EFF-Liste: Wer liegt in punkto Kryptografie vorn, wer bleibt zurück?

Es gibt nichts Besseres als ein wenig Gruppenzwang und Konkurrenzdruck, um jemanden dazu zu bringen, das Richtige zu tun.

Diese Philosophie steht auch hinter dem Bericht ‚Encrypt the Web‘ („Verschlüsselt das Netz“), herausgegeben von der amerikanischen Nichtregierungsorganisation Electronic Frontier Foundation. In ihm werden die kryptografischen Möglichkeiten von 18 führenden Internet-Unternehmen untersucht, darunter große soziale Netzwerke, Telekommunikations- und Technologie-Unternehmen sowie Webservice-Provider.

„Die positiven Beispiele aus dem Bericht sollen als Motivation für andere Unternehmen dienen, selbst auch Kryptografie einzusetzen“, sagte Kurt Opsahl, leitender Jurist bei EFF.

Dieselben Unternehmen waren bereits in dem EFF-Bericht aus dem Mai mit dem Titel‚ Who Has Your Back‘ Gegenstand der Untersuchungen. In diesem Bericht wurden die Anstrengungen der Unternehmen hinsichtlich der folgenden Punkte beurteilt: Wahrung der Privatsphäre, Schutz der Anwenderdaten und Transparenz bezüglich Regierungsanfragen nach Anwenderdaten.

Im Rahmen der Materialsammlung für den Bericht ‚Encrypt the Web‘ wurde jedem Unternehmen eine Liste mit Fragen zugesandt. Nicht alle Unternehmen antworteten auf alle Fragen; außerdem wurden auch andere Quellen konsultiert, unter anderem die Websites der Unternehmen und Nachrichtenberichte. Die Unternehmen wurden gefragt, ob sie HTTPS, HSTS, Forward Secrecy, STARTTLS unterstützen und die Verbindungskanäle zwischen Rechenzentren verschlüsseln.

Der letzten Frage kommt durch die Aufdeckung des NSA-Programms MUSCULAR besondere Bedeutung zu, das es dem Geheimdienst ermöglichte, die unverschlüsselten Verbindungskanäle zwischen den internen Rechenzentren anzuzapfen und die Internetaktivitäten der Nutzer auszuspähen.

„Einer der Gründe für die Erstellung dieses Berichts war das Bestreben, etwas über diese Kategorie herauszufinden“, sagte Opsahl und ergänzte, dass die Komplexität der Verschlüsselung der Verbindungskanäle zwischen den Rechenzentren sich in Abhängigkeit vom Umfang der Tätigkeit der Organisationen unterscheidet sowie von der Art der Datenübertragung und auch der Zahl der unterstützten Rechenzentren.

Von den 18 in dem Bericht untersuchten Unternehmen bestätigten nur Dropbox, Google, Sonic.net, SpiderOak, Twitter und Yahoo!, dass sie die Verbindungskanäle zwischen den Rechenzentren verschlüsseln. Das einzige Unternehmen, das einräumte, diese Kanäle nicht zu verschlüsseln, war Microsoft, die übrigen antworteten nicht auf diese Frage. Lediglich Dropbox, Google, Sonic.net und SpiderOak bekamen bei allen fünf Kategorien ein Häkchen.

„Sie haben verstanden, dass ihre Kunden Privatsphäre und Sicherheit wünschen und integrieren daher zusätzliche kryptografische Mittel zum Schutz vor Attacken über die unterschiedlichsten Angriffsvektoren“, erklärte Opsahl. „Dadurch fühlen sich ihre Kunden in Bezug auf ihre Daten sicherer.“

Die meisten Unternehmen aus der Liste unterstützen HTTPS, obgleich diese Unterstützung bei Amazon und Tumblr eingeschränkt ist. Weniger als die Hälfte unterstützen HSTS, und noch weniger unterstützen STARTTLS, was die EFF als besonders wichtig für E-Mail-Provider einstuft. STARTTLS wird zur Verschlüsselung der SMTP-Kanäle zwischen den E-Mail-Servern verwendet; wenn beide Provider dieses Protokoll verwenden, wird die Mitteilung verschlüsselt übertragen, wenn nicht, wird die Mail mit offenem Text versendet.

„Wir haben die E-Mail-Provider gebeten, STARTTLS einzuführen“, heißt es im Blog von EFF. „Es ist ungemein wichtig, dass wir so viele Provider wie möglich dazu bringen, dieses Protokoll zu benutzen.“

Noch kritischer ist möglicherweise, dass die meisten der großen Service-Provider im Bericht nicht gut abschnitten. Amazon, Apple und Tumblr erhielten einen Haken für alle (für die Unterstützung von HTTPS in der Apple iCloud). Die Telekommunikationsanbieter AT&T, Comcast und Verizon haben alle zusammen nicht einen Haken erhalten; laut Opsahl haben AT&T und Verizon in punkto Überwachungsfragen schon früher mit dem Staat zusammengearbeitet. EFF und AT&T haben wegen der Teilnahme des Providers an einem Spionageprogramm der NSA bereits einen Prozess geführt, der eingestellt wurde, nachdem der Kongress AT&T rückwirkend Immunität erteilt hatte.

„Ihre Zusammenarbeit beunruhigt uns nach wie vor“, sagte Opsahl.

Trotz des Einsatzes von Verschlüsselung gelingt es Unternehmen (wie etwa Lavabit) manchmal nicht, sich einer derartigen Zusammenarbeit mit dem Staat zu entziehen. Lavabit war ein Anbieter von verschlüsselten E-Mail-Diensten, die mutmaßlich auch Edward Snowden in Anspruch genommen hat. Um seine Chiffrierungsschlüssel dem Staat nicht offenbaren zu müssen, schloss Lavabit seine Pforten und gab das Geschäft auf. Silent Circle stellte kurz darauf seinen verschlüsselten E-Mail-Dienst Silent Mail ein, noch bevor das Unternehmen dazu gedrängt werden konnte, die Schlüssel dem Staat zu übergeben.

In der Zwischenzeit hofft die EFF, dass ihre Liste immer mehr Internet-Unternehmen dazu veranlassen wird, kryptografische Mittel einzuführen.

„Der Bericht ‚Who Has Your Back‘ hatte positive Auswirkungen auf die Unternehmen, die daran interessiert waren, eine gute Bewertung zu erhalten. Im Laufe der Zeit haben wir für manche Unternehmen einen Stern ergänzt“, sagte Opsahl. „Unsere Idee besteht darin, die Unternehmen dazu zu bringen, um den ersten Platz zu konkurrieren und ihren Kunden zu zeigen, dass sie bestrebt sind, Sicherheit auf hohem Niveau zu gewährleisten.“

Quellethreatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.