Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Vorsicht: Unter den Clouds am Datenhimmel gibt es Gewitterwolken, zum Beispiel Dropbox. Prinzipiell gilt: Es gibt keine Cloud, nur die Computer anderer Leute. Aus diesem Grund hat „die Cloud“ 2012 auch einen BigBrotherAward gewonnen. Es gibt jedoch viele gute Alternativen zu den Computern anderer Menschen. Wir stellen sie vor …

Viele Argumente gegen Dropbox

Dropbox ist beliebt und bequem, aber problematisch in Bezug auf Datenschutz und Datensicherheit. Das Unternehmen speichert die Daten seiner Privatnutzer.innen in den USA und ermöglicht US-Behörden den Zugriff darauf. Die Nutzerinnen und Nutzer haben kaum eine Möglichkeit, ihre Rechte einzufordern, um beispielsweise Daten komplett löschen zu lassen oder zu erfahren, welche persönlichen Daten Dropbox gesammelt hat.
Im Vorstand von Dropbox arbeitet seit 2014 Condoleezza Rice, die ehemalige US-Außenministerin und Nationale Sicherheitsberaterin. Das sorgte für Empörung. Eine Initiative empfiehlt: „Drop Dropbox“, und auch Edward Snowden rät (aus anderen Gründen) dazu, Dropbox loszuwerden: „Get Rid Of Dropbox“.
Nur Daten von Firmenkunden speichert das Unternehmen auf Wunsch in Europa, hier allerdings in der Struktur von Amazon. Bei Dropbox legen Sie Ihre Daten in die Hände eines profitorientierten Konzerns, der nur auf Druck in Datenschutz und Datensicherheit investiert und über die AGB jederzeit die Bedingungen der Nutzung ändern kann. Das Unternehmen verwaltet bereits die Daten von Millionen Privatpersonen, kleineren und mittleren Unternehmen und großen Konzernen.
Generell gilt: Wer Dropbox kostenfrei nutzt, zahlt mit den eigenen Daten. Nutzen Sie besser einen lokalen Anbieter oder betreiben sie Ihre eigene Cloud!

Dropbox und Datensicherheit

Große Mengen von Daten sind für Hacker attraktive Ziele. Wenn Sie Daten bei großen Unternehmen speichern, gehen Sie immer das Risiko ein, Opfer eines Massenhacks zu werden. Hacker haben 2012 eine Datenbank von Dropbox kopiert. Im Oktober 2016 wurden 68 Millionen E-Mail-Adressen und Passwörter online veröffentlicht. Etwa die Hälfte der Passwörter ist unzureichend verschlüsselt. Dropbox gab den Sicherheitsvorfall zu:

„The list of email addresses with hashed and salted passwords is real (…).“ (Blog von Dropbox am 31. August 2016) Im April 2016 sagte Oliver Blüher, Geschäftsführer der Dropbox Germany GmbH, noch: „Dropbox ist sicher und wurde noch nie gehackt.“ (Quelle: „Über Dropbox kursieren Halbwahrheiten“ in handelszeitung.ch am 21. April 2016)

Dropbox und Datenschutz

Digitalcourage wirkt. Wirken Sie mit!
Bereits ein Blick auf die Dropbox-„Datenschutzrichtlinien“ genügt, um zu erkennen, dass Ihre Daten bei diesem Dienst nichts verloren haben. Eine Kostprobe aus den Dropbox-„Datenschutzrichtlinien“:

„Wir sammeln […] Informationen von den Geräten und über die Geräte, die Sie für den Zugriff auf unsere Dienste verwenden. Dazu gehören IP-Adressen, der von Ihnen verwendete Browser- und Gerätetyp, die Webseite, die Sie vor dem Aufrufen unserer Website besucht haben, und eventuell mit Ihren Geräten zusammenhängende Bezeichner). Je nach Einstellung kann es außerdem sein, dass Ihre Geräte Standortinformationen an die Dienste übermitteln. […] Ihre Daten können im Rahmen einer eventuellen Umstrukturierung, eines Zusammenschlusses, einer Übernahme oder eines Verkaufs unserer Vermögenswerte übertragen werden.“ [Stand 27. November 2017]

Dropbox arbeitet nicht mit Datenschutzrichtlinien, sondern mit Hinweisen zur Verarbeitung und Weitergabe von persönlichen Daten. Dazu kommt: Die Dropbox-„Datenschutzrichtlinien“, Nutzungs- und Geschäftsbedingungen werden häufig verändert, so dass es Aufwand bedeutet, immer auf dem Laufenden zu bleiben.

„Wir geben Ihre Informationen eventuell auch für Dritte frei, wenn eine Freigabe nach unserem Ermessen sinnvoll und notwendig scheint, um (a) dem Gesetz Folge zu leisten, (b) einen Menschen vor dem Tod oder schwerer körperlicher Verletzung zu schützen, (c) Dropbox oder unsere Nutzer vor Betrug oder Missbrauch zu schützen oder (d) die Eigentumsrechte von Dropbox zu schützen“ [Stand 27. November 2017]

Screenshot von https://www.dropbox.com/ am 27. November 2015 Screenshot von https://www.dropbox.com/ am 27. November 2015

Löchrige Rechtsgrundlage für Datentransfer

„In Bezug auf die Erfassung, Verwendung und Speicherung personenbezogener Daten, die aus der Europäischen Union […] in die USA übertragen werden, folgt Dropbox den Bestimmungen der Privacy-Shield-Abkommen zwischen der EU […] und den USA.“ [Dropbox-Datenschutzrichtlinien, Stand 27. November 2017]

Das EU-US Privacy-Shield-Programm ist ähnlich wirkungslos wie sein Vorgänger, das Safe-Harbor-Abkommen. Denn das „Privacy Shield“ kann das EU-Grundrecht auf Privatsphäre in keiner Weise schützen. Nach wie vor findet in den USA und der EU Massenüberwachung durch Geheimdienste statt. Besonders in den USA fehlen Gesetze, die persönliche Daten und Rechte von EU-Bürger.innen schützen. Kritik an diesen Abkommen gab es von Anfang an – unter anderem von Digitalcourage und den deutschen Datenschutzbehörden.

Datenschutz bei „Dropbox-Alternativen“

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.
Gut klingende Datenschutzrichtlinien bieten natürlich keine Garantie für sicheren Umgang mit Ihren Daten. Aber Dienste mit schwachen Datenschutzrichtlinien sollten generell gemieden werden.
Für alle Dienste im Netz gilt: Sehen Sie sich die Datenschutzrichtlinien ganz genau an und fragen Sie kritisch, womit die Anbieter ihr Geld verdienen und mit welchen Unternehmen und Behörden sie zusammenarbeiten. Wir raten beim Umstieg von Dropbox von vergleichbaren Diensten wie Google Drive und Microsoft OneDrive ab und haben einige brauchbare Alternativen zusammengestellt: [Hinweis: Wir haben die folgenden Vorschläge nicht technisch geprüft.]

  • Syncthing speichert die Daten gar nicht in die Cloud, sondern synchronisiert sie zwischen Geräten. Einfach auf den Geräten installieren und sie miteinander bekanntmachen. Der Quelltext ist frei und damit einsehbar.

  • SpiderOak ist ein US-amerikanischer Anbieter, der von Edward Snowden empfohlen wurde. Das Datenschutzprinzip „Zero-Knowledge“ ist einen gründlichen Blick wert.

  • Teamdrive wird in Hamburg entwickelt und wurde mit dem Datenschutzgütesiegel des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein ausgezeichnet. Teamdrive kann die Daten auch mit einem eigenen Server synchronisieren, siehe unten.

  • Tresorit wird in Ungarn entwickelt, von der Europäischen Union unterstützt, erklärt sich als Zero-knowledge-Dienst und informiert ausführlich über Datenschutzbestimmungen.

Ein Tipp: Studierende und Forschende bekommen häufig über die Rechenzentren ihrer Hochschule Speicherplatz zur Verfügung gestellt. Fragen lohnt immer, aber auch dort gilt, auf Sicherheit zu achten. In Nordrhein-Westfalen haben sich viele Hochschulen zu einer „Campuscloud“ namens Sciebo zusammengetan. Dahinter steckt ownCloud (siehe unten), aber leider nutzt Sciebo nicht die Option, Daten verschlüsselt abzuspeichern. Rheinland-Pfalz dagegen setzt auf die Software Seafile (siehe unten) und ermöglicht es den Nutzer.innen, die Dateiverschlüsselung zu aktivieren.

Clouddienste selber machen – allein oder mit Freund.innen!

Wer Dienste nutzt, um Daten abzulegen oder zu transportieren, muss sowohl die Angaben in den Datenschutzrichtlinien als auch die technische Funktionsweise kennen und ihnen vertrauen. Darum ist es eine gute Idee, IT selbst in die Hand zu nehmen. Alleine ist es mühsam, aber wer sich organisiert, lernt viel und gewinnt Unabhängigkeit. Das FreedomBox-Projekt hat hier schon viel Vorarbeit geleistet und stellt vorkonfigurierte Systeme bereit, die auch auf stromsparenden Kleinstcomputern laufen. Wenn Sie selbst ein System zusammenstellen möchten, könnten Sie folgende Komponenten in Erwägung ziehen:

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

  • ownCloud bzw. die Abspaltung Nextcloud bietet nicht nur Datenablage und -synchronisation, sondern auch Kalender und Adressbücher. Es lässt sich mit wenig Aufwand auf einem eigenen Server installieren, denn die Voraussetzungen sind einfach zu erfüllen: Ein Webserver mit PHP genügt. Aktuelle Versionen bringen die Fähigkeit zur Dateiverschlüsselung mit – am besten aktiviert man sie gleich beim Installieren. Für Firmen und andere Organisationen bieten sowohl ownCloud als auch Nextcloud kostenpflichtige professionelle Unterstützung („Enterprise Support“) an. In kurzer Zeit hat ownCloud bzw. Nextcloud viele Fähigkeiten hinzugewonnen, die natürlich auch die Angriffsfläche und die Systemanforderungen erhöhen. Wer nur eine zentrale Datenablage mit Synchronisierung braucht, ist mit Seafile vielleicht besser bedient.

  • Seafile ist freie, quelloffene Software, die stark an Dropbox erinnert. Freie Clients gibt es für Windows, Mac und Linux (einschließlich Android). Die Serversoftware kann man auf dem eigenen Raspberry Pi, einem anderen Linux-Computer oder unter Windows installieren, und Dateiverschlüsselung ist möglich. Ein Online-Kalender mit CalDAV-Unterstützung wie bei ownCloud/Nextcloud ist nicht enthalten. Dafür wird oft Baïkal separat installiert.

  • Syncthing ist eine gute Möglichkeit, die IT im eigenen Viertel oder in der eigenen Stadt selbst in die Hand zu nehmen. Der Server speichert keine Daten, daher benötigen die Server-Komponenten nicht viel Plattenspeicher und Sie können dafür einen günstigen virtuellen Server benutzen.

  • Auch bei Teamdrive kann man den Server-Teil der Software auf einem eigenen Server installieren und damit die Kontrolle über die Daten behalten. Die Daten werden sogar per Voreinstellung verschlüsselt gespeichert. Wer bereits einen WebDAV-Server installiert hat, kann auch den verwenden. Leider ist Teamdrive nicht quelloffen.

  • Auch Pydio kann man auf einem eigenen Server betreiben.

Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.

Änderungen:

  • 05.12.2016: Zitate aus Datenschutzbestimmungen von Dropbox aktualisiert, Absatz zu Privacy-Shield aktualisiert, Informationen zum Speichern in Europa und bei Amazon ergänzt, Informationen zum Hack 2012/2016 ergänzt
  • 16.06.2017: FreedomBox aufgenommen
  • 27.11.2017: Zitate aus Datenschutzbestimmungen von Dropbox aktualisiert, Info zu Amazon-Cloud aktualisiert

Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 27.11.2017. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Bild:
ownCloud-Logo: owncloud.org

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld