Viele Benutzer, die ihre Daten in Online- und Cloud-Diensten speichern, glauben an Sicherheiten wie Verschlüsselung und sichere Passworte. Jüngstes Beispiel zeigt, dass Daten von Dropbox inbesondere Benutzernamen und Passworte vor 4 Jahren durch Dritte kopiert wurden. Vor einigen Tagen sind Teile dieser Liste aufgetaucht. Dropbox bestätigt inzwischen, dass diese Daten aus einem Angriff von 2012 sind.

Gut vier Jahre später wird bekannt, dass die Daten von privaten und geschäftlichen Dropbox Kunden durch Dritte gelesen werden konnten. Wer sein Passwort regelmässig ändert ist möglicherweise besser geschützt.

Diverse Cloud-Dienste nutzen die Kombination aus Benutzernamen und Passwort für ihre Verschlüsselung. Der Service-Anbieter verfügt damit über alle Sicherheitsmerkmale der Verschlüsselung und könnte praktisch auf die Kundendaten zugreifen. Werden die Verschlüsselungs-Mechanismen eines Dritten bzw anderen Providers genutzt, wird die organisatorische und juristische Trennung von Daten und Schlüsseln erzwungen.

Unserer Meinung nach ist dies die einzig richtige Variante um Daten in “public Services” vor Zugriff zu schützen. Die noch sichere Variante ist die Nutzung eines “privaten” Systems.

• Wer über Benutzername und Passwort oder Zugang zur entsprechenden Mailbox des Benutzers hat, kann möglicherweise auf verschlüsselten Daten zugreifen.
• Wer Daten durch eine Verschlüsselung schützen will, muss die verschlüsselten Daten und die zugehörigen Schlüssel voneinander trennen.

Referenz:
NZZ: Dropbox Hack – Verschleierungstaktik macht es nur schlimmer
cnet: Dropbox hack leaks more than 60 million username and passwords