Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Vorsicht: Unter den Clouds am Datenhimmel gibt es Gewitterwolken, zum Beispiel Dropbox. Prinzipiell gilt: Es gibt keine Cloud, nur die Computer anderer Leute. Aus diesem Grund hat „die Cloud“ 2012 auch einen BigBrotherAward gewonnen. Es gibt jedoch viele gute Alternativen zu den Computern anderer Menschen. Wir stellen sie vor.

Viele Argumente gegen Dropbox

Dropbox ist beliebt und bequem, aber problematisch in Bezug auf Datenschutz und Datensicherheit. Das Unternehmen setzt auf die Amazon-S3-Cloud und speichert in den USA. Damit haben US-Behörden Zugriff auf die Daten, und Nutzerinnen und Nutzer haben kaum eine Möglichkeit, ihre Rechte einzufordern, um beispielsweise Daten komplett löschen zu lassen oder zu erfahren, welche persönlichen Daten Dropbox gesammelt hat.
Im Vorstand von Dropbox arbeitet seit 2014 Condoleezza Rice, die ehemalige US-Außenministerin und Nationale Sicherheitsberaterin. Das sorgte für Empörung. Eine Initiative empfiehlt „Drop Dropbox“, und auch Edward Snowden rät (aus anderen Gründen) dazu, Dropbox loszuwerden: „Get Rid Of Dropbox“.
Nur Daten von Firmenkunden speichert das Unternehmen auf Wunsch in Europa, aber auch hier in der Struktur von Amazon. Bei Dropbox legen Sie Ihre Daten in die Hände eines profitorientierten Konzerns, der nur auf Druck in Datenschutz und Datensicherheit investiert und über die AGB jederzeit die Bedingungen der Nutzung ändern kann. Das Unternehmen verwaltet bereits die Daten von Millionen Privatpersonen, kleineren und mittleren Unternehmen und großen Konzernen.
Generell gilt: Wer Dropbox kostenfrei nutzt, zahlt mit den eigenen Daten. Nutzen Sie besser einen lokalen Anbieter oder betreiben sie Ihre eigene Cloud!

Dropbox und Datensicherheit

Große Mengen von Daten sind für Hacker attraktive Ziele. Wenn Sie Daten bei großen Unternehmen speichern, gehen Sie immer das Risiko ein, Opfer eines Massenhacks zu werden. Hacker haben 2012 eine Datenbank von Dropbox kopiert. Im Oktober 2016 wurden 68 Millionen E-Mail-Adressen und Passwörter online veröffentlicht. Etwa die Hälfte der Passwörter ist unzureichend verschlüsselt:

„The list of email addresses with hashed and salted passwords is real (…).“ (Blog von Dropbox am 31. August 2016) Im April 2016 sagte Oliver Blüher, Geschäftsführer der Dropbox Germany GmbH, noch: „Dropbox ist sicher und wurde noch nie gehackt.“ (Quelle: „Über Dropbox kursieren Halbwahrheiten“ in handelszeitung.ch am 21. April 2016)

Dropbox und Datenschutz

Digitalcourage wirkt. Wirken Sie mit!
Bereits ein Blick auf die Dropbox-„Datenschutzrichtlinien“ genügt, um zu erkennen, dass Ihre Daten bei diesem Dienst nichts verloren haben. Eine Kostprobe aus den Dropbox-„Datenschutzrichtlinien“:

„Wir sammeln Informationen von den Geräten und über die Geräte, die Sie für den Zugriff auf unsere Dienste verwenden. Dazu gehören IP-Adressen, der von Ihnen verwendete Browser- und Gerätetyp, die Webseite, die Sie vor dem Aufruden (sic!) unserer Website besucht haben, und eventuell mit Ihren Geräten zusammenhängende Kennzeichen). Je nach Einstellung kann es außerdem sein, dass Ihre Geräte Standortdaten an die Dienste übermitteln. (…) Ihre Daten können im Rahmen einer eventuellen Umstrukturierung, eines Zusammenschlusses, einer Übernahme oder eines Verkaufs unserer Vermögenswerte übertragen werden.“ [Stand 5. Dezember 2016]

Dropbox arbeitet nicht mit Datenschutzrichtlinien, sondern mit Hinweisen zur Verarbeitung und Weitergabe von persönlichen Daten. Dazu kommt: Die Dropbox-„Datenschutzrichtlinien“, Nutzungs- und Geschäftsbedingungen werden häufig verändert, so dass es Aufwand bedeutet, immer auf dem Laufenden zu bleiben.

„Wir können Ihre Daten auch für Dritte freigeben, wenn eine Freigabe nach unserem Ermessen sinnvoll und notwendig scheint, um (a) dem Gesetz Folge zu leisten, (b) einen Menschen vor dem Tod oder schwerer körperlicher Verletzung zu schützen, (c) Dropbox oder unsere Nutzer vor Betrug oder Missbrauch zu schützen oder (d) die Eigentumsrechte von Dropbox zu schützen“ [Stand 5. Dezember 2016]

Screenshot von https://www.dropbox.com/ am 27. November 2015 Screenshot von https://www.dropbox.com/ am 27. November 2015

Löchrige Rechtsgrundlage für Datentransfer

„Wir nehmen darüber hinaus am EU-US Privacy Shield-Programm („Privacy Shield“) teil und halten uns an das Abkommen und die darunter geltenden Vereinbarungen.“ [Dropbox- Datenschutzrichtlinien, Stand 5. Dezember 2016]

Das EU-US Privacy Shield-Programm ist ähnlich wirkungslos wie sein Vorgänger, das Safe-Harbor-Abkommen. Denn das „Privacy Shield“ kann das EU-Grundrecht auf Privatsphäre in keiner Weise schützen. Nach wie vor findet in den USA und der EU Massenüberwachung durch Geheimdienste statt. Besonders in den USA fehlen Gesetze, die persönliche Daten und Rechte von EU-Bürger.innen schützen. Kritik an diesen Abkommen gab es von Anfang an – unter anderem von Digitalcourage und den deutschen Datenschutzbehörden.

Datenschutz bei „Dropbox-Alternativen“

Gut klingende Datenschutzrichtlinien bieten natürlich keine Garantie für sicheren Umgang mit Ihren Daten. Aber Dienste mit schwachen Datenschutzrichtlinien sollten generell gemieden werden.
Für alle Dienste im Netz gilt: Sehen Sie sich die Datenschutzrichtlinien ganz genau an und fragen Sie kritisch, womit die Anbieter ihr Geld verdienen und mit welchen Unternehmen und Behörden sie zusammenarbeiten: [Hinweis: Wir haben die folgenden „Dropbox-Alternativen“ nicht technisch geprüft. Die folgende Liste ist eine unvollständige Auswahl.]

  • Syncthing speichert die Daten gar nicht in die Cloud, sondern synchronisiert sie zwischen Geräten. Einfach auf den Geräten installieren und sie miteinander bekanntmachen. Der Quelltext ist frei und damit einsehbar.

  • SpiderOak ist ein US-amerikanischer Anbieter, der von Edward Snowden empfohlen wurde. Das Datenschutzprinzip „Zero-Knowledge“ ist einen gründlichen Blick wert.

  • Teamdrive wird in Hamburg entwickelt und wurde mit dem Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein ausgezeichnet. Teamdrive kann die Daten auch mit einem eigenen Server synchronisieren, siehe unten.

  • Tresorit wird in Ungarn entwickelt, von der Europäischen Union unterstützt, erklärt sich als Zero-knowledge-Dienst und informiert ausführlich über Datenschutzbestimmungen.

Ein Tipp: Studierende und Forschende bekommen häufig über die Rechenzentren ihrer Hochschule Speicherplatz zur Verfügung gestellt. Fragen lohnt immer, aber auch dort gilt, auf Sicherheit zu achten. In Nordrhein-Westfalen haben sich viele Hochschulen zu einer „Campuscloud“ namens Sciebo zusammengetan. Dahinter steckt ownCloud (siehe unten), aber leider nutzt Sciebo nicht die Option, Daten verschlüsselt abzuspeichern. Rheinland-Pfalz dagegen setzt auf die Software Seafile (siehe unten) und ermöglicht es den Nutzer.innen, die Dateiverschlüsselung zu aktivieren.

Clouddienste selber machen – allein oder mit Freund.innen!

Wer Dienste nutzt, um Daten abzulegen oder zu transportieren, muss sowohl die Angaben in den Datenschutzrichtlinien als auch die technische Funktionsweise kennen und ihnen vertrauen. Darum ist es eine gute Idee, IT selbst in die Hand zu nehmen. Alleine ist es mühsam, aber wer sich organisiert, lernt viel und gewinnt Unabhängigkeit. Das FreedomBox-Projekt hat hier schon viel Vorarbeit geleistet und stellt vorkonfigurierte Systeme bereit, die auch auf stromsparenden Kleinstcomputern laufen. Wenn Sie selbst ein System zusammenstellen möchten, könnten Sie folgende Komponenten in Erwägung ziehen:

Digitalcourage Newsletter abonnieren und ständig auf dem Laufenden bleiben.

  • ownCloud bzw. die Abspaltung Nextcloud bietet nicht nur Datenablage und -synchronisation, sondern auch Kalender und Adressbücher. Es lässt sich mit wenig Aufwand auf einem eigenen Server installieren, denn die Voraussetzungen sind einfach zu erfüllen: Ein Webserver mit PHP genügt. Aktuelle Versionen bringen die Fähigkeit zur Dateiverschlüsselung mit – am besten aktiviert man sie gleich beim Installieren. Für Firmen und andere Organisationen bieten sowohl ownCloud als auch Nextcloud kostenpflichtige professionelle Unterstützung („Enterprise Support“) an. In kurzer Zeit hat ownCloud bzw. Nextcloud viele Fähigkeiten hinzugewonnen, die natürlich auch die Angriffsfläche und die Systemanforderungen erhöhen. Wer nur eine zentrale Datenablage mit Synchronisierung braucht, ist mit Seafile vielleicht besser bedient.

  • Seafile ist freie, quelloffene Software, die stark an Dropbox erinnert. Freie Clients gibt es für Windows, Mac und Linux (einschließlich Android). Die Serversoftware kann man auf dem eigenen Raspberry Pi, einem anderen Linux-Computer oder unter Windows installieren, und Dateiverschlüsselung ist möglich. Ein Online-Kalender mit CalDAV-Unterstützung wie bei ownCloud/Nextcloud ist nicht enthalten. Dafür wird oft Baïkal separat installiert.

  • Syncthing ist eine gute Möglichkeit, die IT im eigenen Viertel oder in der eigenen Stadt selbst in die Hand zu nehmen. Der Server speichert keine Daten, daher benötigen die Server-Komponenten nicht viel Plattenspeicher und Sie können dafür einen günstigen virtuellen Server benutzen.

  • Auch bei Teamdrive kann man den Server-Teil der Software auf einem eigenen Server installieren und damit die Kontrolle über die Daten behalten. Die Daten werden sogar per Voreinstellung verschlüsselt gespeichert. Wer bereits einen WebDAV-Server installiert hat, kann auch den verwenden. Leider ist Teamdrive nicht quelloffen.

  • Auch Pydio kann man auf einem eigenen Server betreiben.

Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.

Änderungen:

  • 05.12.2016: Zitate aus Datenschutzbestimmungen von Dropbox aktualisiert, Absatz zu Privacy-Shield aktualisiert, Informationen zum Speichern in Europa und bei Amazon ergänzt, Informationen zum Hack 2012/2016 ergänzt
  • 16.06.2017: FreedomBox aufgenommen

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 05.12.2016. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bild:
ownCloud-Logo: owncloud.org