Das Unternehmen Dropbox bemüht sich intensiv Business Accounts an die Unternehmen zu bringen. Von kostenlosen Accounts kann man auf Dauer nicht leben. Diese Accounts können von der Unternehmens IT gemanagt werden. Verlässt ein Mitarbeiter das Unternehmen, kann der Speicherplatz gewiped werden oder an den Nachfolger übertragen werden. Details findet man im “Dropbox for Business Security Overview“.
Aber leider gibt es auch für Unternehmens-Kunden keine Dateiverschlüsselung. Dropbox schreibt zwar im Security Guide (und das ist auch korrekt), dass die Dateien beim Storage-Provider verschlüsselt (AES 256 Bit) gespeichert werden. Aber den Schlüssel hat Dropbox und nicht das Unternehmen. Dropbox kann (manchmal vielleicht auch; muss) auf die Daten zugreifen. Dropbox ist seit dem 16.2.2012 Safe Harbor „zertifiziert“ und erfüllt damit formal die EU-Vorgaben.
„Dropbox for Business nach ISO 27018 zertifiziert“ schrieb die Computer Woche am 18.5.2015. Dropbox ist nach eigenen Angaben einer der ersten Cloud-Anbieter, der das neue ISO-Gütesiegel erhält. Die ISO 27018 wurde erst im August 2014 verabschiedet und regelt datenschutzrechtliche Anforderungen an Cloud-Dienste nach EU-Recht und nach deutschem Recht.
Ist das nicht ein Widerspruch? Die Anforderungen nach deutschen Datenschutzrecht sind nach ISO 27018 zertifiziert und die Unternehmensdaten liegen unverschlüsselt in der Cloud? Da muss man doch mal genau nachschauen, was eigentlich zertifiziert ist. Und das steht in dem Zertifizierungsdokument.
“Services in scope, when used with a registered Dropbox for Business account:
- The Dropbox software client (desktop/laptop access)
- The Dropbox web application (desktop and mobile browser access)
- The Dropbox mobile application (mobile device access)
- The Dropbox application programming interface (API) (invoked by a Dropbox for Business customer to perform operations on data within that customer's account)"
steht auf Seite 2 der Zertifikatsurkunde.
Zertifiziert sind also: der Desktop Klient, die Webanwendung, die App und das API. Im Grunde ist alles zertifiziert, was die Firma für den Klienten zur Verfügung stellt. Die Serverseite ist NICHT zertifiziert. Über die Speicherung der Daten in der Cloud wird in der Zertifizierung nichts gesagt!
Was lernen wir? Es empfiehlt sich Zertifizierungen nur zu akzeptieren, wenn man sich davon überzeugt hat, was genau zertifiziert ist. Manchmal klaffen Zertifizierung und Wahrnehmung (oder sollte ich Werbung schreiben) etwas auseinander.
Solche „Missverständnisse“ gab es schon öfter. Im April 1996 wurde Windows NT mit dem Report No. CSC-FER-95/003 nach dem Orange Book als C2-sicher zertifiziert. Aber zertifiziert war „nur“ Windows NT 3.5 Service Pack 3 mit spezieller Konfiguration und - auch bei der NT Server Version - ohne Netzwerkkarte im Rechner. (Wenn man es genau nimmt, galt das Zertifikat auch nur für die Compaq Rechner Proliant 2000 und Proliant 4000 5/90-1 und 5/100-1 sowie einen DECpc AXP/150.) Ein Windows NT 4 mit Netzwerkkarte war nie zertifiziert. Obwohl fast alle das geglaubt haben.