Was Sie zum Dropbox-Hack, Passwörtern und Ende-zu-Ende-Verschlüsselung wissen sollten
Die Nachrichten um einen Dropbox-Hack haben bei vielen Nutzern Beunruhigung über die Sicherheit von Cloudspeicheranbietern ausgelöst. Lesen Sie unseren FAQ, um einen detaillierten Überblick zu erhalten, warum Ende-zu-Ende-Verschlüsselung die sicherere Alternative ist, um Dateien zu teilen und wie wir sicherstellen, dass Ihre Dateien bei Tresorit geschützt sind.
Beim Dropbox-Hack missbrauchten Dritte das Passwort eines Mitarbeiters, um Zugriff auf das Firmennetzwerk zu bekommen und Anmeldedaten von Usern zu stehlen. Bedeutet das, dass sie auch Zugang zu meinen Dropbox-Dateien hatten?
Aufgrund der von Dropbox verwendeten Verschlüsselungsmethoden lässt sich dies nicht ausschließen. Dropbox und andere übliche Anbieter nutzen sogenannte In-Transit- und At-Rest-Verschlüsselung, was bedeutet, dass Dateien auf ihrem Weg zu den Servern verschlüsselt werden, wo sie anschließend entschlüsselt und erneut verschlüsselt werden. Diese Anbieter für Cloudspeicher besitzen den Verschlüsselungscode zu Ihren Dateien: Ihre Systemadministratoren und diejenigen Personen, die Zugang auf ihre Server nehmen, könnten somit möglicherweise auf Ihre Dateien zugreifen und diese lesen.
Was unterscheidet Anbieter wie Tresorit mit Ende-zu-Ende-Verschlüsselung von den anderen? Was würde geschehen, wenn einer ihrer IT-Administratoren Opfer eines Datendiebs würde?
Im Unterschied zu Dropbox können Hacker Ihre Dateien bei Ende-zu-Ende-verschlüsselnden Anbietern nicht ohne Ihr Passwort einsehen. Dienste wie Tresorit sind nicht im Besitz der Verschlüsselungscodes, die Zugang zu Ihren Dateien gewähren. Daher wären Ihre Dateien im Falle eines Angriffszenarios wie beim Dropbox-Hack weiterhin in Sicherheit.
Mit auf Zero-Knowledge-Prinzip basierender Ende-zu-Ende-Verschlüsselung findet die komplette Verschlüsselung bereits auf Ihrem Computer statt und weder Ihre Dateien noch Ihr Passwort verlassen Ihr Gerät in unverschlüsselter Form.
Wichtig: Sie sollten jedoch trotzdem ein starkes Passwort wählen – falls Sie kein sicheres Passwort einrichten, schwächt das die Sicherheit der Verschlüsselung. Mit einem guten Passwort unterstützen Sie also Ihre eigene Sicherheit.
Aber mein Dropbox-Passwort ist auch ein sicheres Passwort – können Hacker meine Dateien trotzdem einsehen?
Wenn Hacker die Server eines solchen Serviceanbieters angreifen, ist die Passwortstärke hinfällig. Denn Anbieter wie Dropbox sind im Besitz des Verschlüsselungscodes für Ihre Dateien. Wenn also unautorisierte Personen Zugang zu den Servern erhalten, können sie mit Wahrscheinlichkeit auch auf die Dateien zugreifen.
Was würde geschehen, wenn mein Tresorit-Passwort gestohlen wird? Macht Passwortstärke hier einen Unterschied aus?
Ähnlich zu anderen Anbietern verwenden wir für Passwörter die Salt-und-Hash-Methode mit starken Algorithmen nach Industriestandard. Im Falle eines Datendiebstahls können einzig und allein die gehashten Passwörter weitergegeben werden. Sollte dies geschehen, können Hacker Ihre Dateien nur dann einsehen und lesen, wenn sie in der Lage wären, Ihr Passwort aus der gehashten Version zu ermitteln. Daher ist Passwortstärke entscheidend. Wenn Sie sichere Passwörter verwenden, ist es nahezu unmöglich, die Verschlüsselung umzukehren. Falls Sie jedoch ein schwaches, häufig verwendetes Passwort haben, vergrößern sich die Erfolgsaussichten der Hacker.
Verwaltet Tresorit Passwörter auf andere Weise als Dropbox?
Unser Service basiert auf dem sichereren „Zero-Knowledge“-Prinzip: Wir sehen Ihr Passwort zu keinem Zeitpunkt in Klartext oder einem umkehrbaren Format. Wir haben schlichtweg ‘null Wissen’ über Ihr Passwort. Dropbox hasht die Passwörter auf den Dropbox-Servern, sodass Mitarbeiter theoretisch Zugriff auf die Klartext-Passwörter nehmen können. Im Gegensatz dazu hasht Tresorit Passwörter, bevor sie auf unsere Server hochgeladen werden und dann noch einmal mit einer komplexen Methode.
Was unternimmt Tresorit, um Nutzer dazu zu bewegen, die nötigen Sicherheitsvorkehrungen zu treffen?
Wir raten Nutzern dringend dazu, Zwei-Stufen-Authentifizierung (2FA) als zusätzliche Sicherheitsvorkehrung zu aktivieren. Tresorit-Business-User sind außerdem dazu in der Lage, 2FA als Muss-Regel für ihr gesamtes Team einzurichten. Wir haben strenge Passwortregeln: Passwörter müssen mindestens 8 Zeichen lang sein, Groß- und Kleinschreibung sowie Ziffern enthalten und wir benachrichtigen Sie, wenn Ihr Passwort nicht stark genug ist (wenn es beispielsweise häufig verwendete Wörter beinhaltet).
Wurde Tresorits Ende-zu-Ende-Verschlüsselung jemals getestet?
Unsere Ende-zu-Ende-Verschlüsselung wurde von über 1000 Experten (inklusive Forschern von MIT und Stanford) in einem Hacker-Wettbewerb angegriffen und nicht gebrochen.
Okay, was soll ich nun tun?
Wenn Sie nach dem Dropbox-Hack auf der Suche nach einer sicheren Alternative sind, werfen Sie doch einen Blick auf unsere Checkliste, um zu erfahren, wonach Sie Ausschau halten sollten. Für die wichtigsten Anzeichen dafür, dass Ihr Passwort vertraulich behandelt wird, lesen Sie unseren Blog-Beitrag.
Falls Sie Dropbox umgehend mit einem sichereren Service ersetzen möchten, wechseln Sie noch heute zu Tresorit.
Und falls Sie Tresorit bereits nutzen, stellen Sie sicher, dass Ihr Passwort stark genug ist und aktivieren Sie 2-Faktor-Authentifizierung.