Im Praxistest: Dropbox plus Verschlüsselung mit EncFS

Posted on Veröffentlicht in Artikel, Dienste & Werkzeuge, Formate, Sonstiges Tagged with , , , , ,
Auch in der Cloud können Daten sicher gespeichert werden Foto von Rob Pongsajapan unter CC BY 2.0.
Auch in der Cloud können Daten sicher gespeichert werden
Foto von Rob Pongsajapan unter CC BY 2.0.

Eine Bildungsagentur steigt aus, Teil IV: Datenhoheit in der Cloud

Cloud-Speicherdienste sind kaum mehr wegzudenken aus dem beruflichen Alltag (dezentral) organisierter Teams. Einmal installiert, bieten Cloud-Speicher, allen voran der Platzhirsch dropbox, aber auch Wuala, iCloud, Google Drive uvm., einen unvergleichlichen Komfort. Alle eigenen Dateien stets verfügbar und synchron auf allen Geräten. Dazu kostenlos Dateien mit dem Team und anderen KollegInnen teilen oder einen Austausch-Ordner fürs Projekt mit TeilnehmerInnen anlegen.
Und doch bleibt da stets ein Zweifel: Ist es gut, das alle unsere Daten bei einem kommerziellen Anbieter liegen? Seit Snowden wissen wir dazu recht sicher: auch die NSA hält eine vollständige Kopie aller unserer Daten bei sich bereit. Geht das konform mit einer emanzipatorischen Bildung, die die Eigenständigkeit und Selbstbestimmung unserer Zielgruppen betont? Wollen wir all deren Namen, Geburtsdaten, Kontakt-Adressen guten Gewissens und (meist) ohne deren Zustimmung in der Cloud speichern?

Uns als Bildungsagentur haben diese Fragen schon lange umgetrieben, aus einem unkonkreten Unwohlsein wurden seit Snowden handfeste Argumente, die klarstellen, das wir so nicht mehr mit unseren Daten umgehen möchten. Und doch hat es uns viele Monate der Recherche, des Testens und des Verwerfens gekostet, um zu einer für uns akzeptablen Lösung zu kommen.

Die Anforderungen

„Eine Bildungsagentur steigt aus“
eine Artikelreihe zu freien Alternativen zu gängigen Internetdiensten

Video „Interview mit Daniel Seitz zur Post-Prism-Artikelreihe“ von Blanche Fabri, Tessa Moje und Jöran Muuß-Merholz unter CC BY 3.0.

weitere Artikel aus dieser Reihe

Unsere Anforderungen:

  • open-source
  • systemübergreifend (mindestens Windows, Mac, iOS und Android)
  • einfach in der Handhabung, gut integriert im Alltag
  • hohe Sicherheitsstandards
  • auf dem eigenen Server installierbar

Was wir brauchen, sind letztlich drei Ebenen, um die Sicherheit zu gewährleisten:

  • ein Cloud-Speicher, der die Synchronisation der Dateien gewährleistet, Speicherplatz anbietet und ein Konfliktmanagement bei gleichzeitiger Bearbeitung einzelner Dateien von verschiedenen Stellen sicherstellt.
  • Verschlüsselung, die die Dateien und Ordner selbst verschlüsselt.
  • einen sicheren Kommunikationsweg zwischen Cloud und heimischem PC/Mac oder mobilem Endgerät. (Dieser Punkt fällt nicht so stark ins Gewicht, da die Daten schon lokal verschlüsselt werden sollten und erst die verschlüsselten Daten in die Cloud gespeichert werden.)

Lösung Schritt 1: Verschlüsselung mit EncFS

Um Verschlüsselung passiert gerade noch mehr beachtenswertes: Truecrypt, einer der verbreitetsten Verschlüsselungsdienste stellt seinen Betrieb ein – damit fällt eine beliebte Möglichkeit, lokaler Verschlüsselung weg.

Truecrypt ist ein Tool, das häufig für lokale Verschlüsselung eingesetzt wird, das Konzept passt aber nicht richtig zu einer Cloud-Synchronisierung, da eine große Datei als „Container“ erzeugt wird, innerhalb dieses Containers sind die Dateien dann verschlüsselt. Es gibt eine Möglichkeit, das nur die geänderten Daten synchronisiert werden und nicht jedesmal die (z.B. 1 GByte) große Datei, das löst aber nicht das Problem der synchronen Bearbeitung von Dateien und der Versionierung.

Irgendwann sind wir bei encfs gelandet, das häufig von Linux-Usern verwendet wird. EncFS (encryption FileSystem) ist open-source, verwendet AES 256, ist kostenlos und hat ein sehr einfaches, cloud-kompatibles Sicherheitskonzept. Ein Ordner, in dem die Dateien unverschlüsselt lokal auf dem Rechner liegen, wird verschlüsselt in einen zweiten Ordner gespiegelt. Dabei werden selbst (je nach Einstellung) die Ordner- und Dateinamen verschlüsselt, aber eben jede Datei und jeder Ordner einzeln, womit sich die Synchronisation in die Cloud leicht und effektiv sicherstellen lässt und auch eine Dateiversionierung und Konfliktmanagement bei gleichzeitiger Bearbeitung von Dateien leicht umsetzen lässt.

Lösung Schritt 2: Owncloud, A3 oder Dropbox?

Danach war die Frage nach dem Cloud-Dienst. Wir nutzen seit vielen Jahren Dropbox mit zwei bezahlten 100 Gbyte-Accounts, einen für alle TeamerInnen, einen internen für die Leitungsebene.

Im Blick hatten wir auch owncloud, ein open-source-Programm, das wir auch für Kalender und Kontakte im Einsatz haben. Leider funktioniert die Kern-Funktion – Dateien in der Cloud ablegen und mit anderen teilen – nicht sehr gut. Allein Dateien ablegen und synchron halten klappt noch einigermaßen, mit mehreren Personen wird es dagegen schon sehr schwierig und zahlreiche Probleme, verschiedene Dateiversionen etc., tun sich auf. Dann ist noch die Frage des Datenspeichers – 100 GByte plus der ganze Traffic, den die regelmässige Synchronisierung verschiedenster Team-Mitglieder mit sich ziehen, sind nicht gerade trivial. (Manche betreiben ihre eigenen Server, damit mag das gehen. Doch auch hier stellt sich die Frage nach dem Backup-Konzept.) Eine gute Möglichkeit wäre, Amazon S3 (ein riesiger Cloud-Speicher, der sehr günstig angeboten wird von Amazon, auf den viele, viele Webprojekte zurück greifen), da owncloud die Möglichkeit gibt, mit Amazon S3 zu synchronisieren. Das wird unsere zukünftige Lösung, sobald owncloud ohne Fehler funktioniert.

Bis dahin nutzen wir eine der beiden Dropboxen – und stellen unsere Anforderung „auf eigenem Server“ erstmal zurück. Die zweite Dropbox konnten wir abschaffen, da die Daten nun in verschiedenen verschlüsselten Ordnern liegen und je nach Berechtigung des Teamers verschiedene Zugriffe auf die einzelnen Dropbox-Ordner (Projekte, Agentur, Verein, Netzwerk) per passpack (siehe vorheriger Artikel dieser Reihe) zugeordnet werden.

Einschränkungen und Nachteile

Es ließe sich nun einwenden, dass die Software von Dropbox closed-source ist, also ihr Quelltext nicht kontrollierbar ist. Wenn wir auf der Ebene ansetzen würden, könnten wir aber nicht mehr mit Windows, Mac usw. arbeiten. Das ist also nur für die ganz entschiedenen open-source-Aktivisten ein Hinderungsgrund.

Praxiserfahrungen mit Windows und Mac

Die Installation von encfs funktioniert bei Windows-Rechnern ganz einfach: ein Programm wird installiert, verschlüsselter und unverschlüsselter Ordner werden festgelegt, das Passwort des zuvor erzeugten verschlüsselten Ordners angegeben, fertig. Bei Mac, und das ist der große Nachteil, dauert die Installation leider bis zu drei Stunden und ist kompliziert: Ein Paketinstaller muss installiert werden. Xcode, diverse Entwicklertools und die Kommandozeile müssen bemüht werden. Das ist nicht trivial und daran werden Laien scheitern. Für sie gibt es zwei Alternativen. Die Erste: Ein Techniker setzt das einmalig bei jedem Mitarbeiter-Mac um, denn die Handhabung danach ist sehr leicht bzw. kann sogar durch Skripte (kleine Programme, die automatisch Aufgaben ausführen) so automatisiert werden, das die Verschlüsselung mit dem Mac startet. Im Alltag ist also alles bestens, sie bekommen von der Verschlüsselung nichts mehr mit.

Die Alternative ist boxcryptor – ein kommerzielles Programm, das die EncFS-Bibliothek nutzt und den Installationsprozess in ein angenehmes Programm vereinfacht hat. Wie gewohnt ein Programm installieren, fertig. Die Nachteile sind die jährlichen Kosten und die closed-source-Software, sie müssen also der Software vertrauen.

Wenn Sie die Installation wagen wollen, so haben wir ihnen hier unsere Anleitung bereit gestellt – ohne Gewähr, aber inzwischen x-fach überstanden, und wir sind auch im besten Fall professionelle IT-Laien 😉

Dort wird auch erklärt, wie die Daten zu verschlüsseln sind, damit sie auch mit iOS-Geräten und Android gelesen werden können. Das war ein weiterer zentraler Punkt, für uns machen keine Lösungen mehr Sinn, die nicht unsere mobilen Geräte mit einbeziehen.

Eine Erweiterung ist noch unerprobt: Es gibt auch eine Web-Anwendung, um von einem völlig fremden Rechner auf die verschlüsselten Daten per Webbrowser zugreifen zu können. Auch das kann sehr praktisch sein, wir ergänzen unten in den Kommentaren, ob es funktioniert.

Unser Zwischenfazit

Die Suche nach einer Lösung gestaltete sich sehr aufwändig. Die IT-Expert/innen verschlüsseln längst, aber häufig mit Linux als Betriebssystem und selten in der Cloud.

Inzwischen sind wir sehr froh, die beschriebene Lösung gefunden zu haben. Von der aufwändigen (aber mit technischem Basis-Wissen dennoch machbaren) Installation bei Mac abgesehen, ist das Konzept absolut praxistauglich. Fast jede/r benutzt Dropbox, hier müssen wir niemandem etwas erklären – und es funktioniert schlichtweg. (Das Geld für die 100 GByte zahlen wir an der Stelle auch gerne für den guten Service. Die Kritik am Unternehmen teilen wir dennoch, perspektivische Lösung owncloud ist in Sicht).

Uns geht es sehr gut mit dem Wissen, dass ausschließlich wir Zugriff auf unsere Daten haben – und dennoch komfortabel damit arbeiten können. Denn die Verschlüsselung fällt im Alltag nicht auf. So sind wir wieder ein Stück weiter außer Reichweite.

Und Sie?

Welche Lösungen kennen Sie? Sind sie zufrieden damit?
Welche Alternativen gibt es?

Creative Commons Lizenzvertrag Inhalte auf pb21.de stehen i.d.R. unter freier Lizenz (Informationen zur Weiterverwendung).
Der Artikel (Text) auf dieser Seite steht unter der CC BY 3.0 DE Lizenz. Der Name des Autors soll wie folgt genannt werden: Daniel Seitz für pb21.de.
Urheberrechtliche Angaben zu Bildern / Grafiken finden sich direkt bei den Abbildungen.
Über

Daniel Seitz lebt in Berlin, hat Mediale Pfade gegründet und brennt für eine freie, politisierte Gesellschaft, die ihre Verantwortung wahrnimmt. Als Medienpädagoge ist er überzeugt, dass Medienbildung einen wichtigen gesellschaftlichen Anteil zu politischer Teilhabe, Selbstentfaltung und Kreativität leisten kann.