Dropbox-Hack: Warum es auf Ende-zu-Ende-Verschlüsselung ankommt
Heute wurde bekannt, dass bei einem Dropbox-Hack gehashte Passwortdaten von mehr als 60 Mio Nutzern gestohlen wurden. Ein Dropbox-Mitarbeiter hatte sein Passwort auch für LinkedIn genutzt, wo es gestohlen wurde. Das bedeutet, anhängig von der Rolle des Mitarbeiters, könnten auch Nutzerdateien betroffen sein. Wir erklären, welchen Unterschied Ende-zu-Ende-Verschlüsselung in diesem Fall machen kann.
Ende-zu-Ende-Verschlüsselung schützt Nutzerdateien, wenn Adminzugriff missbraucht wird
Wenn ein Mitarbeiter mit Administrationsrechten gehackt wird, der bei einem Anbieter mit server-seitiger Verschlüsselung (wie Dropbox) arbeitet, könnten Hacker möglicherweise in der Lage sein, auf Nutzerdateien zuzugreifen, sie zu entschlüsseln und zu lesen – unabhängig davon, wie stark das Nutzerpasswort ist. Da server-seitige Verschlüsselung das Ver- und Entschlüsseln auf dem Server des Anbieters vollzieht, könnten Admins Zugriff auf die Schlüssel und Dateien der Nutzer haben – und damit auch die Hacker.
Wenn Administratoren eines Unternehmens mit Ende-zu-Ende-Verschlüsselung (wie Tresorit oder SpiderOak) gehackt werden, könnten Hacker möglicherweise ebenfalls auf die Dateien zugreifen, aber nur in verschlüsselter Form. Hacker könnten sie nicht entschlüsseln oder lesen, denn der Anbieter besitzt keine Kopie des Schlüssels. Darum ist Ende-zu-Ende-Verschlüsselung wichtig: Dateien werden auf dem Gerät des Nutzers verschlüsselt, bevor sie in die Cloud hochgeladen werden. Der Anbieter hat keinen Zugriff auf die Schlüssel. Um diesen Schutz so stark wie möglich zu machen, muss allerdings auch der Nutzer ein starkes Passwort wählen – da der Angreifer ja Zugriff auf die gehashten Passwörter hat und schwache, häufig verwendete Passwörter möglicherweise geknackt werden können.
Starke Passwörter sind in allen Fällen unverzichtbar
Wenn Login-Daten von Nutzern (E-Mail-Adressen und mit salted-hash-verschlüsselte Passwörter) ebenfalls gestohlen werden, sind starke Passwörter entscheidend. Wenn Nutzer starke Passwörter nutzen und der Admin-Zugang nicht kompromittiert ist, sind Nutzerdaten sowohl mit server-seitiger als auch Ende-zu-Ende-Verschlüsselung grundsätzlich sicher – denn korrekt gehashte, starke Passwörter sind praktisch nicht zu entschlüsseln. Aber schwache Passwörter können möglicherweise geknackt und damit Nutzerdateien gestohlen werden.
Was wir daraus lernen? Unbedingt auf starke Passwörter achten und niemals dasselbe Passwort für verschiedene Konten nutzen.