Die Lawine die der IT-Spezialist, ehemalige NSA-Mitarbeiter und nun von den USA gejagter Edward Snowden losgetreten hat, lässt das amerikanische Rechtssystem in einem schlechten Licht dastehen. Datenschutz und Rechtsstaatlichkeit sind scheinbar nicht in dem Maße gegeben, sodass Unternehmen immer mehr auf Verschlüsselung setzen, um die Daten vor Spionage schützen zu können.
Die Nichtregierungsorganisation Electronic Frontier Foundation (EFF), die sich mit Sicherheit und Recht im digitalen Raum befasst, hat in einer aktuellen Umfrage mit 18 Unternehmen zu deren Sicherheitsvorkehrungen herausgefunden, dass immer mehr Unternehmen ein Bewusstsein und Maßnahmen gegen Spionage entwickeln. Die großen Marktführer wie Google, Dropbox und Sonic.net setzten die von der EFF erarbeiteten fünf „Best-Practice“-Vorschläge in ihrer Systemarchitektur um. Nicht nur neugierige Geheimdienste, sondern jegliche Art von Angriffen soll so erschwert werden.
In den Vorschlägen des EFF kommen grundsätzliche Punkte zur Ansprache, wie die Datentransport-Verschlüsselung zwischen Rechenzentren und deren Servern. Diesen Weg nutze die NSA um Daten bei den großen E-Mail-Providern abzufangen und mitzulesen. Auch wenn beispielsweise Googlemail dem Benutzer einen HTTPS verschlüsselten Web-Client zu Verfügung gestellt, ist nur der Weg zum Server geschützt, aber nicht zwischen den Rechenzentren. Google steht bei dem Einsatz der inzwischen standardisierten Verschlüsselung vorne mit dabei. Apple und Amazon bieten HTTPS nur in einem begrenzten Umfang an.
Ferner werden auch technisch aufwändige Angriffsszenarien vom EFF berücksichtigt. So wird jedem Anbieter der mit HTTPS (SSL) arbeitet empfohlen die Absicherung HSTS (HTTP Strict Transport Security) einzusetzen. Damit sollen Man-in-the-middle-Angriffe abgewehrt werden, da der angesprochene Server ohne Anfrage durch den Client seine Daten sofort gesichert überträgt. Hier haben Dropbox, Sonic.net und Twitter schon agiert und das Verfahren aktiv im Einsatz. Google arbeitet noch an dem Einsatz und möchte diese Technik nur bei bestimmten Diensten einsetzen. Da HTTPS-Verschlüsselung ein sehr umfangreiches und komplexes Thema ist, empfiehlt der EFF auch den Einsatz des sogenannten Forward Secrecy. Dabei handelt es sich um eine Reihe von Algorithmen, die eine nachträgliche Verschlüsselung von abgehörtem Netzwerkverkehr verhindern soll. Dropbox, Facebook, Google und Twitter unterstützen dieses Feature bereits.
Auch der E-Mail-Verkehr kann besser geschützt werden. Nicht nur unsere Mobilität und Freudigkeit uns in fremde und zum Teil ungeschützte WLAN-Access-Points einzuloggen, erfordert den Einsatz von SSL/TLS beziehungsweise StartTLS. Wird hier keine Verschlüsselung eingesetzt, so kann ein Angreifer ohne Probleme Benutzername, Passwort und den Mailinhalt im Klartext mitlesen.
Es gibt also noch viel zu tun und technische Standards umzusetzen.