Kommentar: Cloud und Verschlüsselung

Leute, ich muss hier mal wieder emotional schreiben. Weil mir sonst der Arsch platzt. Ich habe jetzt schon eine Halsschlagader wie eine Fleischwurst, wenn ich lese, was manche Newsseiten schreiben und / oder kommentieren. Nehmt es mir also nicht krumm – es ist nur ein Blog. Ihr erinnert euch an die Dropbox-Diskussion bezüglich unsicher und Co? Gefundenes Fressen für alle. Ich gehe jetzt mal nicht auf die Lücke als solches ein, sondern auf die leidige Diskussion Cloud und Verschlüsselung.

Die Cloud – das ist der Ort online. Hat man schon vor Jahren gehabt, ist mittlerweile nur hipper, smoother, shiny shine und jeder macht es. Nur weil ich Dropbox-Nutzer bin, verteidige ich nicht die Dropbox, dieses Thema könntet ihr auch 1:1 für SugarSync, Wuala, Amazon Cloudspace oder whatever sehen (und ich habe fast jeden Cloud-Speicher in der Vergangenheit getestet). Es gibt doch wirklich nur eine einfache Regel zu befolgen, oder?

1. Wenn du sensible Daten hast, die du online lagerst, dann verschlüssle sie zusätzlich.

Das ist die einzige Regel. Wenn ich nicht will, dass Bösewichte Zugriff erlangen, dann stelle ich den Kram nicht online (auch lokal kann man verschlüsseln ;)). Ende aus, keine Diskussion. Und wenn ich schon aus Faulheitsgründen sensible Daten irgendwo online habe, dann kann ich die doch sogar verschlüsseln, oder? Dann nutze ich die Verschlüsselung, mit der ich am besten klar komme. Ob ihr Software kauft oder Open Source wie TrueCrypt nutzt: bleibt euch überlassen. Aber verschlüsselt. Es bringt nichts, dass ein Anbieter sagt: die Daten sind online verschlüsselt. Die Daten sind online.

Hat jemand Usernamen / Passwort, dann nützt die Verschlüsselung auf dem Server nichts – dann kann eine Verschlüsselung der Datei helfen. Oder vielleicht wird auch mal der Anbieter eures Cloud-Spaces kompromittiert. Man weiss es doch nicht, was alles passiert. Deshalb: Verschlüsseln. Wer unbedingt bezahlen möchte: Knox für Mac, BoxCryptor für Windows – wer es kostenlos mag: Linux, Windows und Mac OS: TrueCrypt.

Ich habe diese ganzen Verschlüsselungsbeiträge bestimmt nicht zum Scherz geschrieben. Also bitte: verschlüsselt, verschlüsselt, verschlüsselt. Auch vielleicht mit dem Nachteil, dass ihr den Cloud-Dienst vielleicht nicht über das Web-Interface mehr nutzen könnt. Das darf nicht der Preis für Unsicherheit sein. Unverschlüsselt sollten nur Daten gelagert werden, mit denen ihr kein Problem hättet, dass die ganze Welt sie sehen kann.

Und nun entschuldigt diesen Beitrag, ich muss mir jetzt ein wenig am Ohrläppchen reiben um wieder runter zu kommen – ich musste in den letzten zwei Tagen zuviel unreflektierten Kram lesen. Aber die ganze Sache hatte auch für mich etwas Gutes: ich gehe jetzt noch sensibler mit einigen Daten um und habe mein „Verschlüsselungslevel“ etwas höher geschraubt.

Verschlüsselung darf kein Thema sein, dass bei Hypes wie eine Sau durch das Dorf getrieben wird. Das muss uns Benutzern in Fleisch und Blut übergehen. Macht den Menschen keine Cloud-Dienste madig, empfehlt Leuten die Verschlüsselung und den sicheren Umgang mit Daten. Und wenn ihr Tipps habt, immer rein damit in die Kommentare: ich bin auch kein Raketenwissenschaftler, der alles weiss – sondern eben auch nur Blogger und Anwender 🙂

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

69 Kommentare

  1. Du sprichst mir aus der Seele 😉

  2. Ganz recht endlich spricht es mal jemand aus.
    Für alle die die sich zudem nciht noch ihr TrueCrypt Passwort merken wollen.

    Der sollte sich das mal ansehen:
    https://www.privacyfoundation.de/

    Ich hab ihn selbst seit ein paar Tagen feines Teil und Open Source.

  3. Ich finde Dropbox toll, Leute die Dropbox anschwärzen von wegen schlechte Sicherheit und Co., da muss ich einfach mal sagen, die haben etwas Wichtiges übersehen. Wie du geschrieben hast, die Daten können verschlüsselt werden und schon sind alle Sicherheitsbedenken aus dem Weg geräumt!

  4. jo – einen Tipp hab ich da: stand im Heise-Forum zum Thema.
    http://www.boxcryptor.com
    Zitat:
    „BoxCryptor funktioniert analog wie EncFS und ist eine virtuelle
    Festplatte für Windows, die alle Dateien On-the-Fly mit AES-256
    verschlüsselt und die verschlüsselten Daten in einem normalen
    Verzeichnis ablegt (File-by-File Verschlüsselung). Da BoxCryptor auf
    einzelnen Dateien und nicht auf großen Containerdateien (wie z.B.
    Truecrypt) operiert, ist dies vor allem für Cloud-Dienste wie Dropbox
    o.ä. sehr interessant.“

    Grüße

    Tommy

  5. Verschlüsselung ist ein sehr wichtiges Thema, gerade weil man in der Dropbox oder einem anderen Dienst auch mal Dokumente lagert die wichtig sind… aber wenn man einen Ordner mit seinem PC, Macbook und iPad synct lässt sich das nur schwer umsetzen im Moment oder?

  6. @Valentin: TrueCrypt-Beitrag lesen: iPad geht nicht, aber Mac / PC.

  7. Das unterschreib‘ ich so. =D
    Das traurige ist, dass die selbsternannten Fachmedien mit ihrer Panikmache alá Bildzeitung immer wieder auf weit geöffnete Ohren stoßen – als Beispiel fällt mir spontan der Monsterfön zu FireSheep ein.

    Viele User haben mittlerweile (Gott sei dank) verstanden, dass man beim Onlinebanking behutsam vorgeht – warum verstehen die selben Leute nicht, dass es sich mit Zeugniskopien, der Haushalts-Exceltabelle oder der Korrespondenz mit dem ISP genauso verhält?

    Naja… ich reg‘ mich nicht auf 😉

  8. Alle soweit richtig, ich finde das Bashing auch lachhaft. Aber es gibt ja auch noch die ganzen Normal-User. Die schalten ihren PC an und denken das funktioniert wie der Fernseher – viele von denen sind über 50 .. ich denke das ist ein grundsätzliches Problem: Wie zum Beispiel viele Lehrer in der Grunschule mit diese Themen (nicht) umgehen ist der schlechte Anfang von allem ..

  9. Bin mal wieder 100%ig deiner Meinung. Danke für den Post!

  10. Hallo,

    Suche gerade passend zum thema eine portable version von dropbox, kann mir da jemand was aktuelles empfehlen ?
    finde leider nichts.

    auf meinem ziel rechner ist es mir nämlich nicht gesatattet software zu installeiren daher benötige ich dringend eine portable lösung um dort mein arbeits material runterladen zu können.

    mfg

  11. Paul Peter says:

    die Sache ist doch wie mit unserem zweitliebsten Spielzeug: dem Auto. Hier kommt doch auch niemand auf die Idee als einzige Sicherheitsmaßnahme nur das Türschloss als Schutz vor dem (unberechtigten) Wegfahren des Autos zu nutzen. Zündschloss, Wegfahrsperre & Co sind hier schon seit Jahren normal.

    Das Dropbox-Passwort ist wie das Türschloss. Der Rest muss vom User selber geschützt werden.

  12. /sign
    Irgendwie war’s mir klar, dass das wieder passiert. 😉

    Hab mir den Artikel bei Heise durchgelesen.
    Ich dacht mir da nur, wie soll man das als Softwareentwickler umsetzen, wenn Anwender, jene wie heute, Software so einfach wie möglich nutzen wollen?
    Ich nutze Dropbox auch als Backup, die Archive sind Verschlüsselt weil schon aus dem Grund „wenn ich nicht der Administrator bin, wer dann?“
    Also hab ich das ganze entspannt gesehen, da ich eh zuseh mein PC so sauber wie nur möglich zu halten. Sicher ist man nie!

    darum: /sign @Caschy!

  13. Martin Rechsteiner says:

    AMEN!!!!!

  14. Dass man seine Daten zusätzlich verschlüsseln kann und sollte ist keine wirklich neue Erkenntnis. Dass ein Dienst der die (sichere) Onlinespeicherung von Daten anbietet auch sicher sein sollte und Kunden sich darauf verlassen können müssen bleibt dadurch aber unberührt. Daher finde ich diesen Rant eigentlich genauso verfehlt.

  15. Viel schlimmer finde ich eigentlich, das neben dem ganzen unverschlüsselten Dateioutsourcing niemand daran denkt, das im Grunde alles was man so durch die weltweiten Datennetze bläst, verschlüsselt sein sollte. Postkarten schickt kein mensch mehr, der Briefbote könnte ja mitlesen. Aber um eine Email einen Umschlag in Form von Verschlüsselung machen, das fällt niemandem ein. Traurig. Und da nutzen dann auch verschlüsselte Dateien nicht viel, wenn deren Lagerort nebst Passwort per Email verschickt werden. Ergo sollte dieser durchaus wahre Text noch um den Punkt Mailverschlüsselung erweitert werden. Denn ein Schlüsselpaar erzeugen und dem Mailclient seiner Wahl den Umgang mit PGP/GnuPG beibringen ist kein wirkliches Hindernis.

  16. @tobi:
    Versuchs hier: http://dropportable.ho.am

  17. Obwohl ich den Java Client von Wuala nicht gerade liebe, möchte ich Caschy widersprechen, denn bei Wuala ist die Verschlüsselung bereits eingebaut und zwar auf dem PC mit einem eigenen Zertifikat, so dass niemand ausser der Zertifikatbesitzer die Daten wieder entschlüsseln kann. (http://www.wuala.com/de/learn/technology)
    Meiner Meinung nach sollte das heute eigentlich von allen angeboten/eingebaut sein.

  18. @Raphael: wenn ich User / Pass habe, dann komme ich bei Wuala nicht an die Daten? Bezweifle ich mal.

  19. Ja, amen, alles genau so wie du sagst!
    Alles?
    Fast alles:
    Boxcryptor ist bis zu einer Ordnergröße/Datenmenge von 2 GB KOSTENLOS!

    🙂

  20. JürgenHugo says:

    @Matze:

    „…viele von denen sind über 50“ – na und? Ich werd im Juli 60, aber eins weiß ich auch: es gibt Daten die man verschlüsseln sollte – und es gibt welche, bei denen das sch****egal ist!

    Wallpaper in der Dropbox kann jeder sehen, das kann mir 0,0 schaden. Und wenn ich Lust hätte, Pornobilder hochzuladen (nichts verbotenes!, „versaut“ halt), dann würd ich das auch unverschlüsselt tun. Weil mir dadurch auch kein Schaden entstehen kann – bei einem CSU-Minister mag das natürlich anders sein.. :mrgreen:

  21. Rarrdarflieger says:

    Interessant, Caschy predigt was von Verschlüsselung und Co, was ja grundsätzlich gut ist! Auf der anderen Seite bietet er immer noch keinen PGP Schlüssel für seine Emails und Chats an. Sehr merkwürdig.

  22. Ich selbst nutze Dropbox sehr gerne zum Datenaustausch, allerdings eher unwichtiger Daten, die im Zweifel jeder lesen darf.

    Wenn ich mal tatsächlich wichtige Daten hochschieben würde, dann würde ich die auf jeden Fall verschlüsseln, wobei es mir reichen würde, die jeweiligen Dateien zu packen (z.B. 7zip) mit einem Passwort zu verschlüsseln.

    Wenn man viele Dateien einzeln packen und verschlüsseln möchte, dann könnte man dazu aktuell z.B. Peazip verwenden.

    Hylli

  23. @caschy

    Doch exakt so sieht es aus. Wenn Du Deine Accountdaten vergessen hast sind die Daten faktisch weg. Zugreifbar sind nur die Daten, die Du mit anderen Leuten teilst/über das Web-Interface freigibst.
    Weil hier ein gemeinsames Zertifikat verwendet wird/der Key direkt über URL übergeben wird.

    Aber eine Funktion „vergessenes Passwort zuschicken“ gibt es bei Wuala nicht. Ob da jetzt eine zusätzlich Backdoor eingebaut ist, lässt sich mit Sicherheit natürlich nur sagen wenn man die Sourcen hätte :-).

  24. Ich schmeiß mal 7z oder ähnliches mit nem Passwort in den Raum.

  25. @caschy
    Wo gibt es denn das Foto?

  26. @Hylli, @Tom: Und das Archivpasswort? Das wird dann per unverschlüsselter Email übertragen, vorzugsweise inklusive Link zum Archiv. Oder wie?

    Und hier setzt die eigentliche Problematik an, denn so wichtig Verschlüsselung auch ist, sie kann nur funktionieren wenn sie konsequent umgesetzt wird! Und wenn man sowieso schon Mailverschlüsselung einsetzt, dann kann man nebenbei auf zusätzliche Tools wie TrueCrypt, aber auch auf passwortgeschützte Mailarchive verzichten, denn die Verschlüsselung von Dateien kann GnuPG/PGP ja gleich mit übernehmen.

  27. @rhustox: siehe Bildquelle

  28. Naja, naja. Caschy geht aber vom „mündigen“ User aus. Halte ich eher für ein Ideal denn für Realität. Aber letztlich dürfte der Markt es ja irgendwo richten: wenn es für genügend User ein wichtiger Faktor (=Kaufkriterium) ist, ob ein Dienst sicher (verschlüsselt) agiert oder nicht, dann müssten der Theorie nach solche Angebote peu a peu auch angeboten werden, weil sich damit (zusätzliches) Geld verdienen lässt.

    Und unter Aspekten der Usability (=Bequemlichkeit) fände ich es schon klasse, wenn ich nicht einen 3-GB-Truecrypt-Container erstellen, einbinden etc. muss (ganz abgesehen vom ätzenden Frickelkram, wenn ich dann mal von unterwegs da ran will), sondern das einfach nativ nutzen könnte, ohne „Zusatzlösungen“ wie TrueCrypt.

    PS: Wem nicht alles verschlüsseln muss, was er hochlädt, dem kann ich AxCrypt für die transparente AES-Verschlüsselung einzelner Dateien wärmstens empfehlen…

  29. @Tom
    Siehe mein Beitrag von 14.44 Uhr!

    Hylli

  30. Mannmannmann… Ich hab keine Ahnung, mit was für Daten ihr täglich hantiert, aber wenn man die Kommentare liest, könnte man meinen, hier lesen und schreiben nur Raketenwissenschaftler, Verschwörungstheoretiker und chinesische Dissidenten…

  31. @Iruwen
    da hast du meiner meinung nach aber eine erwartung die kein dienst erfuellen kann!
    sicher vor verlust (bis zu einer gewissen wahrscheinlichkeit), ok, das kann der dienst zu garantieren und auch beweisen.
    sicher vor fremder einsichtnahme, das versucht dropbox ja auch gar nicht zu garantieren. der transport ist verschluesselt (https, wie immer sicher das sein mag). die speicherung auf den S3 servern ist (angeblich) verschluesselt, d.h. von ausserhalb der firma dropbox wird eine sicherheit gewährleistet. aber keiner behauptet dass z.B. ein dropbox mitarbeiter (administrator) nicht auf die daten zugreifen kann. die sicherheit geht immer nur soweit wie du dem administrator des systems vertraust. deshalb hilft nur selbst verschluesseln, da bist du der administrator und musst nur dir selber vertrauen (und dem hersteller des verschluesselungssoftware 🙂 )!

    Im gegensatz zu Wuala die behaupten, dass die daten bereits lokal verschluesselt und erst dann hochgeladen werden.

  32. Leute mal ehrlich, wen wollt ihr mit dem Fachchinesisch eigentlich beeindrucken? Was glaubt ihr eigentlich wieviele Otto Normal User (davon soll es reichlich geben) die hier nun mitlesen auch was verstanden haben?

    Ob nun Truecrypt, 7zip oder drauf geschissen, es geht einfach darum dass jeder sich selbst die Frage stellen muß was er nun wie ins Internet stellt. Es geht nicht nur um Cloud und Co, dass fängt schon mit der einfachen Email Adresse an.

    Wer dann noch Thesen aufstellt das man sich drauf verlassen muß dass Angebote sicher sein müssen, der sollte erstmal an seiner Eigenverpflichtung arbeiten.

    Mir gehen die Halsvenen ab wenn ich dieses Psydo Fachmann Geschwafel lese mit denen man es schafft die Leute zu verwirren welche eigentlich mit solchen Artikeln aufgeklärt werden sollen.

    Sorry das musste nun mal raus…

  33. JürgenHugo says:

    @rhustox:

    Das is übrigens ein Schlüsselrollen-Satz von der Enigma (steht in der Quelle auch).

    Das war (mit) die beste Verschlüsselungsmaschine im WW II. Die Allierten konnten die nur knacken, weil sie a) eine Original-Enigma von einem U-Boot erbeutet hatten und b) die Engländer einen genialen Wissenschaftler (Alan Turing) hatten. Die haben dann mit RIESENaufwand die Funksprüche, die „nur“ mit 3 Walzen verschlüsselt waren, praktisch kurz nachher „mitlesen“ können.

    Die U-Boote hatten später solche mit 4 Walzen, die waren damals nicht knackbar. 2 von diesen Funksprüchen sind erst vor kurzem mit ich weiß nich wieviel PCs geknackt worden – 60 Jahre später. Der allerletze ist bis jetzt noch ungeknackt…

    Der Alan Turing hat also entscheident geholfen, für die Engländer den Krieg zu gewinnen. Als Dank hat er KEINEN Orden und KEINE Auszeichnungen/Ehrungen bekommen, im Gegenteil: sie haben ihn „weggemobbt“ – der gute Mann war schwul – und hat das auf befragen sogar zugegeben…

    Erst vor kurzem hat sich die englische Regierung dafür öffentlich entschuldigt. Jetzt bin ich aber genug „abgeschwoffen“.

  34. Ich nutze Dropbox vor allem fürs Studium. Es kostet ja nicht mehr die Welt eine kleine Festplatte oder einen Stick für seine heiklen Daten zu kaufen oder?

    Daher versteh ich diese ganze Aufregung auch nicht und kann dir nur Zustimmen.

  35. @Jott: Sorry – sinnfreier Kommentar.

    Es geht hier nicht darum pseudo-brisante Dinge geheim zu halten, sondern, aus Sicht des Users, die Privatspähre zu schützen. Das ist absolut legitim – auch wenn es sich „nur“ um die Bilder der letzten Familienfeier handelt.

  36. @Jott: Klasse Kommentar. Sehe ich ähnlich. Da ich nie auf die Idee käme, etwas in die Cloud zu laden, was ich nicht auch auf FB oder Picasa posten würde, ist mir das einerlei, ob sich jemand an den Daten bedient oder nicht.

  37. Genau, Patrick, darum geht es. Und darüber wird hier im Blog sehr gut und vielseitig informiert. Darum kann Ich Caschys etwas entnervte Reaktion gut verstehen…

  38. Wer es noch einfacher haben will, haut alles in ein verschlüsseltes Zip/Rar/7z-Archiv mit Passwort.

  39. Vielen dank für die tollen Kommentare, war
    einiges interessantes dabei. Man sollte sich
    immer darüber bewußt sein, das es keine absolut
    unknackbare Verschlüsselung gibt!!! (Bis auf
    ein oder zwei Ausnahmen, die aber nicht
    praktikabel sind…)

  40. CaptainCannnabis says:

    Schön geschrieben! Und fleißig weiterreiben 😉

  41. @caschy @phillip
    Ich habe erst gestern durch einen Kommentar bei caschys Beitrag erstmalig von wuala gelesen und mir mal angeschaut, was lokal mit den Dateien passiert, bevor diese hochgeladen werden: sie werden verschlüsselt… (standardmäßig in /user/appdata/local/wuala/temp oder so ähnlich). Dann habe ich noch folgende Erklärung unter http://www.wuala.com/de/launch/ gefunden: „Sie fragen sich vielleicht: Wieso kann ich nicht direkt über die Webseite auf meine Dateien zugreifen? Die Antwort ist einfach: Ihre Privatsphäre ist uns wichtig. Um auf Ihre Dateien über die Webseite zuzugreifen, müsste unser Web-Server die Daten an Ihren Browser senden. Mit anderen Worten: Wuala’s Webserver müsste die Dateien entschlüsseln, damit die Dateien im Browser zugänglich wären. Da jedoch alle Dateien direkt auf Ihrem Computer verschlüsselt werden und Ihr Passwort niemals übermittelt wird, kann niemand – nicht einmal wir – Ihre Dateien öffnen oder darauf zugreifen. Somit können Sie nur über eine Desktop-Anwendung, die die Daten entschlüsseln kann, auf Ihre Dateien zugreifen. Um Ihnen diesen Zugriff aber dennoch von jedem Computer aus zu garantieren, können Sie diese Desktop-Anwendung direkt aus dem Browser starten, ohne dass Sie Wuala herunterladen oder installieren müssen.

    Vereinfacht gesagt: Alle Dienste, auf die man im Browser zugreifen kann, haben Zugang zu Ihren Daten. Das Sicherheitskonzept von Wuala aber ist so gebaut, dass nicht einmal wir als Anbieter auf Ihre Dateien Zugriff haben. Daher ist es nicht möglich, auf Ihre Dateien über die Webseite zuzugreifen.

    Für MICH bisher die genialste Lösung solange es kein Tool gibt, welches EINFACH mein Truecrypt-Container bei Dropbox und Co. ablegt, mountet und mit dem ich dann syncen, backupen usw. kann wie mit wuala. Wobei ich bei letzteren auch noch „wuala-Freunde“ berechtigen kann (auch eine coole Sache für Kollegen)…

    Manchmal echt ärgerlich wenn man nicht selbst proggen kann, ich würde sowas mal versuchen (Dropbox/Truecrypt-Automount), ebenso wie ein Tool um auf verschiedenen Rechnern Thunderbird-RSS-Feeds zu syncen… so ich gehe mal eine Runde weinen und dann das Wetter genießen 🙂

  42. @JürgenHugo
    Damit wollte ich sagen: in dem Alter hat man selten in Schule/Lehre od. Studium mit diesen Themen zu tun gehabt. Du bist sowieso ne Ausnahme .. 😉
    Ach übrigens diese Panikmache verbreitet sich leider genau so schnell wie die falsch wiedergegebene Streetview Geschichte – siehe: http://stadt-bremerhaven.de/google-stoppt-street-view-in-deutschland#comment-164909

  43. stoiberjugend says:

    wie jetzt? die cloud ist unsicher?

  44. @stoiberjugend

    ach geh..
    vertraut doch den anbietern! die tun alles aber wirklich alles in ihrer macht stehende um die daten die wir, (meist) kostenlos hochladen, zu sichern! und die beschaeftigen alle nur mitarbeiter nach eingehenden sicherheitschecks! Alles streng nach US datenschutz richtlinien!

  45. Anon Ymous says:

    Ich kann noch https://spideroak.com/ empfehlen. Ein Dropbox mit lokaler Verschlüsselung

  46. @cashy
    Oft hapert es mit der Verschlüsselung auch im Bezug auf die anderen Anwender. Ich würde gerne meine kompletten Mails/Chatt/… verschlüsseln. Das Problem ist jeodch, dass den meißten Leuten
    a) nicht bewusst ist, warum man verschlüsseln sollte und
    b) sie nicht wissen wie es geht/es ihnen zu kompliziert ist und sie keine dringenden Gründe (siehe a)) haben es zu lernen
    Leider wird sich da vermutlich so schnell nichts ändern

    @JürgenHugo
    Der Hammer war damals ja, dass angeblich der Vorgesetzte von Turing (in Bachley Park oder so ähnnlich) stets die aktuellen Codebücher von einem Informanten hatte und so die mit der Enigma verschlüsselten Codes hätte lesen können, jedoch trotzdem wollte dass die Verschlüsselung geknackt wird. Denn er wusste nicht wie lange er diese Bücher von dem Informant noch erhalten wird.
    (siehe Simon Singh – Codes (ist ein echt tolles Buch ;-D))

  47. Nur aus Interesse habe ich mir mal Spideroak und Wuala installiert. Die Verwendung (Nutzungskonzept) und Bedienung finde ich im Vergleich zu Dropbox totalen overhead und umständlich. Ist für mich definitiv kein Ersatz für Dropbox und beide sind bereits wieder entfernt.

  48. JürgenHugo says:

    @Jan: Es heißt „Bletchley Park“ – wer da nun was hatte, oder nicht – das haben wohl nur der Turing und sein Chef gewußt. Auch unter Wissenschaftlern is das nich anders als in der Sandkiste – die treten sich auch gegenseitig ans Knie…

    Die Enigma hätte übrigens tatsächlich (so gut wie) unknackbar sein können – wenn sie EIN Sicherheitsfeature weggelassen hätten. Dann wär der Schlüssel um Potenzen stärker gewesen (ich glaub u.a., das sich ein Buchstabe nicht mit sich selbst „verschlüsseln“ darf – aber ich bin kein Mathematiker).

    Die vierte Walze hat der Dönitz übrigens nur „aus dem Bauchgefühl“ entwickeln lassen, (fast) alle (deutschen) Experten haben bis zuletzt geglaubt, das Spione das ausgeschnüffelt haben. Und die vierte Walze ist auch nur für die U-Boote verwendet worden. Wenn sie generell eingeführt worden wäre, hätte der Krieg mind. länger gedauert.

    Und die erste Atombombe wäre nicht auf Hiroshima geworfen worden, sondern vielleicht auf Heidelberg…die Amis haben sie sicher lieber auf Japan geworfen – aber geworfen hätten sie sie.

    Ob ein anderer Kriegsausgang (Germania als Hauptstadt von Deutsch-Europa) nun besser gewesen wäre, laß ich mal dahingestellt…

  49. Gibt es denn irgendne Software, bei der ich bei Bedarf die Daten aus der Cloud auch wieder entschlüsseln kann, ohne einen Rechner mit Adminrechten zu haben?

  50. JürgenHugo says:

    Also wenn ich SOO viel rumlaufen/kommen/machen würde wie viele hier (was ich normal nicht tu), dann hätt ich ständig ein Notebook dabei – natürlich mit allen Rechten, Netzteil, Kabel(n), etc.

    Muss man eben (fast) immer eine Umhängetasche mit sich führen – wer immer in die Cloud will, der braucht halt Equipment. Von nix kommt nix! :mrgreen:

  51. @Caschy
    Grundsätzlich gebe ich Dir Recht, dass Verschlüsselung ein gute Idee ist!

    Auch wenn Du nicht explizit auf das Problem config.db von Dropbox eingegangen bist, so halte ich die aktuelle Warnung vor diesem Bug durchaus berechtigt. Soweit ich die aktuelle Diskussion zu diesem Thema verfolgt habe, ist die config.db eine einfache, unverschlüsselte SQLite-Datenbank. In ihr wird u.a. eine „host_id“ gespeichert, die man wohl als eine Art Session-ID ansehen muß. Sie ist nicht direkt mit dem Rechner verknüpft und wird auch nicht automatisch am Ende einer Session gelöscht. Wer diese ID besitzt, kann sich problemlos von Überall aus in die Dropbox einklinken und wird als berechtigter Benutzer erkannt.

    Wer sollte nun an diese config.db rankommen?
    Klar, als erstes fallen einen da Viren, Würmer, Trojaner & Co ein. Aber die kann man ja ganz einfach mit einer Antivirensoftware mit immer top aktuellen Signaturen in Schacht halten. Sollte der Rechner dennoch mal infiziert worden sein, kein Problem. Der Hobel wird kurzfristig dezinfiziert oder gleich neu aufgesetzt. Passwörter werden geändert und alles wird gut!

    Wirklich?
    Was macht Euch so sicher, dass die config.db oder auch nur die darin enthaltene host_id nicht gestohlen wurde?
    Ein ändern der Passwörter bringt da erst mal gar nichts. Der Dieb hat weiterhin vollen Zugriff auf die Tropfschachtel!

    Ok, Eure wichtigen Daten sind verschlüsselt und der Rest unkritisch…

    Wirklich?
    Was wenn der Dieb kein Dieb ist, sondern nur ein Kuckuck oder Osterhase? Er schiebt Euch lustige, kleine illegale Inhalte unter und geht dann petzen. Mit etwas Glück landet Ihr vielleicht auch auf der „No Fly List“ der TSC. Beim nächsten Urlaub macht Ihr dann Bekanntschaft mit einer etwas ausführlicheren Körpervisitation 😉

    Ich muß zugeben, dass meine Argumente ein wenig konstruiert erscheinen – sind sie aber wirklich so weit hergeholt?

    Wie sieht es mit Freunden, Bekannten oder Arbeitskollegen aus. Hat wirklich keiner die Möglichkeit oder ein Interesse die config.db zu stibitzen?
    Sei es nun aus reiner Neugier oder um einem eins auszuwischen. Schon das Löschen einer verschlüsselten Datei kann jemanden in beträchtlichen Schwierigkeiten bringen.

  52. @Jott:

    Ich hatte deinen Kommentar so gedeutet, dass du es als unsinnig erachtest, Dateien zu verschlüsseln, da diese ohnehin kein „wichtiges“ Material enthalten würden.
    Da hab ich dich wohl missverstanden – my bad 🙂

  53. hallo,
    verschlüsseln ist gut und wichtig. Ich mache es auch so: wichtige Daten werden online nur verschlüsselt gesichert und „unwichtige“ unverschlüsselt.

    Ich sehe oft ein Problem bei der Verschlüsselungsaktion vergessen: das Entschlüsseln. Ich habe noch keine brauchbare Lösung gefunden, die das tadellos löst. Was mache ich, wenn ich die über Jahre vergessenen Daten entschlüsseln muss? Bin ich mir noch sicher, welche Software ich damals benutzt habe? Gibt es die Software überhaupt noch? Erinnere ich mich noch an das Passwort bzw. wo habe ich das Verschlüsselungs-Zertifikat gesichert?

    Ich suche schon seit längerem eine Software die Daten auf Dateiebene verschlüsselt und daraus eine EXE-datei erstellen kann! So brauche ich keine spezielle Software zum Entschlüsseln und muss mich nur an das Passwort erinnern.

    Container sind für mich auch keine sichere Alternative. Was passiert, wenn der Container auf der Festplatte korrupt ist und der korrupte Container in den Online-Speicher gesichert wird?

    Also verschlüsseln ist eine Frage, aber man darf das Entschlüsseln nicht vergessen.

    Gruss
    Nogger

  54. @LivingOn
    „Klar, als erstes fallen einen da Viren, Würmer, Trojaner & Co ein. Aber die kann man ja ganz einfach mit einer Antivirensoftware mit immer top aktuellen Signaturen in Schacht halten.“

    Trojaner und Co. werden nur dann gefunden, wenn sie a) durch ihre Heuristik auffallen oder b) ihre Signatur bekannt ist. Bei letzteren trifft das vermutlich nur zu, wenn die Schadsoftware auch den Antivirenhersteller auffällt und das wird auch nur bei massenhaften Auftreten so sein, nicht aber, wenn es nur einige wenige (hundert) Opfer gibt…

  55. @sascha
    Du hast Recht!
    Dir ist allerdings mein leicht ironischer Unterton nicht aufgefallen. Vielleicht habe ich ihn auch nicht richtig ausgearbeitet 😉
    Selbst wenn die Signaturen sehr zeitnah zur Verfügung stehen, bezweifel ich doch sehr, dass der überwiegende Teil der Nutzer diese innerhalb kürzester Zeit (Minuten bis wenigen Stunden) auch wirklich eingespielt hat. Bis dahin liegt das Kind bereits Tod im Brunnen.

  56. @caschy:

    Nur weil ich Dropbox-Nutzer bin, verteidige ich nicht die Dropbox, dieses Thema könntet ihr auch 1:1 für SugarSync, Wuala, Amazon Cloudspace oder whatever sehen (und ich habe fast jeden Cloud-Speicher in der Vergangenheit getestet).

    Wieso auch für Wuala?

    Wuala zeichnet sich doch gerade dadurch aus, dass alle Daten lokal verschlüsselt werden — auch wegen dem teilweisen P2P-Modell von Wuala.

    Schade an Wuala ist die wenig erfreuliche Benutzeroberfläche, die zwar viele Funktionen bietet, aber die meisten Benutzer überfordern dürfte. Auf dem Mac ist es ausserdem bislang nicht möglich, die Anwendung ohne ständig vorhandenes Dock-Icon zu nutzen. Wer aber Sicherheit für seine Cloud-Daten sucht und nicht basteln oder zumindest die Nachteile von verschlüsselten Disk Images vermeiden möchte, ist mit Wuala sehr gut bedient.

  57. @Martin: es geht in dem Beitrag darum, dass man Zugriff auf Clouddaten hat, wenn man User / Pass hat. Auch bei Wuala.

  58. Paul Brusewitz says:

    Guten Tag!

    Etwas OFF TOPIC aber vielleicht trotzdem interessant für Dropbox-User:

    http://www.labnol.org/tag/dropbox/

    Recht nett finde ich ja z.B. die Nummer mit dem „CloudPrinting“.
    Schaut es Euch mal an.

    Freundliche Grüße
    Paul B.

  59. Hallo, ich habe meine Daten in der Dropbox per encFS unter Linux verschlüsselt und es funktioniert wunderbar. Damit habe och dann auch kein Problem, falls mal eine Lücke auftreten sollte. 😉 Ich empfehle Verschlüsselungssoftware nur aus freien Quellen zu benutzen. Dadurch ist es gewährleistet, dass keine Hintertüren eingebaut sind. Truecrypt ist meines Erachtens nicht 100%-ig open-source. Aber dazu gab es, glaube ich, schon mal in diesem Blog eine Diskussion.
    Gruß

  60. @caschy:

    @Martin: es geht in dem Beitrag darum, dass man Zugriff auf Clouddaten hat, wenn man User / Pass hat. Auch bei Wuala.

    Richtig, aber immerhin ein Vorteil gegenüber Dropbox — neben der lokalen Verschlüsselung der Daten.

    (Wobei bei Wuala für mich rätselhaft bleibt, wieso die Benutzeroberfläche nicht längst verbessert wurde. Mit Lacie im Hintergrund müssten die Ressourcen dafür doch eigentlich vorhanden sein …)

  61. MacUser Omega says:

    Wer an Verschlüsselungsmaschinen interessiert ist, hier ein paar Simulatoren:
    http://users.telenet.be/d.rijmenants/en/enigmasim.htm
    Die Enigma ist auch dabei. Hübsche Bedienoberflächen Analog der echten Maschinen.
    Nett um jemanden an das Thema heran zu führen.

  62. JürgenHugo says:

    @MacUser: DAS ist ein klasse Tip, gleich guck ich mir das an, das mit den Chiffriermaschinen!

    Und dann, dann schreib ich die Kommentare streng verschlüsselt, dann kann sie keiner mehr lesen. So. :mrgreen:

  63. Solche Diskussionen kenne ich. Wenn man dann noch mit Verschlüsselung kommt wird man gleich als paranoid abgestempelt.. Naja.. Jedem das seine..

  64. JürgenHugo says:

    BRMFF FTZZU GJZTR HMMPF – das ist jetzt veschlüsselt. Und niemand wird das rauskriegen. Weil es mit der 4-Walzen Version der Enigma gemacht wurde, Kenner wissen dann Bescheid und versuchens erst garnicht. So. :mrgreen:

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.