dem auch SpiderOak nichts anfangen kann, weil auch die Schlüssel nur auf meinen Rechnern vorhanden sind. Praktisch, da man SpiderOak mit allem möglichen drohen kann. Sie können die Daten nicht rausgeben, selbst wenn sie wollten. Das Problem ergibt sich jetzt dahingehend, dass kollaborative Ordner nicht möglich sind, weil dazu mein Mitarbeiter ebenfalls meinen Schlüssel kennen müsste, um in meine SpiderOak hochzuladen. Was natürlich Quatsch wäre. Vielleicht kommt da in Zukunft ein besseres Verfahren, dass Daten z.B. für zwei oder mehrere Personen gleichzeitig verschlüsselt werden, wie es GnuPG auch kann.

Prinzipiell kann man eine solche Lösung aber auch mit einem Git-Repository und einer Handvoll GnuPG-Schlüssel realisieren, auch wenn das natürlich nix für den normalen Benutzer ist, sondern eher für den Geek/Nerd. Für mich ist diese Funktion aber eher zweitrangig, nicht nur, weil ich auch die Nerd-Lösung aufsetzen könnte, sondern weil ich generelle eher wenig kollaborativ mit Dropbox gearbeitet habe.

Auch den Einsatz eines TrueCrypt-Containers erscheint mir nicht zielführend, da das funktionieren desselben voraussetzt, dass der Dropbox-Client weiterhin fähig ist nur ein Delta des Containers abzugleichen und nicht den ganzen Container bei jeder Änderung hochzuladen. Auch wenn es im Moment möglich ist, ich vertraue Dropbox nicht, dass sie diese Funktion auch in Zukunft noch anbieten. Mal abgesehen davon, dass der Einsatz von TrueCrypt in der Dropbox auch wieder Kollaborationsprobleme mit sich bringt und sei es nur dem Kollegen zu erklären, was TrueCrypt ist, was es macht, wie man es installiert und wie man es mit Dropbox einsetzt. Da kannste auch gleich SpiderOak nehmen.

Ein letzter Punkt, der mich noch nervt. Vor nicht allzu langer Zeit habe ich Dropbox noch einem Kumpel und meiner Freundin schmackhaft gemacht. Auf die Frage, ob das denn sicher sei und ob Dropbox vertrauenswürdig sei, antwortete ich: „Klar sind die das. Wenn die es nicht wäre, platzt ihr Geschäftsmodell und sie sind weg vom Fenster.“
Schade, dass Dropbox mein Vertrauen so leichtfertig verspielt hat. Ich hoffe, dass Dropbox seine AGBs und seine Technik entsprechend ändert, um Vertrauen zurückzugewinnen. Oder aber vom Markt verschwindet.

Veröffentlicht von

Benjamin

Bloggt über Wirtschaft und Politik. Nimmt Ordnungspolitik ernst. Promoviert über Währungsunionen. Blogs about Economics and Politics. Takes Ordnungspolitik seriously. Studies monetary unions for his doctorate.

4 Gedanken zu „Von Dropbox zu SpiderOak“

  1. Das Dropbox mit einem Schlüssel verschlüsselt der bei denen liegt war aber von Anfang an klar. Damit war auch für mich klar das (u.a.) die NSA weiß was ich da drinnen habe. Ich mein du hast doch nicht ernsthaft geglaubt das der Schlüssel nich herausgegeben wird? 😉

    Ansonsten hast du die vorteile von Dropbox schon angesprochen es ist kollaborativ und bietet mehr kostenlosen Speicher an (für Studenten 16GB). Auch hast du ja schon erkannt das kollaborativ Arbeiten und verschlüsseln, vor allem bei großen Daten, sich beinahe widersprechen.

    Zu guter letzt bleibt nur zu sagen das ich mit den Delta syncs von Dropbox ganz zufrieden bin. Auch glaube ich nicht das sie die rausnehmen einfach weil es sie sonst ne Menge Bandbreite kostet.
    Damit habe ich in Verbindung mit dem schon Angesprochenen TrueCrypt Sicherheit für sensibles und semi-Öffentlichkeit für nicht sensibles.

    1. Zumindest stand (steht?) auf der Dropbox-Homepage was von Datensicherheit und so. Zugegeben, vielleicht war es naiv anzunehmen, dass die Schlüssel bei Dropbox verbleiben. Für wirklich sensibles habe ich DB auch deswegen nie verwendet sondern eigentlich nur für den schnellen Datenaustausch zwischen meinem Uniaccount und meinem Laptop sowie für die Zusammenarbeit mit den JuLis.
      Aber ich halte diese Truecryptcontainer eben auch nur für einen Flicken. Wenn Dropbox wollte, könnten die eine dezentrale Verschlüsselungsarchitektur mit Zero.Knowledge aufbauen, wobei ich meine Daten trotzdem für andere freigeben könnte. Wollen sie aber nicht. Vielleicht ist das ’ne Marktlücke? 🙂
      Achja, das Zusammenarbeiten mit anderen JuLis ist auch eher zurückgegangen und seit neuestem hat die Uni auch neue Benutzerrichtlinien auf dem Systemen und rate was nicht mehr funktioniert: Richtig. Dropbox. 🙂 Hat sich also so oder so erledigt.

  2. Hallo Benjamin,
    vielen Dank für deinen interessanten Artikel. Ich hatte das mit den AGBs auch mitverfolgt – bin aber noch bei dem Verein. Meine Daten sind natürlich auch verschlüsselt!
    Ich kenne noch einen anderen Dienst, der die Daten auf der Seite des Clients verschlüsselt. Dieser Dienst nennt sich Wuala (siehe https://www.wuala.com/de/learn/technology). Desweitere gibt noch ein Konzept, um seinen kostenfreien Datenspeicher zuerhöhen. Das ist eigentlich ganz interessant.
    Gruß DSIW

    1. Danke für den Hinweis. Wuala hatte ich mir auch angeschaut, aber mir sagt dieses Tauschkonzept nicht zu, da ich auch öfters mit dem (volumenbeschränkten) Webstick online bin.

Kommentare sind geschlossen.