DocWallet als Ende-zu-Ende verschlüsselte Dropbox-Ergänzung

Dropbox hat die geräteübergreifende Verfügbarkeit eigener Dateien salonfähig gemacht. Zuletzt hat die NSA-Affäre das Bewusstsein dafür geschärft, dass gerade sicherheitskritische Dokumente dort nicht abgelegt werden sollten. Mit DocWallet gibt es nun eine vielversprechende Lösung aus Deutschland, die in meinen Augen eine gute und sichere Ergänzung zur Dropbox darstellt.

Komfort vs. Sicherheit: Ein Gegensatz?

Mit dem Kauf meines ersten iPhones 2010 bin ich rasch auch Nutzer der Dropbox geworden. Eine andere Möglichkeit, auf Dateien zuzugreifen, die ich auch auf meinem Desktop nutzte, war mir nicht bekannt. Und es war ungeheuer komfortabel. Schnell schob ich immer mehr Daten in die Cloud... wie auch viele andere.

Im November 2013 verkündete Dropbox mit 200 Millionen Nutzern weltweit einen neuen Rekord. Auch Konkurrenzangebote wie Microsoft Skydrive, Google Drive, box.com, Apple iCloud oder andere erfreuen sich einer starken Nachfrage. Die Vorteile dieser Cloud-Datenspeicher sind natürlich enorm und machen deren Popularität verständlich. Auf der anderen Seite gibt es ein großes Problem mit der Sicherheit.

1. Abstrakte Gefahr: Dropbox und Co. sind amerikanische Unternehmen. Es ist davon auszugehen und hat sich im Zuge der NSA-Affäre hat gezeigt, dass sich Dritte vergleichsweise einfach Zugriff auf persönliche Daten in der Dropbox und Co. verschaffen können.
2. Konkretere Gefahr: Dropbox und Co. integrieren sich ins Dateisystem des Windows/Mac Rechners und legt auch im Rahmen seiner Apps für iPhone, Android und Co. alle Ordner und Dokumente unverschlüsselt ab. Das bringt einen enormen Komfortvorteil mit sich, andererseits heißt das aber auch: Jemand, der Zugriff auf das Gerät erhält, kann auch auf alle abgelegten Dateien zugreifen. Auch die Kommunikation zum Server sowie die serverseitige Ablage erfolgt unverschlüsselt -> Jemand der Zugriff auf den Datenverkehr oder den Sever hat, hat auch auf die Daten Zugriff.

Natürlich gibt es (mittlerweile) Wege, die Sicherheit von Dropbox und Alternativdiensten zu erhöhen. Diese bestehen aber entweder in einem simplen, sicherlich unpraktikablen Verzicht ihrer Nutzung oder in Add-Ons wie BoxCryptor, die Komforteinbußen mit sich bringen, weil sie nicht Teil des ursprünglichen Konzepts sind.

Vor allem die Sicherheitsaspekte haben mich daher bisher zögern lassen, sensible Dokumente in die Dropbox zu legen. Aber genau das möchte ich können, weil Dropbox mich an den Komfort gewöhnt hat, wichtige Dokumente immer parat zu haben und sich nicht mehr um das Backup kümmern zu müssen. Ich denke da an Persönliche Dokumente wie Personalausweis, Führerschein, Krankenkarte, Versicherungs- und Vertragsunterlagen etc. digitalisieren, immer gebackupt und immer dabei zu haben, falls sie benötigt werden. 

Vergleich DocWallet und Dropbox

Neulich bin ich nun auf eine Lösung gestoßen, die mich überzeugt hat. Diese möchte ich im Folgenden näher vorstellen.

Die Deutsche Post hat bereits Ende 2012 ihren Dienst DocWallet vorgestellt, der mittlerweile ordentlich herangereift ist. Er bietet viele Vorteile von Dropbox und Co. bei zusätzlich starker Berücksichtigung des dort vernachlässigten Sicherheitsaspekts.

Gegenüberstellung der Features

Ich vergleiche DocWallet aus Übersichtlichkeitsgründen im Folgenden nur mit Dropbox, allerdings warten Skydrive, Google Drive etc. im Großen und Ganzen mit ähnlichen Features auf.

	DocWallet	Dropbox
Speicherplatz	unbegrenzt Weitere Infos s. hier	2 GB kostenlos
Unterstützte Plattformen	Win, Mac, iOS	Win, Mac, iOS, Browser, Android
Unterstützte Dateitypen	PDF, Office-Formate von Microsoft und Apple (*.xls, *.xlsx, *.ppt, *.pptx, *.doc, *.docx, *.key, *.numbers, *.pages), Gängige Bildformate (*.jpg, *.jpeg, *.png, *.gif), einfache Textformate (*.rtf, *.txt) Tipp: Durch Umbenennung der Dateiendung akzeptiert DocWallet auch andere Formate.	Alle
Maximale Dateigröße	25 MB	unbegenzt
Synchronisation	Beim Sync werden immer alle Dateien synchronisiert und gedownloadet.	Win/Mac: Automatisch alle Daten im Hintergrund Mobile Apps: Bei Bedarf (Einzelauswahl)
Kosten	App ist kostenlos, nur der Sync zwischen den Geräten kostenpflichtig (Abo jeweils für 1 Jahr). Bis zu 3 Geräte: 9,99 € Unbeschränkte Geräteanzahl: 19,99 €	Die Basisversion ist kostenlos, gegen Gebühren kann zusätzlicher Speicherplatz erworben werden
Sicherheit	Ende-zu-Ende-Verschlüsselung, Kombination aus RSA und AES-256-Verfahren (Weitere Infos hier)	Keine Ende-zu-Ende-Verschlüsselung (Weitere Infos hier)
Unternehmenslizenzierung	verfügbar	verfügbar

Sicherheit

DocWallet wurde zusammen mit dem Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) entwickelt. Das merkt man auch an der Bedienung, die recht häufig - bspw. beim Öffnen  der Anwendung und Änderungen an den Einstellungen das Passwort abfragt, aber auch an der Ende-zu-Ende-Verschlüsselung. Für die Sicherheit von DocWallet spricht sicherlich auch die Freigabe der Nutzung für Geheimnisträger nach §203 StGB wie Anwälte, Notare, Steuerberater oder Wirtschaftsprüfer.

Das Sicherheitskonzept hat leider auch ein paar kleine Nachteile hinsichtlich des Bedienkomforts. So kann auf die Dateien nur nach dem Öffnen der Anwendung zugegriffen werden. Sie integriert sich nicht nahtlos in das Dateisystem wie es etwa die Dropbox tut. Auch der Zugriff per Browser ist aus Sicherheitsgründen nicht möglich.

DocWallet als Ergänzung

Nach einigen Wochen Erfahrung mit DocWallet hat sich eine für mich sinnvolle Nutzung herauskristallisiert. Ich nutze beide Anwendungen für jeweils eigene Zwecke.

Die Dropbox ist weiterhin mein Tool der Wahl für nicht sicherheitskritische Dokumente jeder Art, die ich gerne dabei haben möchte. Die Lösung ist ausgereift und funktioniert für meine Zwecke perfekt - in der kostenlosen Variante reichen mir die 2 GB, speicherintensive Dateien wie Bilder oder Videos verwalte ich prinzipiell auf meinem Desktop-Rechner zu Hause.

In "meine DocWallet" schiebe ich alle sicherheitskritischen Dokumente, bei denen es mir wichtig ist, sie dabeizuhaben oder gut gebackupt zu wissen. Also beispielsweise Scans der ganzen Ausweise und Versicherungsbescheinigungen, aber auch Software-Lizenzkeys, Kontodaten, Sperrnummern für die Bank, Zeugnisse, Bescheinigungen jeder Art oder  Bonuskarten. Eine Konsequenz ist, dass auch der Geldbeutel schmaler wird. In vielen Fällen reicht nämlich die Nennung der Kunden-/Kartennummer aus, notfalls kann der Scan auf dem iPhone vorgezeigt werden.

Fazit

DocWallet ist für mich die ideale Ergänzung zur Dropbox - weil sie deren Schwächen im Sicherheitsbereich ausgleicht. Da der Service noch recht jung ist, fehlen einige Features, die aber hoffentlich nach und nach noch entwickelt werden. Genannt seien bspw. die Unterstützung für Android oder auch eine Suchfunktion. Obwohl die Marketingpolitik des Herstellers sehr zurückhaltend erscheint und es eine etwas verschlafene Social Media-Präsenz nur bei Twitter gibt (@DocWallet), wäre es wünschenswert, wenn der Dienst angesichts der gestiegenen Sensibilität für den Datenschutz und Datensicherheit/der NSA-Affäre mehr Verbreitung fände.

Was meint ihr?

Stand 15.01.2014
*** Falls jemand auf die Idee kommen könnte: Das ist kein bezahlter Werbeartikel für DocWallet oder andere hier genannte Produkte! ;-)***

Nie mehr Probleme mit dem Passwort!

Viele Konten, ein und dieselben Benutzernamen-Passwort-Kombis

Fast jeder wird es kennen: Das mit den vielen Nutzerkonten verbundene Problem der Passwörter. Bei mehreren, teilweise dutzenden Zugängen scheint es unmöglich, individuelle, komplexe und dabei noch gut zu merkende Phrasen zu verwenden. Immer wieder an die Öffentlichkeit dringende Hacks (1, 2) zeigen, dass viele Nutzer sogar nur ein Passwort für alle Dienste einsetzen, das darüber hinaus auch noch leicht zu erraten ist. Ist ein unbefugter Dritter in dessen Besitz, stehen die Zugänge zu E-Mail, ebay, amazon, paypal und etlicher andere Dienste schnell für Missbrauch zur Verfügung - wird doch beim Login oft die Kombination aus e-Mailadresse und Passwort abgefragt. Der Zugang zum Mailkonto? max.mustermann@gmail.com, Passwort hallo. Zu ebay? max.mustermann@gmail.com, Passwort hallo. Zu amazon? max.mustermann@gmail.com, Passwort hallo. Streng genommen können sich in solch einem Fall sogar die Mitarbeiter von amazon, ebay oder anderen, sofern sie Zugriff auf Passwörter haben, Zugriffe auf die Mailkonten verschaffen.

Mag dies auch ein Extremfall sein, so ist doch offenbar, dass Passwörter nicht mehrfach verwendet werden dürfen und komplex sein müssen. 

Mein Lösungsansatz

Obgleich meine Passwörter sicherer waren als das oben verwendete, hatte ich lange Zeit doch 2-3 verschiedene für alle Dienste. Vor einigen Monaten bin ich in meiner imaginären Was-Du-schon-lange-mal-machen-solltest-ToDo-Liste auf diesen Punkt gestoßen und habe einen Lösungsansatz entwickelt, der praxiserprobt ist, sehr gut funktioniert und im Großen und Ganzen auch dem Expertenartikel von heise folgt. Dabei greife ich nicht auf Passwortsafes zurück, die ihrerseits ein Sicherheitsrisiko darstellen, weil sie gehackt werden können, und auch nicht immer bei der Hand sind, wenn mal der Akku des Smartphones leer sein sollte oder ein neues Smartphone die Software nicht unterstützt. Mir persönlich gibt es auch kein gutes Gefühl, wenn ich meine Passwörter irgendwo in der Cloud ablegte, mag die Lösung noch so sicher sein. Aber das muss jeder selber wissen.

Ich stelle meinen Ansatz nun hier exemplarisch vor:

1. Grundlage ist der Name einer meiner Lieblingsbands. Das lässt sich gut merken. Nehmen wir
   "Iron Butterfly".
2. Dieser Name wird nun verfremdet, wobei ich alle Konsonanten groß schreibe, alle Vokale klein und darüber hinaus noch das I, das B, das F und das E ersetze. An's Ende kommt schließlich noch ein Sonderzeichen - dann ist der Ursprungsname schön verfremdet und das Passwort sieht schon ziemlich komplex aus:
   1RoN$uTT3r%1Y&
3. Nun haben wir das Masterpasswort, welches für jeden Dienst modifiziert wird. Nach einigen Eingaben sollte man es sich gemerkt haben können. Eine Variante, es sich zu merken, wäre: Es als Login für seinen am Meisten genutzten PC/MAC zu verwenden. 
4. Nun geht es um die Anpassung für die einzelnen Dienste. Dabei verwende ich eine Kombination aus der Länge des Markennamens (und ziehe davon 1 ab) sowie den ersten und den letzten Konsonanten und streue diese 3 Werte immer an der selben Stelle im Masterpasswort ein, also bspw.

1. Google -> 5gl
   1R5oN$uTT3r%g1Yl&
2. Amazon -> 5mn
   1R5oN$uTT3r%m1Yn&
3. ebay -> 3by
   1R3oN$uTT3r%b1Yy&
4. paypal
   1R5oN$uTT3r%p1Yl&
5. Onlinebanking: Berliner Volksbank
   1R17oN$uTT3r%b1Yk&
6. usw.

Voila, fertig sind wir. Auf den ersten Blick sieht das Ergebnis kompliziert aus, allerdings lässt es sich logisch herleiten und vergleichsweise gut merken. 

Das selbe auf eure Passwörter anzuwenden, wäre ja möglicherweise ein guter, kleiner, rasch umzusetzender Vorschlag für's neue Jahr?