Comparison of Security Measures at Dropbox, Google Drive and OneDrive for Business
Rebecca Sommer
Rebecca Sommer | Cyber Security Writer
@RJ_Sommer
Thursday, April 22, 2021

GDPR Compliant is Not Enough – Privacy and Data Security at the 3 Biggest Cloud Providers

In 2018, the GDPR was everywhere. Suddenly, even people who had nothing to do with data security or IT security had to deal with the issue. At one point, all services that I used, privately or in the office, started sending out emails, assuring me that they updated their privacy policies according to the new regulation.

But now I ask myself: What exactly happened there? Did all of the big players secure everything in a way that allows me to use their services and sleep well at night, knowing my data is secure? The updated privacy policies at least suggest that many end users feel this way.

Google, Microsoft, Dropbox, and the other big cloud providers are apparently GDPR compliant, since they can offer their services in the EU after the GDPR. But my question remains: Is the data secure, or did the providers just change the wording in their policies or internal procedures, to be protected enough and prepared in case of lawsuits?

This question is especially relevant for sensitive company data that is stored in clouds. We took a closer look at the privacy policies and the security setup of the three biggest cloud storage providers Google, Microsoft, and Dropbox. We explain in which way your data is secure in Dropbox Business, Google Drive in Google Workspace (former GSuite) and OneDrive for Business, and in which way it is not.

Tabla de contenido

Do You Pay in Euro, Dollar, or Data?

To figure out if you want to entrust the big cloud providers with your data, it helps to know about their business model and about the purpose behind their offers.

For example, if you are a free user of Google Drive and store your pictures there, they might be scanned and used as data fodder for Google’s image recognition software and to improve machine learning:

We use the information we collect in existing services to help us develop new ones. For example, understanding how people organized their photos in Picasa, Google’s first photos app, helped us design and launch Google Photos. (Google/Privacy)

Data is also often used to personalize ads. With the collected data, providers can create a very precise profile of each user, to display the right products at the exact right time and place.

Especially when you use free cloud storage, you should be aware that you are paying for storage space with your data and that the companies make use of this data. They may only use it to convert you into a buying customer, for example at Dropbox, where cloud storage is their only business. Google or Microsoft, however, offer many more services and your data might also be used for other purposes. In their privacy policies, they are quite outspoken about that, for example at Google Drive:

We collect information to provide better services to all our users — from figuring out basic stuff like which language you speak, to more complex things like which ads you’ll find most useful, the people who matter most to you online, or which YouTube videos you might like.

Or at OneDrive:

Microsoft uses the data we collect to provide you with rich, interactive experiences. (…) We also use the data to operate our business, which includes analyzing our performance, meeting our legal obligations, developing our workforce, and doing research.

When you store your data at Dropbox Business or any other company cloud, your data might be treated differently, depending on the setup of your company cloud and on business agreements you sign. The providers want you to trust them and choose them over a competitor. Therefore, they will do their best to gain your trust with good security.

Data Protection Measures in Dropbox Business, OneDrive for Business, and GoogleDrive in Google Workplace in Comparison

DSGVO-konform ist nicht genug – Datenschutz und Datensicherheit der 3 größten Clouds

Die DSGVO ist seit 2018 in aller Munde. Selbst Menschen, die sonst überhaupt nichts mit Datenschutz oder IT-Sicherheit am Hut haben, mussten sich seitdem mit dem Thema auseinandersetzen. Von allen Unternehmen, deren Dienste ich im Büro und privat nutze, landeten nach und nach E-Mails im Postfach, die mir versicherten, dass sie ihre Systeme aktualisieren und die Datenschutzbestimmungen gemäß der neuen Verordnung aktualisieren.

Doch ich stelle mir die Frage, was ist nun tatsächlich passiert? Haben tatsächlich auch die großen Player plötzlich alles so abgesichert, dass man bedenkenlos deren Dienste nutzen kann? Die aktualisierten Datenschutzerklärungen könnten den Eindruck hinterlassen. Ich habe das Gefühl, dass sich viele Verbraucher nun sicher fühlen.

Auch Google, Microsoft, Dropbox und Co. sind so abgesichert, dass sie ihre Dienste weiterhin in Europa anbieten können. Doch die Frage bleibt: Sind die Daten komplett sicher oder haben die Anbieter nur die rechtliche Verantwortung umverteilt?

Besonders relevant ist das natürlich für sensible Firmendaten. Wir haben uns die Datenschutzerklärungen und Sicherheitsvorkehrungen der drei großen Cloud-Anbieter Google, Microsoft und Dropbox angesehen. Erfahren Sie, wovor Dropbox Business, Google Drive im Google Workplace (ehemals GSuite) und OneDrive for Business Ihre Unternehmensdaten schützen und wovor nicht.

Tabla de contenido

Bezahlen Sie in Euro, Dollar oder Daten?

Um sich darüber im Klaren zu werden, ob man den großen Cloud-Anbietern sensible Daten anvertrauen will, lohnt es sich, deren unterschiedliche Geschäftsmodelle und den Zweck hinter verschiedenen Angeboten zu kennen.

Wenn Sie Ihre Bilder als privater Anwender beispielsweise bei Google Drive speichern, werden Ihre Daten eventuell als Datenfutter verwendet, um die Bilderkennungssoftware von Google zu verbessern und Machine Learning voranzubringen:

Wir nutzen die im Rahmen unserer bestehenden Dienste erhobenen Daten zur Entwicklung neuer Dienste. Beispielsweise halfen uns Erkenntnisse darüber, wie Personen Fotos in Picasa, der ersten Foto-App von Google, organisiert haben, bei der Entwicklung von Google Fotos. (Google/Privacy)

Außerdem werden die erhobenen Daten oft zu Werbezwecken verwendet. Mit den gesammelten Informationen kann ein besonders feingranulares Werbeprofil erstellt werden, um jedem die passenden Produkte zur passenden Zeit am passenden Ort anbieten zu können.

Besonders bei den kostenlosen Cloud-Speichern muss man sich darüber im Klaren sein, dass man als Anwender den Speicher mit seinen Daten bezahlt und dass diese auch verwendet werden. Dieses Recht räumen sich die Clod-Anbieter ohne große Umschweife in ihren Datenschutzbestimmungen ein. Beispielsweise bei Google Drive:

Wir erheben Daten, um allen unseren Nutzern bessere Dienste zur Verfügung zu stellen – von der Feststellung grundlegender Informationen wie zum Beispiel Ihrer Sprache bis hin zu komplexeren Fragen wie zum Beispiel Werbung, die Sie besonders nützlich finden, den Personen, mit denen Sie online am häufigsten zu tun haben, oder den YouTube-Videos, die Sie interessant finden.

Bei OneDrive für die private Nutzung heißt es im Privacy Statement:

Microsoft verwendet die Daten, die wir erfassen, um Ihnen umfangreiche, interaktive Benutzererfahrungen zu ermöglichen. (…) Wir verwenden die Daten ebenfalls für unser Unternehmen, inklusive der Analyse und Leistung, der Einhaltung unserer gesetzlichen Verpflichtung, für unsere Belegschaft sowie zur Entwicklung.

Speichern Sie hingegen Ihre Daten bei Dropbox Business oder bei einer beliebigen anderen Unternehmens-Cloud, dann werden die hochgeladenen Daten (je nach Setup der Unternehmens-Cloud) anders behandelt.

Datenschutzmaßnahmen der Cloud-Anbieter im Vergleich

Die großen Cloud-Anbieter haben bieten ausgereifte Lösungen und treffen ähnliche Sicherheitsvorkehrungen. Sie haben Maßnahmen implementiert, um Business Continuity zu gewährleisten: Die Server sind so gut abgesichert, dass es sehr unwahrscheinlich ist, dass Daten aufgrund von defekter Hardware oder durch Umwelteinflüsse verloren gehen. Auch wenn es um Verschlüsselung und Zugriffsbegrenzung geht, haben die Cloud-Anbieter ein sehr ähnliches Setup, das sie auch bei Neuerungen schnell dem der Konkurrenz anpassen. Wenn Google beispielsweise laut eigener Aussage als erstes „Perfect Forward Secrecy“ einführt, ziehen Dropbox und OneDrive ziemlich schnell nach.

Infrastruktur und Rechenzentren der Cloud-Anbieter

Der folgende Abschnitt gibt einen Überblick, über die Sicherheitsvorkehrungen der drei großen Anbieter. Ich habe die Quellen zum Weiterlesen verlinkt. Alle Maßnahmen zu nennen, welche die Anbieter ergreifen, um die Sicherheit der Server und der darauf gespeicherten Daten der Anwender zu gewähren, würde den Rahmen sprengen.

OneDrive

Microsoft beschreibt auf den Seiten zur OneDrive-Sicherheitsarchitektur wie verhindert wird, dass Fremde in die Datenzentren eindringen:

Nur eine begrenzte Anzahl wichtiger Mitarbeiter hat Zugang zu den Rechenzentren. Ihre Identitäten werden anhand mehrerer Authentifizierungsfaktoren verifiziert, darunter Smartcards und biometrische Daten. Es gibt Sicherheitsbeauftragte vor Ort, Bewegungsmelder und Videoüberwachung. Warnungen bei Angriffserkennung überwachen anomale Aktivitäten.

Zudem werden die Daten an mindestens zwei verschiedenen Rechenzentren, die mehrere hundert Kilometer voneinander entfernt liegen, gespeichert. Im Fall eines Erdbebens oder anderen Naturkatastrophen ist es unwahrscheinlich, dass beide (bzw. alle) Speicherorte betroffen sind.

Google Drive

Google betont, dass alle Server und jegliche Hardware von Google selbst kommen, um bestmögliche Sicherheitsstandards und Kontrolle umzusetzen. In einem englischsprachigen Whitepaper gibt es außerdem nähere Informationen über die verschiedenen Sicherheitsschichten der Google-Infrastruktur. Unter anderem wird aufgeführt, wie Google die Geräte der Mitarbeiter schützt, damit diese nicht für Angriffe von außen benutzt werden können, oder wie gezielten Phishing-Angriffen auf Google-Mitarbeiter entgegengewirkt wird.

We make a heavy investment in protecting our employees’ devices and credentials from compromise and also in monitoring activity to discover potential compromises or illicit insider activity. This is a critical part of our investment in ensuring that our infrastructure is operated safely.

Ähnlich wie bei OneDrive wird betont, dass der Zugriff der Mitarbeiter auf die Server und Daten so stark wie möglich minimiert wird. Google geht noch einen Schritt weiter und nennt als Ziel vollständige Automatisierung von Prozessen, was langfristig den Zugriff durch Menschen unnötig machen würde.

Dropbox

Dropbox bietet ebenfalls ein Whitepaper über die Datensicherheit bei Dropbox Business an, in dem beispielsweise beschrieben wird, wie einmal im Jahr die Business Continuity auf die Probe gestellt und auf Schwachstellen geprüft wird, um im Ernstfall vorbereitet zu sein.

Die Daten von Dropbox und Dropbox-Nutzern werden in Rechenzentren von Drittanbietern in den USA gespeichert. Diese Drittanbieter sind für die Serversicherheit zuständig. Die Sicherheitsvorkehrungen werden einmal im Jahr von Dropbox getestet.

Gut zu wissen: Ab einer Lizenz von 250 Nutzern können die Daten auch in europäischen Rechenzentren gespeichert werden, und zwar bei Amazon Web Services in Frankfurt. Dateien und Metadaten werden auf unterschiedlichen Servern gespeichert.

Verschlüsselung in der Dropbox, bei Google Drive und OneDrive

Alle drei Anbieter haben ein ähnliches Setup bei der Verschlüsselung von Cloud-Daten. Alle verschlüsseln ruhende Daten (die auf den Servern abgelegt sind) mit AES mit 256-Bit bei OneDrive und Dropbox bzw. AES mit 128-Bit bei Google Workplace. Dies entspricht dem Stand der Technik, da es die derzeit sicherste Art ist, Daten zu verschlüsseln. OneDrive verwendet zusätzlich Festplattenverschlüsselung mithilfe von BitLocker-Laufwerksverschlüsselung.

Während der Datenübertragung wird bei Dropbox, Google Drive und OneDrive SSL/TLS-Verschlüsselung verwendet, was ebenfalls derzeit die beste Lösung nach Stand der Technik ist.

Ein weiterer Schutzmechanismus, den Google laut eigener Aussage zuerst eingeführt hat, ist Perfect Forward Secrecy (PFS). Diese Technologie sorgt dafür, dass private SSL-Schlüssel nicht für Sitzungen verwendet werden können, die in der Vergangenheit liegen. Konkret: Falls ein Angreifer an einen SSL-Schlüssel geraten sollte, dann kann dieser nicht genutzt werden, um früheren Datenverkehr zu entschlüsseln.

Wichtig: Es ist entscheidend, dass Daten nicht nur bei der Übertragung vom Endgerät in die Cloud geschützt sind. Mithilfe von Ende-zu-Ende-Verschlüsselung sind Daten während des Transportes und am Speicherort durchgehend geschützt. So kann gewährleistet werden, dass Personen ohne Zugriffsberechtigung keine Chance haben, an die Daten zu kommen. Da nur wenige Cloud-Anbieter Ende-zu-Ende-Verschlüsselung anbieten, sollten sich Nutzerinnen und Nutzer nach einer geeigneten zusätzlichen Verschlüsselungslösung umsehen. So bleiben Ihre Daten vom Absenden des lokalen Gerätes bis in die Cloud konstant verschlüsselt und geschützt.

Schlüsselverwaltung

OneDrive for Business

OneDrive bietet eine Funktion an, mit der man die eigenen Schlüssel in Microsofts Azure Key Vault sichern kann.

Mit Customer Key stellen Sie die Stammverschlüsselungsschlüssel für Ihre Microsoft 365 ruhenden Daten auf Anwendungsebene bereit und steuern sie. Daher haben Sie die Kontrolle über die Schlüssel Ihrer Organisation.

Google Drive

Google nutzt ebenfalls den eigenen Key Management Service(KMS) für die Schlüsselverwaltung:

Use customer-managed encryption keys (CMEK) to control the encryption of data across Google Cloud products while benefiting from additional security features such as Google Cloud IAM and audit logs.

Dropbox Business

Dropbox verwaltet die Verschlüsselungsschlüssel dezentral:

Die Key Management-Infrastruktur wurde mit betrieblichen, technischen und verfahrenstechnischen Sicherheitsmaßnahmen mit sehr begrenztem Direktzugriff auf Schlüssel entwickelt. Die Schlüssel werden dezentral an verteilten Standorten generiert, ausgetauscht und gespeichert.

Wovor Daten in der Cloud nicht geschützt sind

Die oben beschriebenen Lösungen zur Schlüsselverwaltung sind technisch ausgereift und schützen Ihre Schlüssel vor Angriffen von außen. Doch ein zentrales Problem bleibt bei allen bestehen: Die Cloud-Anbieter haben Zugriff auf die Schlüssel und somit auch Zugriff auf die verschlüsselten Daten.

So ist beispielsweise Azure ebenfalls ein Microsoft-Produkt. Theoretisch kann Microsoft also auf die dort verwalteten Schlüssel zugreifen. Das ist beispielsweise dann relevant, wenn Informationen an Behörden herausgegeben werden müssen. Google nutzt sein eigenes Key Management System und kann deswegen auf die Schlüssel zugreifen. Und auch Dropbox kann die dezentral gespeicherten Schlüssel abrufen.

Dass die Cloud-Anbieter aufgrund ihres technischen Setups auf die in der Cloud gespeicherten Daten zugreifen können, ist kein Geheimnis. Wenn Behörden also die Herausgabe von Daten fordern, müssen Microsoft, Google, Dropbox und Co. dem Folge leisten. Selbst wenn die Daten verschlüsselt sind, kann der Anbieter darauf zugreifen, da er die Daten selbst verschlüsselt hat und sie aus diesem Grund auch wieder entschlüsseln kann.

Der Anbieter hat die Schlüssel, er hat damit auch die Macht. Durch angestrebte Gesetze wie den CLOUD Act müssen die Anbieter auch gegen ihren Willen Nutzerdaten herausgeben. Anders ausgedrückt: Unbefugte Dritte können auf Ihre Daten zugreifen. Auch wenn es nur Microsoft-, Dropbox- oder Google-Mitarbeiter, bzw. Behörden sind.

Ideal ist die Trennung von Verschlüsselung und Speicher. Ein Profi für Servermanagement und Synchronisation kümmert sich um den Speicher und die Verfügbarkeit der Daten (Datensicherheit). Ein unabhängiger Profi für Verschlüsselung kümmert sich um Zero-Knowledge-Verschlüsselung (Datenschutz). So erhalten Sie das Beste aus beiden Welten und die volle Kontrolle.

Mit Zero-Knowledge-Verschlüsselung bleiben die Verschlüsselungsschlüssel entweder auf Ihrem Gerät oder sie werden, wenn eine Übertragung nötig ist, verschlüsselt, bevor sie an den Verschlüsselungsanbieter geschickt werden. So kann der Anbieter diese nicht benutzen, um an Ihre Daten heranzukommen. Selbst bei Behördenanfragen wäre der Anbieter nicht in der Lage, Ihre Daten oder Schlüssel herauszugeben.

DSGVO-Konformität leicht gemacht

Alle drei großen Clouds bieten Verschlüsselung nach Stand der Technik und können deshalb Ihren Service auch nach Inkrafttreten der DSGVO in Europa anbieten. Doch ob das tatsächlich eine ausreichende technische und organisatorische Maßnahme (TOM) im Sinne der DSGVO ist, darüber lässt sich natürlich streiten. Wir sagen nein, denn die Verhinderung des Zugriffs von unbefugten Dritten ist nicht einwandfrei gewährleistet. Erst mit Zero-Knowledge-Standard ist Ihre Cloud zuverlässig vor allen unbefugten Zugriffen geschützt.

Besonders in Unternehmen, die mit biometrischen oder Gesundheitsdaten – und daher besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO – arbeiten, empfiehlt sich nach Ansicht des Datenschutzexperten Rechtsanwalt Wolfgang Schmid von der Kanzlei SCHMID FRANK, besondere Vorsichtsmaßnahmen zu treffen, da hier der Verantwortliche zur Einhaltung spezifischer Maßnahmen zur Wahrung der Interessen der betroffenen Person verpflichtet ist. Boxcryptor trifft hier erforderliche Maßnahmen nach § 22 BDSG neu.

Rechtsanwalt Schmid nennt auch das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), welches ein konkretes Ergreifen angemessener Geheimhaltungsmaßnahmen durch einen Inhaber eines Geschäftsgeheimnisses fordert. Diese können neben vertraglichen Maßnahmen wie Vertraulichkeitsvereinbarungen auch technische Sicherheitsmaßnahmen sein.

Die Verschlüsselung und das technische Setup der Cloud-Anbieter hat sich seit Inkrafttreten der DSGVO nicht grundlegend geändert und auch nach Inkrafttreten der DSGVO bieten diese Anbieter keine Ende-zu-Ende-Verschlüsselung mit Zero Knowledge. Alle garantieren DSGVO-Konformität, doch das bedeutet nicht, dass alle Bedrohungsszenarien für Ihre Daten in der Cloud abgedeckt sind.

Werden Sie selbst aktiv und fügen Sie Ihrer Cloud mit Boxcryptor eine weitere Sicherheitsschicht hinzu. Boxcryptor ist für die Nutzung mit Dropbox, Google Drive und OneDrive optimiert und ist sowohl für kleine als auch für große Teams bestens geeignet. Auf unserer Webseite können Sie im technischen Überblick und auf unseren Seiten zur Verschlüsselung und Schlüsselverwaltung nachlesen, wie wir Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge-Standard umsetzen. So garantieren wir, dass die Kontrolle über Ihre Unternehmens-Cloud vollständig in Ihren Händen liegt. All of them take similar measures to guarantee business continuity. The servers are well-protected in a way that makes it highly unlikely that data is lost due to faulty servers or environmental causes. When it comes to encryption and protection against third-party access, the setup is very similar as well. When one provider implements something new, the others follow quite quickly. For example, Google implemented Perfect Forward Secrecy first but Dropbox and the rest were quick in adopting it as well.

Infrastructure and Data Centers

The following chapter gives a quick overview over the security measures of the three biggest providers and points you to the sources for further reading. To list every precautionary measure to enhance security of the stored data, however, is beyond the scope of this article.

OneDrive for Business

Microsoft describes on their online pages on the issue of data center security, how they prevent strangers to access the facilities:

Only a limited number of essential personnel can gain access to data centers. Their identities are verified with multiple factors of authentication, including smart cards and biometrics. There are on-premises security officers, motion sensors, and video surveillance. Intrusion detection alerts monitor anomalous activity.

Another important security measure is that all data is stored in at least two different places, several hundred miles apart. This way, an earthquake or any other environmental catastrophe would most likely not affect both places and the data would be secure.

Google Drive in Google Workplace (former GSuite)

Google stresses that all hardware and all servers are Google-made to have the highest possible control and security standards. They provide a detailed whitepaper that contains information on the different security layers of the Google infrastructure. One focal point of this whitepaper is how the devices of Google employees are protected, to prevent phishing attacks and other attempts to get access to the Google universe.

We make a heavy investment in protecting our employees’ devices and credentials from compromise and also in monitoring activity to discover potential compromises or illicit insider activity. This is a critical part of our investment in ensuring that our infrastructure is operated safely.

Similar to OneDrive, access of employees to the servers and data is minimized as much as possible. Google goes one step further in planning to completely automate all processes to make human access unnecessary. However, this is probably still a long way off.

Dropbox Business

Dropbox offers a Whitepaper, about the security at Dropbox Business as well. One Chapter describes how once a year business continuity is tested to find possible vulnerabilities. This way, the provider wants to be prepared in case of an emergency.

The data of Dropbox and Dropbox users is stored at server centers of third-party providers in the US. These providers are responsible for server security, but Dropbox tests their security measures once a year. Companies with over 250 users can store their data in Europe. The European servers are hosted by Amazon Web Services and located in Frankfurt, Germany. As an additional security precaution, data and meta data are stored on different servers.

Encryption of Dropbox, Google Drive, and OneDrive

All three providers have a similar (almost identical) setup when it comes to the encryption of cloud data. All data at rest is encrypted with AES encryption, with a length of 256 bits at OneDrive and Dropbox, and 128 bits at Google Workplace. This meets the state of the art and is therefore one of the most secure ways to encrypt data at rest. OneDrive implemented additional full volume encryption with BitLocker.

Data in transit is encrypted with SSL/TLS encryption by all three providers, which as well is the most common and secure solution for data in transit, at the moment. Another security feature that according to Google, they implemented first, is Perfect Forward Secrecy (PFS). With PFS a private SSL key cannot be used for sessions that occurred in the past. So even if someone got access to an SSL key, he cannot use it to decrypt older traffic.

However, you should make sure that data is not only protected during transfer from the end device to the cloud. With the help of end-to-end encryption, data is protected during transport as well as at the storage location itself. This ensures that people without authorized access have no chance of accessing your data. Since only a few cloud providers encrypt your data end-to-end, users should look for suitable encryption solutions. This way, your data remains continuously encrypted and protected from the moment it is sent from the local device to the cloud.

Key Management

OneDrive for Business

OneDrive offers a feature that allows business clients to store their keys in Microsoft Azure Key Vault:

With Customer Key, you provide and control the root encryption keys for your Microsoft 365 data at-rest at the application level. As a result, you exercise control over your organization's keys.

Google Drive

Google also uses its own Cloud Key Management Service for Key Management:

Use customer-managed encryption keys (CMEK) to control the encryption of data across Google Cloud products while benefiting from additional security features such as Google Cloud IAM and audit logs.

Dropbox Business

Dropbox has a decentralized key management system in place:

Dropbox’s key management infrastructure is designed with operational, technical, and procedural security controls with very limited direct access to keys. Encryption key generation, exchange, and storage is distributed for decentralized processing.

Your Data is Not Protected From One Crucial Threat

All these key management solutions are technically sound and protect your data from many attacks and outside threats. But one central issue remains with all of them. Azure is a Microsoft product just as OneDrive Business and therefore, Microsoft can access the keys. Google is using its own Key Management System (KMS), and Dropbox self-manages the keys as well. Hence, all providers are in a position to theoretically access all data of their customers.

That cloud providers can access customer data due to their technical setup is no secret. They can (and have to) use the keys to give out data when governments request cloud customer data and of course, Microsoft, Google and Dropbox have to comply. Even when data is encrypted, the provider can access the data because they have the keys to decrypt it. Thanks to legislation like the CLOUD Act and LAED Act, providers have to hand over user data against their will. Unauthorized third parties can therefore access your data, even if it is just Microsoft, Dropbox, or Google employees.

The ideal solution is the separation of encryption and storage. One expert takes care of storage and synchronization, the other independent expert takes care of encryption with zero knowledge standard. This way you have full control and the best of two worlds.

With zero knowledge encryption the encryption keys either stay on the user’s device, or, when transfer is technically necessary, the keys are encrypted on the device, before they are sent to the encryption provider. This way, the provider cannot use them to decrypt the data, even when governments should request cloud customer data.

Take GDPR Compliance Into Your Own Hands

All three providers offer state-of-the-art encryption. For that reason, they can still offer their services in Europe, even after the GDPR became effective in 2018. Whether the offered encryption really is an appropriate technical or organizational measure (TOM), to prevent third-party access as demanded by the GDPR, is debatable. We say no, since third parties can access the data. Only zero knowledge encryption reliably protects the data in a cloud from unauthorized access.

Encryption and the technical setup of the cloud providers did not change since the GDPR became effective. All providers guarantee GDPR compliance, but that does not mean that your cloud data is protected from all threats.

Become active yourself and add an extra layer of security to your cloud. Boxcryptor is optimized for the use with Dropbox, Google Drive, and OneDrive, and is ideal for teams and organizations of all sizes. On our website, we offer extensive information on our technical setup, details on our encryption as well as key management. Find out how we implemented Boxcryptor’s end-to-end encryption with zero knowledge standard. This way we guarantee that full control over your company data remains in your hands.

Proteja su nube con Boxcryptor: conozca todo sobre Boxcryptor en nuestra prueba gratuita de 14 días

Comience a proteger sus datos en la nube con el cifrado de extremo a extremo que ofrece Boxcryptor. Pruebe todas las funciones que ofrece Boxcryptor Company y Boxcryptor Enterprise durante 14 días.

La prueba es gratuita y puede comenzar a utilizar Boxcryptor de inmediato. No se necesita ninguna configuración adicional tras finalizar el período de prueba.

Comience la prueba de 14 días
Compartir esta publicacion