Boxcryptor und Alternativen im Vergleich – Cloud-Verschlüsselung für Teams
Die Cloud-Sicherheitslandschaft hat sich verändert, seit wir mit Boxcryptor an den Start gegangen sind. Inzwischen sind verschiedene Lösungen mit ganz unterschiedlichen Ansätzen auf dem Markt, die jedoch alle das gleiche Ziel haben: Ihre Daten in der Unternehmens-Cloud zu schützen. In diesem Artikel möchten wir Boxcryptor mit anderen Enterprise-Cloud-Sicherheitslösungen vergleichen. Wir klären, welche Vor- und Nachteile die einzelnen Dienste bringen, welche Ansätze der Verschlüsselung und der Schlüsselverwaltung sie wählen und welche Unterschiede sonst noch zwischen den einzelnen Lösungen bestehen.
Im Vergleich enthaltene Dienste sind neben Boxcryptor die Team- und Enterprise-Lösungen von Tresorit und sync.com, sowie Microsofts Azure Information Protection. Wir klären, warum Sie nicht einfach Dropbox, Google Drive oder OneDrive ohne Verschlüsselung nutzen sollten und warum manche der Verschlüsselungslösungen zwar so verkauft werden, doch nicht wirkliche Alternativen sind.
Alle Angaben sind mit Informationen vom 26.08.2019 zusammengestellt.
Boxcryptor
Boxcryptor ist eine Zero-Knowledge-Verschlüsselungssoftware, die der Cloud Ihrer Wahl durch starke Ende-zu-Ende-Verschlüsselung (E2EE) eine zusätzliche Sicherheitsschicht hinzufügt.
Darüber hinaus bietet Boxcryptor als einziger Cloud-Verschlüsselungsanbieter echtes Single Sign-on (SSO) nach dem Zero-Knowledge-Prinzip für Unternehmen an.
Die Firma dahinter: Die Secomba GmbH wurde 2011 in Augsburg von Andrea Pfundmeier und Robert Freudenreich gegründet. Das Unternehmen hat 30 Mitarbeiter und entwickelt ausschließlich Boxcryptor und den Dateitransferdienst Whisply.
Verschlüsselung: Ende-zu-Ende-Verschlüsselung mit AES-256 und RSA-4096, Zero Knowledge
Team-Lizenzen: Company, Enterprise
Kosten für die Team-Lizenzen: ab 10 € pro Nutzer/Monat (Company, bei jährl. Abrechnung)
Unterstützte Provider: 30+ (z.B. Dropbox, Google Drive, OneDrive, Magenta Cloud) und alle Anbieter mit WebDAV-Protokoll, NAS, File Server und Netzwerklaufwerke
Unterstützte Plattformen: Windows, Mac, iOS, Android, Portable-Version (auf Linux verwendbar)
Enterprise-Funktionen: Single Sign-on, Active-Directory-Unterstützung, Audit-Funktionen, Remote Wipe, benutzerdefinierte Richtlinien, Premium-Support, persönlicher Account-Manager, Unterstützung bei der Einrichtung
Sprachen: DE, EN, ES, IT, FR, RU
Weitere Vorteile: Rabatte für NGOs und Bildungseinrichtungen, NAS- und Netzwerklaufwerk-Verschlüsselung zusätzlich zu Cloud-Verschlüsselung
Da Boxcryptor selbst kein Speicheranbieter ist, gehören Funktionen wie Versionierung und Datenwiederherstellung nicht zu unserem eigenen Portfolio. Durch unsere Software werden diese Angebote der Cloud-Anbieter jedoch nicht beeinträchtigt. Das bedeutet: Sie können sich unabhängig von Boxcryptor für den Cloud-Speicher Ihrer Wahl entscheiden und anschließend unsere prämierte Verschlüsselung als zusätzliche Sicherheitsschicht einrichten – ohne Komfortverluste fürchten zu müssen.
Info: Neben den Team-Lizenzen bietet Boxcryptor auch Lizenzen zur privaten und kommerziellen Einzelnutzung an.
Tresorit
Tresorit ist ein Cloud-Speicheranbieter mit integrierter Zero-Knowledge-Verschlüsselung. Der größte Unterschied zu Boxcryptor besteht also darin, dass man Cloud und Verschlüsselung in einem erhält. Andere beliebte Cloud-Speicherdienste wie Dropbox, Google Drive und OneDrive können damit nicht verschlüsselt werden.
Durch die Verwendung von Microsoft-Azure-Infrastruktur sind die Daten auf Servern eines amerikanischen Anbieters gespeichert. Obwohl sich diese in Europa befinden, fallen sie also unter den Einflussbereich des CLOUD-Acts. Das ist dank der starken Verschlüsselungsmethoden nicht unbedingt schlimm, aber es besteht kein echter Vorteil gegenüber der Speicherung von Boxcryptor-verschlüsselten Daten bei Dropbox oder anderen Anbietern.
Die Firma dahinter: Die Tresorit AG ist ein Schweizerisch-ungarisches Unternehmen, das 2011 von drei ungarischen Programmierern gegründet wurde. Im April 2014 folgte die Markteinführung von Tresorit.
Verschlüsselung: Ende-zu-Ende-Verschlüsselung mit AES-256 und RSA-4096, Zero Knowledge
Team-Lizenzen: Business small/regular, Enterprise
Kosten für Teams: ab 12 / 16 / 20 € pro Nutzer/Monat (bei jährl. Abrechnung)
Unterstützte Provider: Eigener Cloud-Dienst, keine Verschlüsselung von externen Anbietern
Unterstützte Plattformen: Windows, Mac, iOS, Android, Linux
Team- und Enterprise-Funktionen: Unbegrenzte Versionierung, Remote Wipe, Benutzerdefinierte Richtlinien, AD-Integration, Custom-Branding
Sprachen: DE, EN, ES, FR, HU
Speicher: 1 TB/Nutzer für Team-Lizenzen
Datenzentrum: EU (IRL/NL) – Microsoft Azure
Info: Tresorit bietet auch Lizenzen für Privat- und Einzelnutzer an.
Sync.com
Ähnlich wie Tresorit bietet die kanadische Firma Sync.com Cloud-Speicher mit integrierter Zero-Knowledge-Verschlüsselung an. Durch eigene Server-Standorte in Kanada fallen auf Sync.com-Servern gespeicherte Daten nicht unter amerikanische Gesetze wie den CLOUD-Act. Sync.com setzt, wie z.B. auch Dropbox, auf die bewährte „Sync-Ordner“-Struktur.
Sync.com unterstützt nach eigener Beschreibung Single Sign-on (SSO). Damit umschreibt die Firma jedoch lediglich den automatisierten Login in die Web-Anwendung des Dienstes, wenn Nutzer bereits im Desktop-Programm eingeloggt sind.
In ihrem Whitepaper zum Datenschutz gibt sync.com außerdem an, sowohl Dateien als auch deren Metadaten zu verschlüsseln. Leider gibt es keine expliziten Informationen darüber, ob auch Dateinamen verschlüsselt werden.
Die Firma dahinter: Sync.com Inc. mit Sitz in Kanada wurde 2011 gegründet und brachte 2015 seine Desktop- und mobilen Apps auf den Markt, seit 2016 werden spezielle Business-Lösungen angeboten.
Verschlüsselung: Ende-zu-Ende-Verschlüsselung mit AES-256 und RSA-2048, Zero Knowledge
Team-Lizenzen: Business Pro / Business Pro Advanced – jeweils ab 2 Nutzern
Kosten für Teams: 5 / 15 $ pro Nutzer/Monat (bei jährlicher Abrechnung)
Unterstützte Provider: Eigener Cloud-Dienst, keine Verschlüsselung von externen Anbietern
Unterstützte Plattformen: Windows, Mac, iOS, Android
Team- und Enterprise-Funktionen: Remote Wipe und Lockout, Team-Ordner, Benutzerdefinierte Richtlinien und Erlaubnis-Management, Admin-Funktionen wie Nutzerpasswort-Management und Aktivitäten-Auditing
Sprachen: EN
Datenzentrum: CA – Eigene Serverstruktur
Weitere Funktionen: Sync Vault ist ein Cloud-exklusiver (cloud-only) Speicherplatz, beispielsweise für Backupdaten. Dateien im Vault werden nicht automatisch synchronisiert und belegen damit grundsätzlich keinen Speicherplatz auf Ihrer Hardware.
Info: Sync.com bietet auch Lizenzen für Privat- und Einzelnutzer an.
Azure Information Protection
Azure Information Protection (AIP) wurde im Juni 2016 von Microsoft gestartet. Zuvor übernahm die Firma das israelisches Startup Secure Islands mit Fokus auf automatischem Datenschutz. AIP ermöglicht Unternehmen, Dokumente und E-Mails zu klassifizieren sowie optional zu schützen. Die Sicherheits-Kennzeichnung wird an die entsprechende Datei geknüpft und ist unabhängig vom Speicher- oder Bearbeitungsort aktiv.
Die Firma dahinter: Microsoft
Verschlüsselung: AES-128/256 (Daten-Verschlüsselung), RSA-2048 (Schlüssel-Schutz), SHA-256 (Zertifizierung)
Team-Lizenzen: AIP für Office 365 / AIP Premium P1 / AIP Premium P2
Kosten für Teams: In Office 365 Enterprise-E3 enthalten / 2 $ / 5 $. Die Lizenzen AIP Premium P1 und P2 sind auch in diversen Software-Bundles enthalten.
Unterstützte Provider: Provider-unabhängiger Schutz
Unterstützte Plattformen: Windows, Mac, iOS, Android
Sprachen: u.a. DE, EN, ES, FR, RU, CN
Team- und Enterprise-Funktionen: Zugriffsschutz durch digitales Rechtemanagement anhand von Schutzklassen, Audit-Funktionen, BYOK/HYOK (verbunden mit einer großen Zahl an Limitierungen, weitere Informationen finden Sie auf der Info-Seite des Anbieters)
Informationen, die Sie schützen, werden niemals an Azure gesendet oder dort gespeichert – es sei denn, Sie speichern die Daten explizit in Azure oder verwenden einen anderen Clouddienst, der sie in Azure speichert. Durch Azure RMS werden die Daten in einem Dokument einfach nicht lesbar für Personen, die keine autorisierten Benutzer und Dienste sind. (Quelle: Microsoft)
Probleme: Nur eine Auswahl an Dateiformaten kann mit nativem Inhaltsschutz versehen werden, bzw. unterstützt nur eine Auswahl an Programmen AIP-Funktionen. Boxcryptor hingegen verschlüsselt Dateien jeglichen Formats. Eine ähnliche Funktion bietet AIP unter der Bezeichnung „Allgemeiner Schutz“. Hierdurch wird eine Datei als Gesamtes klassifiziert und geschützt. Diese erhält dann die Dateinamenerweiterung .PFILE. Allerdings bietet AIP keine Dateinamen-Verschlüsselung. Das heißt sowohl Name als auch Typ einer mit AIP geschützten Datei sind noch im Klartext erkennbar, obwohl der Inhalt selbst geschützt ist. Auch können .PFILE-Dateien unter macOS, iOS und Android nur mit der entsprechenden Viewer-App angesehen werden.
Obwohl AIP Datenspeicherort und Schlüsselspeicherort trennt, kann außerdem nicht von Zero-Knowledge-Verschlüsselung gesprochen werden: Microsoft hat auf alle gespeicherten Schlüssel Zugriff.
Vorteile: Schutz unabhängig von Speicherort, Abstufung der Zugriffsrechte möglich (Zugriffs-Policies werden dem Dokument separat hinzugefügt und nicht durch die Dokument-Verschlüsselung beeinflusst), Klassifizierung erfolgt im jeweiligen Programm.
Info: Azure Information Protection bietet auch eine Free-Lizenz zur Nutzung von AIP-Inhalten. Die kostenlose Funktion ist jedoch auf das Lesen von Dateien beschränkt.
Überblick: Alle Anbieter im Vergleich
Der Vergleich zeigt, dass wir mit Boxcryptor nicht mehr alleine sind, wenn es um den Schutz von Cloud-Daten geht. Dennoch sollten bei der Wahl eines geeigneten Verschlüsselungsdienstes vor allem die entscheidenden, sicherheitsrelevanten Funktionen im Vordergrund stehen.
Worauf Sie achten sollten
Wichtig ist zunächst die grundsätzliche Frage, welche Algorithmen und Prozesse verwendet werden. Nur starke Algorithmen wie AES-256 und RSA-4096 können verlässlichen Schutz nach dem aktuellen Stand der Technik bieten. Auch sollte der Unterschied zwischen Server-seitiger und Client-seitiger Verschlüsselung immer bedacht werden. Nur wenn Daten im Client – also auf Ihrem Gerät –verschlüsselt und erst im Anschluss an einen Cloud-Speicher übertragen werden, kann echte Zero-Knowledge-Verschlüsselung überhaupt garantiert werden. Um dies zu gewährleisten, empfiehlt es sich im Zweifel immer, Verschlüsselung und Speicher zu trennen.
Dafür reicht es im Übrigen nicht aus, einfach nur eigene Schlüssel zu verwenden (Bring Your Own Key, BYOK). Obwohl manche Anbieter versprechen, dass Sie damit die Kontrolle über Ihre Schlüssel behalten, werden diese trotzdem an den Dienst übertragen. Anschließend arbeitet der Anbieter in einem zertifizierten Umfeld (FIPS 140-2) mit Ihrem Schlüssel – er liegt somit nicht mehr bei Ihnen, obwohl Sie ihn natürlich selbst bereitgestellt haben. BYOK-Lösungen entsprechen damit ebenfalls nicht dem Zero-Knowledge-Prinzip nach herkömmlichem Verständnis.
Skeptisch sollten Sie auch dann werden, wenn nicht innerhalb weniger Klicks und ohne große Recherche eine klare Beschreibung der Verschlüsselungsprozesse und -algorithmen beim jeweiligen Anbieter zu finden ist. Bei Boxcryptor finden Sie diese zum Beispiel gegliedert in Schlüsselverwaltung, eine Übersicht über unsere verwendeten Algorithmen, sowie einen allgemeinen technischen Überblick. Zudem bieten wir in unserem Hilfe-Bereich eine größere Auswahl an detaillierten Ablauf-Beschreibungen und Schritt-für-Schritt-Anleitungen an.
Zero Trust ist nicht Zero Knowledge
Im vorherigen Absatz weisen wir auf die wichtige (räumliche) Trennung von Daten und Schlüsseln hin. Dieser Regel folgen mehrere Anbieter unter dem „Zero-Trust“-Label. Dennoch sollten Sie dieses Versprechen nicht mit dem Zero-Knowledge-Prinzip verwechseln.
Zero Trust bedeutet nur, einer Partei nicht die volle Verantwortung zu überlassen. Dies können Anbieter erreichen, indem sie entweder Daten und Schlüssel getrennt halten oder nur eines von beidem tatsächlich selbst speichern. In beiden Fällen hat der Schlüssel-Host theoretisch jedoch Zugriff auf die Schlüssel und der Daten-Host auf die (verschlüsselten) Daten.
Stellen Sie sich das Ganze wie einen Botengang vor: Bote A trägt die verschlossene Kassette, Bote B den Schlüssel. Keiner der beiden Boten kann auf die Daten selbst zugreifen, aber würden beide parallel abgefangen oder träfen sich auf dem Weg heimlich, wäre die Verschlüsselung abermals wertlos.
Boxcryptor unterstützt alleine dadurch schon „Zero Trust“, dass es unabhängig vom Cloud-Speicheranbieter agiert. Die Verschlüsselung findet auf Ihrem Endgerät statt. Zusätzlich sichert Boxcryptor aber nicht nur die Daten, sondern auch den Datenschlüssel – durch Ihr persönliches Passwort, welches wir niemals einsehen können. Auf diesem Weg garantieren wir, dass in jedem Fall nur Sie (oder von Ihnen autorisierte Personen) Zugriff auf verschlüsselte Informationen erhalten. Dieses Versprechen bezeichnen wir als Zero-Knowledge-Garantie. Damit schließen wir eine Hintertür für Dritte aus. Wie diese Lösung genau funktioniert, können Sie jederzeit hier im Detail nachlesen.
Fazit: Keine Kompromisse bei der Sicherheit Ihrer Daten!
Obwohl starke Verschlüsselungsmethoden helfen könnten, ist das Problem, dass die meisten wirklich effektiven Verschlüsselungsmethoden die Web-Interfaces (der Cloud-Speicheranbieter) unverwendbar machen würden. (übersetzt)
Mit diesen Worten kritisierte der Cloud-Anbieter ownCloud die mangelhafte Sicherheit vieler Anbieter, insbesondere im Public-Cloud-Sektor. Unser Vergleichsbeitrag soll Ihnen dabei helfen, lückenhafte Lösungen als solche zu erkennen.
Mit einer zusätzlichen Schutzschicht, also einer speicherunabhängigen und nutzerseitigen Verschlüsselung, können Sie in jedem Fall selbst eine starke Maßnahme ergreifen. Der Vorteil von Boxcryptor ist, dass die Funktionalität der von Ihnen bevorzugten Cloud-Speicherdienste nicht beeinträchtigt wird. Dank On-the-fly-Verschlüsselung arbeiten Sie wie gewohnt in vertrauter Umgebung. Boxcryptor kümmert sich im Hintergrund um den Datenschutz. Für welche Lösung Sie sich am Ende aber entscheiden: Bitte machen Sie keine Kompromisse bei der Sicherheit Ihrer Daten.