Wie sicher ist Dropbox? Datensicherheit und Verschlüsselung im Überblick
Dropbox bietet zum Schutz Ihrer Daten Sicherheitsvorkehrungen wie Ende-zu-Ende-Verschlüsselung, Zugriffsrechte, Zwei-Faktor-Authentifizierung und Georedundanz. Aufgrund der Server- sowie Unternehmensstandorte unterliegen Ihre Daten allerdings nicht der DSGVO.
Kurz und Knapp zusammengefasst: So ist es um die Sicherheit bei Dropbox bestellt
- Dropbox bietet zum Schutz Ihrer Cloud-Daten 256-Bit-Verschlüsselung sowie SSL/TLS und AES-128-Bit-Verschlüsselung bei Up- und Downloads.
- Weitere Sicherheitsfeatures umfassen Zwei-Faktor-Authentifizierung, Boxcryptor-Kompatibilität, Perfect Forward Secrecy, Certificate Pinning und georedundante Rechenzentren.
- Zwei Minuspunkte hinsichtlich Datenschutz und -souveränität: Dropbox behält sich in den AGB eingeschränkte Zugriffsrechte auf Daten von Nutzerinnen und Nutzern vor und unterliegt als US-Unternehmen dem Cloud Act, der laut Expertenansicht nicht mit den europäischen Datenschutzstandards der DSGVO kompatibel ist. Nichtsdestotrotz wirbt Dropbox selbst mit DSGVO-Compliance.
Welche Verschlüsselungstechniken nutzt Dropbox?
Vor allem für Unternehmen, die Drittanbieter-Server auslagern, spielen die Verschlüsselungsverfahren für gespeicherte Daten (Data at Rest) eine entscheidende Rolle. Als einer der ältesten und bekanntesten Cloud-Dienste bietet Dropbox eine überzeugende, umfassende Verschlüsselung Ihrer Cloud-Daten.
Folgende Verschlüsselungstechniken nutzt Dropbox:
AES-256-Bit-Verschlüsselung
Der erste Blick auf die Dropbox-Verschlüsselung sieht gut aus: Mit moderner AES-256-Bit-Verschlüsselung für alle Cloud-Daten befindet sich Dropbox auf der Höhe der Zeit. Der Advanced Encryption Standard mit 256-Bit zählt zu den sichersten Verschlüsselungstechniken und kommt sogar in der US-Regierung zum Einsatz. Zur Veranschaulichung: Um die „schwächere“ 128-Bit-Verschlüsselung zu knacken, würde es bereits mehrere Milliarden Jahre dauern. Mit 256-Bit ist ein zuverlässiger Schutz gegen Brute-Force-Attacken somit garantiert.
TLS/SSL und 128-Bit-Verschlüsselung
Daten sollen nicht nur geschützt in der Cloud liegen, sondern sich auch sicher hoch- und herunterladen lassen. Aus diesem Grund nutzt Dropbox die Verschlüsselungsverfahren TLS und SSL, kurz für „Secure Sockets Layer“ und „Transport Layer Security“. Sie übertragen Ihre Daten somit durch einen geschützten Tunnel mit AES-128-Bit verschlüsselt. Ein Abfangen und Entschlüsseln Ihrer Datenübertragungen (Data-in-Transit) ist somit nahezu ausgeschlossen.
SSL und TLS werden oftmals zusammen genannt. Tatsächlich handelt es sich bei TLS jedoch um das Nachfolgeprotokoll von SSL – also um die neuere, sichere und bessere Version von SSL. Ältere SSL-Protokolle sind inzwischen unzulässig und kaum mehr gebräuchlich.
Zero-Knowledge-Verschlüsselung mit Boxcryptor
Zero-Knowledge bedeutet, dass Sie Ihre Daten bereits vor dem Hochladen in die Cloud verschlüsseln und so für den Cloud-Dienst unlesbar machen. Für eine clientseitige Verschlüsselung nutzt Dropbox die Technologie des deutschen Unternehmens Boxcryptor, das Ende 2022 von Dropbox aufgekauft wurde, um eine Zero-Knowledge-Verschlüsselung nativ umzusetzen.
- Daten zentral speichern, teilen und bearbeiten
- Serverstandort Deutschland (ISO 27001-zertifiziert)
- Höchste Datensicherheit im Einklang mit der DSGVO
Welche Zugriffsrechte hat Dropbox?
Wenn Sie einen Cloud-Dienst nutzen, sollten Sie zuvor einen Blick in die AGB werfen. In diesen klärt sich schnell, wie viele Zugriffsrechte sich der Cloud-Service für die Bereitstellung vorbehält. Dropbox weist in seinen AGB beispielsweise auf eingeschränkte Zugriffsrechte für serverseitig gespeicherte Daten hin.
Welche Freigabe- und Zugriffsrechte haben Dropbox-User?
Abgesehen von eingeschränkten Zugriffsrechten auf Ihre Daten, hängt die Sicherheit der Cloud-Daten von einem weiteren wichtigen Punkt ab: Welche Möglichkeiten gibt es, um mit anderen gemeinsam an Dateien zu arbeiten? Dabei kommt es darauf an, dass Sie selbst bestimmen, wer welche Dateien sehen kann und wer nicht.
Hierfür bietet Dropbox im Grunde dieselben Freigaberechte für Dateien wie die meisten Dropbox-Alternativen: Sie legen pro Datei oder Ordner fest, welche Personen Zugriff erhalten, teilen mit diesen Personen einen Freigabe-Link und können Rechte jederzeit wieder entziehen. Sie legen zudem fest, ob berechtigte Personen nur Lesezugriff erhalten oder Dateien auch bearbeiten dürfen.
Kontoschutz durch Zwei-Faktor-Authentifizierung
Mit einer optionalen Zwei-Faktor-Authentifizierung (2FA) können Sie Ihr Dropbox-Konto zuverlässig vor unbefugtem Zugriff schützen. Die Funktion müssen Sie zunächst in Ihrem Dropbox-Konto aktivieren. Mit einer 2FA benötigen Sie zusätzlich zu Ihrem Passwort einen Sicherheitscode, den Sie wahlweise per SMS mit hinterlegter Telefonnummer oder per Authentifikator-Apps wie Google Authenticator erhalten. Die zweistufige Überprüfung ist ein Standard, den heutzutage jeder seriöse Dienst für das Teilen, Speichern und Bearbeiten von Daten bieten sollte.
Kontowiederherstellung
Ganz gleich, ob Sie Ihr Passwort vergessen, Ihr Konto gehackt wurde oder Sie aus Versehen das falsche Konto löschen – eine Möglichkeit zur Kontowiederherstellung gehört ebenfalls zum Standard der Cloud-Sicherheit. Im kostenlosen Dropbox Basic sowie im Einsteiger-Abo Dropbox Plus können Sie bis zu 30 Tage lang die Datei- und Kontowiederherstellung anfordern. Mit anderen kostenpflichtigen Abos wie Essentials oder Business stehen sogar 180 Tage oder mit Business Plus 365 Tage zur Wiederherstellung von Daten und Konten sowie zur Kontenzurücksetzung zur Verfügung.
Welchen Schutz bietet Dropbox vor Cyberangriffen?
Wer Daten in Cloud-Dienste auslagert, muss sich darauf verlassen, dass Unternehmen ausreichende Sicherheitsvorkehrungen gegen Cyberangriffe treffen. Dropbox bietet ähnlich wie Google Drive und iCloud eine hohe Cloud-Sicherheit mit folgenden standardmäßigen Schutzmaßnahmen gegen Cyberangriffe:
- Hohe Sicherheit der Rechenzentren durch Georedundanz
- Moderne Verschlüsselung mit AES-256-Bit für Data-in-Rest (Speicherung)
- TLS-Verschlüsselung mit AES-128-Bitt für Data-in-Transit (Übertragung)
- Integrierter Passwortschutz mit sicherem Passwort
- Optionale Zwei-Faktor-Authentifizierung
- Daten sichern mit automatischen, synchronisierten Backups
- Konten- und Dateiwiederherstellung
- Perfect Forward Secrecy (verhindert eine nachträgliche Datenentschlüsselung durch nicht rekonstruierbare Sitzungsschlüssel)
- Certificatte Pinning (stellt sicher, dass Verbindungen ausschließlich zu autorisierten Servern erfolgen)
Trotz der genannten Sicherheitsvorkehrungen weist Dropbox leider eine nennenswerte Schwäche beim Schutz vor Cyberangriffen auf: Up- und Downloads werden von Dropbox nicht auf Viren und Malware gescannt.
Bekannte Sicherheitsvorfälle bei Dropbox
Als Cloud-Dienst, der bereits seit 2008 existiert, blickt Dropbox unweigerlich auf eine Reihe von Sicherheitsvorfällen zurück. Zu den bekanntesten zählen:
- 2011 führte ein Update-Fehler dazu, dass für mehrere Stunden der Zugriff auf jeden Dropbox-Account über die zugehörige E-Mail-Adresse möglich wurde.
- 2012 führte der kompromittierte Account eines Dropbox-Angestellten zur Veröffentlichung von rund 68 Millionen User-Daten inklusive E-Mail-Adressen und Passwörtern. Die Sicherheitslücke zeigte, dass der Zugriff auf Cloud-Daten durch Dropbox-Angestellte nach wie vor ein Sicherheitsrisiko darstellt.
- 2017 tauchten Dateien in den Accounts von Nutzerinnen und Nutzern wieder auf, die bis zu sechs Jahre zurücklagen. Der Vorfall deutet darauf hin, dass Dropbox gelöschte Daten nicht endgültig löscht.
- 2022 wurde bekannt, dass es zum Diebstahl von rund 130 Repositorys des Quellcodes über einen kompromittierten Angestellten-Account kam. Zu den gestohlenen Quellcode-Teilen zählen interne Prototypen, Security-Tools und Kopien von Bibliotheken.
- 2024 erlangten Angreiferinnen und Angreifer Zugriff auf die Produktionsumgebung von Dropbox Sign und konnten darüber persönliche Kundendaten entwenden.
Spielt der Cloud Act für Dropbox eine Rolle?
Bei Dropbox handelt es sich um ein US-Unternehmen, dessen Cloud-Server vorrangig in den USA stehen. Zwangsläufig unterliegt Dropbox somit dem US-amerikanischen Cloud Act. Das 2018 erlassene Gesetz gewährt US-Behörden nahezu uneingeschränkten Zugriff auf die Cloud-Daten von US-Firmen. Das gilt auch für Daten von Kundinnen und Kunden einer US-Firma, die EU-Server betreibt. Im Ernstfall ist Dropbox verpflichtet, Daten von Nutzerinnen und Nutzern herauszugeben, selbst wenn diese nicht in den USA liegen. Auch die Herausgabe ohne Justizbeschluss ist unter bestimmten Bedingungen möglich. 100 Prozent Datenschutz ist mit Dropbox also allein aufgrund des Cloud Acts nicht zu erwarten.
Ein weiteres Problem aus Sicht der Datensicherheit: Seit 2020 gibt es für EU-Unternehmen, die Daten an US-Firmen übermitteln, keine rechtliche Absicherung durch die EU. Diese wurde in Form des „EU-US-Privacy Shield“ im Jahr 2020 vom Europäischen Gerichtshof abgeschafft. Grund: Sowohl der Cloud Act als auch der Foreign Intelligence Surveillance Act werden europäischen Datenschutzstandards nicht gerecht. Der Schutz von Kundendaten, DSGVO-konformes Cloud Computing und rechtliche Absicherung liegen somit in der Verantwortung von Unternehmen selbst.
Zertifizierte Serverstandorte in Deutschland mit höchster Datensicherheit gemäß DSGVO – darauf können Sie sich mit dem HiDrive Cloud-Speicher verlassen.
Erfüllt Dropbox Datenschutzstandards für Unternehmen?
Vor allem im Zusammenhang mit Datensicherheit und Datenhoheit müssen sich Unternehmen fragen, ob sich Dropbox für eine geschäftliche Nutzung eignet. Grundsätzlich erfüllt der Dienst mit modernster Verschlüsselung, Zugriffskontrolle und wichtigen Zertifizierungen die wichtigsten Anforderungen für Compliance und Datenschutz. Zu Zertifizierungen, die Dropbox bietet, zählen:
- C5-Standard (Cloud Computing Compliance Controls Catalogue) des BSI
- TCDP (Trusted Cloud Datenschutzprofil für Cloud-Dienste) des BMWi
- ISO 27017 (Cloud-Sicherheit)
- ISO 27018 (Datenschutz und Datensicherheit in der Cloud)
Ähnlich wie die Server von Google Drive oder iCloud bietet Dropbox einen soliden Sicherheitsstandard, der auch eine geschäftliche Nutzung ermöglicht. Dennoch stellt die Übermittlung sensibler Unternehmensdaten an US-Unternehmen in Verbindung mit dem Cloud Act einen großen Minuspunkt dar. Zudem müssen Sie sich um wesentliche Aspekte wie die Datenschutzerklärung und einen Vertrag zu Auftragsverarbeitung mit Dropbox selbst kümmern, um DSGVO-konformen Datenschutz zu gewährleisten.
Zusammenfassung: Ist Dropbox sicher?
Abschließend lässt sich sagen: Dropbox bietet dank moderner Verschlüsselung, sicheren Rechenzentren und der Zero-Knowledge-Verschlüsselung eine hohe Cloud-Sicherheit. Zurückliegende Sicherheitsvorfälle, unklare Zugriffsrechte durch Dropbox-Angestellte sowie der US-Cloud-Act machen Dropbox jedoch nicht unbedingt zum optimalen Cloud-Dienst für hochsensible, kritische Firmendaten.
Wenn Sie sich fragen, welche Cloud am sichersten ist, achten Sie bei der Wahl darauf, welchen Datenschutzrichtlinien der jeweilige Cloud-Dienst unterliegt. Im Fall von Dropbox werden europäische Datenschutzstandards nicht zufriedenstellend erfüllt. Hierfür sollten Sie sich an einen alternativen europäischen Dienst mit Servern in Deutschland oder anderen EU-Ländern halten.
- Vollständige Datensouveränität
- Kein Administrationsaufwand dank Managed-Betrieb
- Flexibel um Apps und Online Office erweiterbar