Boxcryptor verschwindet in der Kiste

Dropbox kauft immer wieder gern empfoh­lene Ver­schlüs­se­lungs­soft­ware Box­cryptor. Das bedeutet für uns Nutzer leider das Aus: Warum das so ist – und was es für Aus­weich­mög­lich­keiten gibt.

Eines der wirklich klugen und nützlichen Hilfsmittel für die Cloud, das ich immer mal wieder empfohlen habe, ist Boxcryptor: Diese Software verschlüsselt Dateien lokal, bevor sie auf Cloudablagen wie Dropbox, OneDrive von Microsoft, Google Drive oder Box hochgeladen werden.

Das ist angewandter Selbstschutz: Statt sich zu fragen, ob die Betreiber eines Clouddienstes ihre Nasen in Dateien stecken, die sie nichts angehen, legen wir selbst Hand an und stellen sicher, dass neugierige Mitarbeiter, Bots, Geheimdienste, Datendiebe oder wer auch immer bloss eine unverständliche Ansammlung von Bits und Bytes zu sehen bekommen. Denn wir können uns in der digitalen Welt auf wenige Dinge verlassen – doch ein Ding, auf das wir bauen dürfen, ist die Verschlüsselung.

Nun habe ich Mitte Dezember eine unerfreuliche Mitteilung erhalten: In dem Mail heisst es, mein Boxcryptor-Konto werde per 31. Januar 2023 gesperrt. Ab dann werde die Software nicht mehr funktionieren. Und wie im E-Mail angedeutet wird, sind Dateien, die bis dahin nicht entschlüsselt wurden, nicht mehr zugänglich.

Datenverlust scheint nicht ausgeschlossen

«Vielen Dank und bitte gehen Sie jetzt weg.»

Das ist ein rabiates Vorgehen: Man kann sich zwar auf den Standpunkt stellen, dass sechs Wochen Vorlauf ausreichend sein müssten, um die Daten abzuziehen. Es kommt allerdings vor, dass Leute nicht immer Gelegenheit haben, sich zeitnah um Mails zu kümmern. Sie kommt vor, dass Menschen krank sind, im Spital liegen oder sich – deutlich erfreulicher – auf Weltreise begeben haben. Darum bewahrheitet sich einmal mehr die Regel, dass uns keine Daten gehören, die wir nicht selbst unter Kontrolle haben.

Der Grund für den uncharmanten Rausschmiss ist auf der Website zu lesen, in einem Brief von den Gründer:innen Andrea Pfundmeier und Robert Freudenreich. Er besagt, dass sich Boxcryptor Dropbox anschliesst:

Dropbox erwirbt unsere IP-Technologie. Unsere neue Aufgabe wird es sein, diese Technologie nativ in das Dropbox-Produkt einzubinden, um Millionen von Business-Nutzerinnen und -Nutzern weltweit Ende-zu-Ende-Verschlüsselung mit Zero-Knowledge anbieten zu können.

Die Nutzerinnen und Nutzer sind nicht mehr erwünscht

Das ist schön fürs Unternehmen Secomba, das in Augsburg zu Hause ist, aber schlecht für die privaten Anwender:innen. Denn es besagt unter dem Strich, dass sie nicht mehr erwünscht sind. Die FAQ im gleichen Dokument erscheinen mir auch beschönigend. Es heisst:

Bestehende Kundinnen und Kunden werden jedoch während der Laufzeit ihrer Verträge weiterhin von uns unterstützt.

Das mag im Wortlaut stimmen, aber der eigentliche Punkt, dass die Laufzeit der Verträge beendet wird, der kommt in dieser Erklärung nicht zur Geltung.

Auch andere Punkte würde ich nicht so stehen lassen. So heisst in der Frage «Warum haben Sie an ein amerikanisches Unternehmen verkauft?»:

Dropbox ist eine vertrauenswürdige globale Marke mit Nutzerinnen und Nutzern auf der ganzen Welt (…).

Ich habe zwar Dropbox selbst lange genutzt, aber immer nur für unsensible Inhalte. Denn viele von uns erinnern sich vermutlich noch Edward Snowden und seine Enthüllungen. Daraus wissen wir vom Prism-Programm der NSA, an dem Dropbox sich beteiligen sollte.

Boxcryptor schiesst sich selbst ins Aus

Allein dieser Kritikpunkt stellt meines Erachtens die Zusammenarbeit grundlegend infrage: Denn der entscheidende Punkt bei Boxcryptor war bis anhin, dass diese Software unabhängig vom Cloudbetreiber verschlüsselt hat. Wenn sie in das eigentliche Produkt integriert wird, dann fällt dieser abgekoppelte Schutzmechanismus weg und ist damit (vermutlich) nicht komplett nutzlos, aber deutlich entwertet.

Aus diesen Gründen lässt sich der Entscheid, an Dropbox zu verkaufen, nicht wirklich schönreden. Ich nehme an, dass es sich für die Inhaber des Unternehmens gelohnt hat, aber aus Anwendersicht und auch für den IT-Standort Deutschland ist es keine gute Nachricht.

Bleibt die Frage, ob es brauchbare Alternativen für Boxcryptor gibt. Und die gibt es zum Glück. Die vielversprechendste scheint mir Cryptomator zu sein. Sie ist kostenlos, frei (Open Source), für Windows, Mac, Linux, iOS und Android erhältlich und funktioniert ähnlich wie das demnächst verblichene Vorbild. Versteht sich von selbst, dass das hier im Blog noch ausführlich getestet werden wird.

Nachtrag 1 vom 17. Januar 2023: Ein Podcast zum Thema

Martin Steiger hat mich eingeladen, in seinem Podcast Datenschutz-Plaudereien über den Fall Boxcryptor zu sprechen. Ihr findet die Folge hier.

Nachtrag 2 vom 17. Januar 2023: Stellungnahme von Boxcryptor

Philipp Wittek, Noch-Mitarbeiter bei Boxcryptor, schreibt mir auf Twitter Folgendes:

Nur Nutzer der Free-Lizenz wurden zum 31.01 gekündigt. Alle anderen lizenzierten Nutzer und Unternehmen können Boxcryptor bis zum Ende der regulären Laufzeit (teilweise bis 2025) regulär verwenden. Jeder Nutzer hat die Möglichkeit seine Schlüssel zu exportieren und ist damit grundsätzlich unabhängig von unseren zero-knowledge Keyservern.

Das macht es ein bisschen besser – aber nicht viel. Für die Ablösung steht zwar eine längere Galgenfrist zur Verfügung, zumindest, falls die gekaufte Lizenz nicht demnächst ausläuft. Trotzdem sind die Nutzerinnen und Nutzer gezwungen, die Ablösung vorzunehmen, und es liegt auf der Hand, dass sie es unter den gegebenen Umständen möglichst schnell tun wollen.

Und es bleibt die Frage, warum nicht transparenter informiert wird. Diese Informationen hier hätten im Mail oder im FAQ enthalten sein müssen!

Nachtrag 3 vom 17. Januar 2023: Expertise zu Cryptomator

Andreas Tschan, Ethical Hacker, Pentester und Webentwickler, gibt auf Linkedin zur Boxcryptor-Alternative Cryptomator dieses Urteil ab:

Ich verwende Cryptomator unter Linux seit mehreren Jahren und hatte nie Probleme. Von dem her kann ich gerade für Einzelnutzer:innen Cryptomator empfehlen (falls die Software auf den anderen Betriebsystemen genauso gut funktioniert). Ich habe im Dezember Cryptomator ganz kurz in einem Artikel vorgestellt.

Beitragsbild: Tja, so gehts (Pavel Danilyuk, Pexels-Lizenz).

5 Kommentare zu «Boxcryptor verschwindet in der Kiste»

    1. Ich betrachte die Schreibweise, die Frauen und Männer gleichermassen anspricht, nicht als «Gender-Quark». Ich habe probehalber den Gender-Doppelpunkt benutzt, finde den aber nicht schön. Ich werde wohl dabei bleiben, von «Anwenderinnen und Anwendern» zu schreiben und ansonsten abwechselnd das generische Maskulinum und das generische Femininum zu verwenden.

  1. Das ist eine Katastrophe. Ein Kunde setzt Boxcryptor im Unternehmen ein. Da ist eine Frist von ein paar Wochen viel zu kurz. Zumal es dann nicht heisst „es gibt keine Updates mehr“, sondern „Software läuft nicht mehr“. Solche Fälle werfen ein schlechtes Licht auf das Mietmodell bei Software.

    Da muss ich Microsoft ein Kränzchen winden: Die stellen zwar auch immer wieder mal einen Dienst ein, aber mit ordentlichem Vorlauf von mindestens 18 Monaten.

  2. Als ich die Meldung gesehen habe, hat das bei mir ebenfalls ungute Gefühle ausgelöst und Enttäuschung über Secomba hervorgerufen. Offensichtlich hatten hier die finanziellen Interessen Priorität. Bin sehr froh über Deinen Artikel und werde garantiert wechseln.

Kommentar verfassen