Im April war bekannt geworden, dass der populäre Online-Speicher Dropbox US-Behörden im Fall gerichtlicher Anordnung Zugriff auf verschlüsselte Kundendaten gibt. Nun hat ein Sicherheitsexperte Beschwerde gegen das Unternehmen bei der US-Handelsaufsichtsbehörde (FTC) eingereicht, berichtet Wired. Dropbox habe fälschlicher Weise behauptet, dass die Mitarbeiter keinen Zugriff auf verschlüsselte Daten hätten.
In den Sicherheitsbestimmungen hatte Dropbox bis zum 13. April erklärt, dass die Mitarbeiter nicht auf die verschlüsselten Daten der Nutzer zugreifen könnten. Nachdem die Geschäftsbedingungen dahingehend geändert wurden, dass Dropbox US-Behörden bei Ermittlungen Zugriff auf diese verschlüsselten Daten geben könne, hagelte es Kritik für das Unternehmen. Dort reagierte man und besserte bei den Richtlinien nach.
Wortwörtlich steht in den Sicherheitsbestimmungen nun: "Die Dropbox-Angestellten dürfen nur auf Metadatendateien zurückgreifen (Dateiennamen und Speicherstellen). Die Angestellten sind nicht berechtigt, Ihre Dateien in Ihrem Dropboxordner zu sehen." Vor der Änderung hatte es geheißen, dass Mitarbeiter keine Möglichkeit hätten auf den Account und die Dateiinhalte zuzugreifen, sondern ausschließlich Zugang zu Metadaten wie Dateinamen hätten. Sicherheitsexperte Christopher Soghoian kritisiert, dass man die Nutzer vor diesen Änderungen im Glauben gelassen habe, dass ihre verschlüsselten Dateien von niemanden als ihnen selbst angesehen werden könnten. Bei Dropbox liegen die Schlüssel nicht am Rechner des Users, sondern auf den Servern des Unternehmens.
Dropbox meinte in einer Stellungnahmen gegenüber Wired, dass die Vorwürfe haltlos seien. Man habe zu dem Thema bereits in einem Blog-Eintrag am 21. April Stellung bezogen. Darin wurde erklärt, dass man die Richtlinien transparenter gestaltet habe. Unternehmenssprecherin Julie Supan meint, dass Dropbox nie behauptet habe, dass der Zugriff auf verschlüsselte Daten für Mitarbeiter unmöglich und das Unternehmen nicht im Besitz der Schlüssel sei. Genau das sieht der Sicherheitsexperte anders.
Und liest man sich die Sicherheitsbestimmungen auf der deutschen Dropbox-Seite durch, könnte man auch jetzt noch davon ausgehen, dass nur die Nutzer Zugang zu ihren verschlüsselten Daten hätten: "Alles, was Sie auf Dropbox speichern, wird sowohl für die Übertragung als auch für die Speicherung verschlüsselt. Es haben nur die Personen Zugriff auf Ihre Daten, die Sie selbst auswählen." Der Sicherheitsexperte will mit seiner Beschwerde bei der FTC nun erreichen, dass Dropbox allen Nutzern unmissverständlich mitteilen muss, dass man doch Zugriff auf alle Dateien habe.
