Dateien in der Cloud verschlüsseln mit Boxcryptor

Seite 4: So vertrauenswürdig ist das

Auch in demokratisch regierten Staaten wie den USA oder Deutschland sind viele Behörden unter bestimmten Voraussetzungen dazu ermächtigt, die Betreiber zur Herausgabe der in ihrer Cloud abgelegten Daten zu zwingen. Secomba verfolgt daher ebenso wie Apple den sogenannten Zero-Knowledge-Ansatz, wonach das Unternehmen selbst weder Zugriff auf die Daten haben noch die Passwörter seiner Nutzer kennen will. Das erhöht das Vertrauen in die Sicherheit des Dienstes.

Besonders misstrauische Zeitgenossen mögen jedoch bemängeln, dass Boxcryptor keine quelloffene Software ist. So kann außer den Entwicklern niemand den Quelltext auf Sicherheitslücken oder Hintertüren überprüfen. Der Hersteller könnte freilich als vertrauensbildende Maßnahme den Programmcode durch unabhängige Experten auf Hintertüren oder Schwachstellen begutachten lassen. Gegenüber Mac & i rechtfertigte Secomba den Verzicht darauf mit der fortlaufenden Entwicklung der Software. Audits und Zertifizierungen könnten somit veraltet sein, bevor sie überhaupt abgeschlossen wären. Dabei lässt der Hersteller aber außer Acht, dass sich die Audits auf die sicherheitsrelevanten Teile der Codebasis und des Entwicklungsprozesses beschränken ließen. Das Ergebnis einer solchen Untersuchung könnte also auch dann noch Bestand haben, wenn die Software um neue Funktionen erweitert würde. Überdies ändern sich ja grundsätzliche Konzepte nicht laufend, sodass ein Audit durchaus eine belastbare Aussage über die grundsätzliche Sicherheit einer Software böte. Ein gewisser Zweifel an der Vertraulichkeit des Anbieters bleibt also bestehen.

Acht attraktive Programme, die regulär zwischen 11 und 89 Euro kosten, erhalten Käufer des c't special Mac kostenlos. Im Heft klebt eine Postkarte mit einem persönlichen Code, den man per E-Mail an die Redaktion schickt, um Download-Adresse und Seriennummer zu erhalten. Käufern des E-Papers wird der persönliche Code per Mail zugestellt.

Immerhin legt Secomba offen, welche Algorithmen und Bibliotheken man verwendet. Lediglich die Bibliothek für die Chrome-Erweiterung ist eine Eigenentwicklung, weshalb besonders vorsichtige Nutzer diese meiden dürften.

Zwar gibt das Unternehmen an, weder den Inhalt der verschlüsselten Daten noch die verwendeten Benutzerkennwörter zu kennen, doch besitzt es zwangsläufig etliche nutzerbezogene Stammdaten sowie Metadaten, die im Alltag anfallen, etwa IP-Adressen der verwendeten Geräte. Eine anonyme Datensynchronisation ist deshalb auch mit Boxcryptor nicht möglich.

Im Test setzte sich der Mac-Client von Boxcryptor mit Servern der Betatest-Plattform HockeyApp in Verbindung. Auf Nachfrage erklärte Secomba, die so ermittelten Daten dienten der Auswertung von Crash Logs sowie zum Überprüfen verfügbarer Updates. Kritisch ist das Übertragen der Diagnosedaten, da sich daraus zumindest wichtige Kenntnisse über das Nutzungsverhalten und verschiedene Systeminterna des Benutzers gewinnen lassen. Zwar benötigt der Hersteller diese Daten zur Fehlerbehebung, aber auch Geheimdienste und Hacker sind daran interessiert. Die Informationen eignen sich nämlich prima zum Aufspüren von Sicherheitslücken für gezielte Angriffe oder zum Erstellen von Nutzerprofilen. Da HockeyApp inzwischen zu Microsoft gehört, dürften US-Behörden im Bedarfsfall besonders leicht an die Metadaten gelangen.

Laut Hersteller kann der Nutzer das Senden der Telemetriedaten zwar unterbinden, doch dazu muss er in den „Preferences“ unter „Updates“ die Haken bei „Automatically send Diagnostic and Usage Data“ und „Automatically check for updates“ entfernen.

Das Sammeln der Nutzerdaten mag die Sicherheit der in der Cloud gespeicherten Daten nicht unmittelbar gefährden, kratzt aber am Vertrauen in Software und Hersteller. Ein Unternehmen, das nach eigenen Angaben eine Zero-Knowledge-Philosophie verfolgt, sollte im Zweifel den Bedienkomfort den eigenen Versprechen unterordnen und das Senden der Daten sowie die Update-Abfrage standardmäßig deaktivieren. Immerhin erwähnt die Datenschutzerklärung, dass HockeyApp anonymisierte Nutzerdaten erhebt sowie die Boxcryptor-Website Google Analytics, Facebook- und Twitter-Plug-ins verwendet.

Wer nicht möchte, dass Boxcryptor Metadaten an den Microsoft-Dienst HockeyApp sendet, muss außer der Diagnose- auch die Update-Funktion deaktivieren.

Positiv ist zu vermerken, dass der Boxcryptor-Client das Zertifikat der Boxcryptor-Server mittels Certificate Pinning überprüft. Das ist ein wirksamer Schutz gegen Man-in-the-Middle-Angriffe, dem ein Angreifer auch mit kompromittierten Zertifikaten nicht beikommt.