Umfassende Sicherheit dank Dropbox
Das Dropbox-Sicherheitsteam schützt über 500 Petabyte Dateien von mehr als einer halben Milliarde registrierter Nutzer in Hunderttausenden Unternehmen. Um das zu bewältigen, braucht das Team nicht nur gute Ressourcen, sondern muss unserer schnell wachsenden Plattform auch immer einen Schritt voraus sein. Darum legen wir viel Wert darauf, das Team auszubauen und mit jedem neuen Teammitglied Dropbox unangreifbarer zu machen.
Ab diesem Jahr möchten wir häufiger über die Sicherheitsmaßnahmen von Dropbox und über einige unserer Projekte berichten. Um Dropbox und damit Ihre Dateien zu schützen, sind viele Investitionen notwendig. Deshalb verfügen wir über eine Vielzahl spezialisierter Sicherheitsteams, die über ihren Bereich berichten werden. Dabei beleuchten wir unter anderem folgende Themen genauer:
Kultur statt Schulung
Es ist kein Kunststück, einmal im Jahr eine Sicherheitsschulung zu veranstalten und dann das Thema „Sicherheit“ abzuhaken. Natürlich finden bei uns auch solche Schulungen statt, doch wir geben uns damit nicht zufrieden. Eine einmalige Kontrolle im Jahr ist nicht das, was die Sicherheitsteams brauchen. Sie sollten dauerhaft auf offene Art mit dem ganzen Unternehmen in Verbindung stehen können. Bei Dropbox haben wir durch diese Partnerschaft mit den Mitarbeitern schon so manchen Angriff abgewendet und diverse interne Probleme frühzeitig behoben. Sicherheit ist ein Teil unserer Kultur, und so konnte unser Sicherheitsteam das gesamte Unternehmen für das Thema sensibilisieren.
Unabhängige Prüfung
Regelmäßige Kontrollen und Verbesserungen sind für eine starke Abwehr unverzichtbar. Ich bin schon mehrfach gefragt worden, ob wir denn auch einen jährlichen Penetrationstest durchführen lassen, als würde allein das für ein solides Sicherheitssystem sprechen. Wir geben jedoch jedes Jahr gleich mehrere Prüfungen extern in Auftrag: herkömmliche Penetrationstests, Produktsicherheitsbewertungen und Red-Teaming-Tests. Neben diesen externen Prüfungen führt auch unser eigenes internes Offensive Security-Team täglich Tests durch, in denen es die Rolle eines potenziellen Angreifers übernimmt.
Das ist aber noch nicht alles. Wir geben der Sicherheits-Community die Möglichkeit, an unserem Bug Bounty Program teilzunehmen. Dank dieses Prämiensystems konnten wir bereits viele wichtige Neuerungen vornehmen und stehen mit Forschern in engem Kontakt. Der Erfolg ist groß und wir bieten inzwischen mit die höchsten Prämien der Branche. Unsere Maßnahmen zur Sicherheitsprüfung erstrecken sich damit also über das gesamte Internet.
Entwicklung fortschrittlicher Tools
Durch Entwickeln spezifischer Codes und Tools können wir einen großen Teil der Arbeitslast an Computer abgeben und unsere Teams bei der Skalierung unterstützen. Unsere Eigenentwicklungen wirken versuchtem Missbrauch unseres Produkts mit verschiedenen Maßnahmen entgegen, indem sie beispielsweise verhindern, dass Kennwörter geknackt werden. Auch bei internen Herausforderungen an die Sicherheit greifen wir zu technischen Hilfsmitteln. Im vergangenen Jahr haben wir SecurityBot als Open-Source-Produkt veröffentlicht, mit dem sich interne Alarmsysteme zum Teil automatisieren lassen. Wir scheuen uns auch nicht, Open-Source-Lösungen für Fälle zu entwickeln, die durch kommerzielle Tools nicht abgedeckt werden, beispielsweise für Mac OS-Host-Monitoring.
Ferner identifizieren wir produktnah die wichtigsten Code-Bestandteile und investieren dort gezielt. So überlegen wir uns auch sehr gut, wie wir die gespeicherten Nutzer-Kennwörter hashen und verschlüsseln. Auch bei der Verschlüsselung von Daten während der Übertragung verlassen wir uns nicht blind auf SSL, sondern verwenden eine Reihe branchenführender HTTP-, SSL- und kryptografischer Best Practices.
Sicherheitshilfen für Nutzer
Die Skalierung wird außerdem vereinfacht, wenn Nutzer auf Funktionen zugreifen können, mit deren Hilfe sie sich selbst absichern können. Wir unterstützen schon lange die Multi-Faktor-Authentifizierung und besonders starke Methoden wie U2F-Schlüssel. Leider kann stärkere Authentifizierung andererseits auch zu steigenden Herausforderungen bei der Kontowiederherstellung führen oder das Risiko für Kontosperren erhöhen. Da wir starke, aber gleichzeitig möglichst unkomplizierte Sicherheitslösungen anbieten möchten, haben wir Verknüpfungen mit Mobilgeräten als Wiederherstellungsoption für Nutzer eingeführt.
Manchmal reicht es aber auch schon, Nutzern mit Standardfunktionen wie der Ermittlung der Kennwortstärke zu helfen, Entscheidungen zu treffen, die einen großen Beitrag zur Sicherheit leisten können.
Ich bin gespannt, was das Team 2018 vorstellen wird. Bleiben auch Sie hier auf dem neuesten Stand.