Menü
Security

NSA-Affäre: US-amerikanische IT-Unternehmen setzen zunehmend auf Verschlüsselung

Von
vorlesen Drucken Kommentare lesen 17 Beiträge

NSA-Skandal

Die NSA, der britische GCHQ und andere westliche Geheimdienste greifen in großem Umfang internationale Kommunikation ab, spionieren Unternehmen sowie staatliche Stellen aus und verpflichten Dienstleister im Geheimen zur Kooperation. Einzelheiten dazu hat Edward Snowden enthüllt.

Im Zuge der NSA-Affäre verschlüsseln immer mehr US-amerikanische IT- und Telekommunikations-Unternehmen ihre Kommunikation. Dies geht aus einer aktuellen Umfrage der Electronic Frontier Foundation (EFF) hervor. Die US-Bürgerrechtler haben nun eine Übersicht über die aktuellen Sicherheitsvorkehrungen von 18 befragten Unternehmen veröffentlicht.

Demnach implementieren allein Dropbox, Google, SpiderOak und Sonic.net alle fünf Best-Practice-Vorschläge der EFF zur Verschlüsselung. Diese sollen dazu führen, dass Daten nicht mehr einfach über einen Zugriff auf die Glasfaserkabel von Geheimdiensten angezapft werden können. Die EFF will damit erreichen, dass die Überwachung "durch die Hintertür" anspruchsvoller wird und so die Nachrichtendienste zu einer legalen Vorgehensweise beziehungsweise zu einem Gang vor Gericht zwingen. Nur so können die betroffenen Unternehmen einzelne Überwachungsaktionen in Frage stellen.

Zu den fünf Best-Practice-Vorschlägen zählt zunächst die Verschlüsselung zwischen den Cloud-Servern und Datenzentren, die ein Unternehmen betreibt. Erst kürzlich wurde bekannt, dass die NSA die Glasfaserkabel-Verbindungen zwischen den Datenzentren von Unternehmen wie Google und Yahoo angezapft hat. Zu den Firmen, die jetzt diese Verbindungen verschlüsseln, zählen laut EFF Dropbox, Google, Sonic.net, Spideroak, Twitter und Yahoo. Facebook arbeitet zurzeit daran.

Eine weitere Möglichkeit besteht darin, die Websites mit dem Hypertext Transfer Protocol Secure (HTTPS) zu verschlüsseln. Wenn ein Nutzer eine solche Website aufruft, werden die Daten zwischen dem Computer des Nutzers und dem Server der Website automatisch über einen verschlüsselten Kanal übertragen. Fast alle der befragten Unternehmen setzen HTTPS ein. Apple bietet HTTPS allerdings nur für die iCloud, Amazon bietet es nur in begrenztem Umfang an. Tumblr plant eine Umstellung noch für dieses Jahr, LinkedIn für nächstes Jahr. Yahoo will es im nächsten Jahr für die Mail als Default umsetzen und für alle Services verfügbar machen. Allein AT&T, Comcast und Verizon sind noch unentschlossen.

Des Weiteren empfiehlt die EFF den Unternehmen die HTTPS-Sicherung via HTTP Strict Transport Security (HSTS) vorzunehmen, als Schutz gegen Man-in-the-middle-Angriffe auf SSL-geschützte Websites. Der Web-Browser wickelt die Sitzung ausschließlich verschlüsselt ab. Dropbox, Sonic.net, Spideroak und Twitter wenden HSTS bereits an.

Google ist derzeit dabei, die HSTS-Sicherung für bestimmte Dienste wie Mail, Drive und Accounts umzusetzen. Facebook, Google, Linkedin und Tumblr planen den Einsatz. Amazon, Apple At&T, Comcast, Microsoft, Myspace, Verizon, Wordpress und Yahoo wenden HSTS nicht an und planen auch keinen künftigen Einsatz.

Die EFF wirbt außerdem dafür, das angewandte Verschlüsselungsverfahren mit Forward Secrecy zu härten. Es bietet Schutz vor einer nachträglichen Entschlüsselung durch Nachrichtendienste oder durch Kriminelle, indem der geheime Sitzungsschlüssel zwischen den Kommunikationspartnern nicht übertragen, sondern im sogenannten Diffie-Hellman-Verfahren ausgehandelt wird.

Ohne Forward Secrecy kann ein Angreifer, der den geheimen Sitzungsschlüssel des Service Providers erlangt, bereits vorher gespeicherte, verschlüsselte Kommunikation im Nachhinein entschlüsseln. Mit Dropbox, Facebook, Google, Twitter und Tumblr haben allein fünf Unternehmen Forward Secrecy bislang umgesetzt. Sonic.net und Spideroak befinden sich gerade in der Umsetzung, LinkedIn plant es für das kommende Jahr. Alle anderen befragten Unternehmen zeigen sich unentschlossen.

Schließlich empfiehlt die EFF die Implementierung von StartTLS für den E-Mail-Transfer. StartTLS ist eine Möglichkeit Verschlüsselung nach dem Verbindungsaufbau zu aktivieren. Das kommt unter anderem bei der Kommunikation zwischen E-Mail-Servern über SMTP zum Einsatz. Es funktioniert jedoch nur, wenn beide E-Mail-Server StartTLS unterstützen. Ansonsten kann die E-Mail von Angreifern auf dem Transportweg gelesen werden. Bei StartTLS handelt es sich um das bislang am wenigsten umgesetzte Verfahren: Allein Dropbox, Google, Sonic.net und Spideroak wenden es an. Facebook arbeitet derzeit an der Umsetzung, LinkedIn denkt darüber nach. Alle anderen Unternehmen planen derzeit keinen Einsatz. (Christiane Schulzki-Haddouti) / (anw)