Stark verschlüsselte Kommunikation ist sicher und privat (so lange kein Unfugbei der Implementierung der Verschlüsselung in die Kommunikations-Software oder die entsprechenden Protokolle getrieben wird). Deshalb sorgen sich die Firmen, die sich um eine starke Verschlüsselung kümmern, normalerweise auch um die Privatsphäre und die Sicherheit ihrer Kunden.
Die Electronic Frontier Foundation (EFF) versucht immer, die Technologie- und Kommunikationsfirmen herauszustellen, die die Daten ihrer Kunden vorsichtig behandeln. Und sie scheuen sich nicht, auch die Firmen zu nennen, die Kundendaten allzu leichtfertig speichern. Kürzlich hat die EFF den Bericht „Encrypt the Web“ veröffentlicht, in dem genau das getan wird. Darin werden Unternehmen wie der Suchmaschinengigant Google, der Internet-Service-Provicer SonicNet, sowie die Cloud-Speicherdienste Dropbox und SpiderOak positiv hervorgehoben, da sie ihre Kundendaten mit starker, über die ganze Firma verbreitete Verschlüsselung schützen.Diese vier Firmen sind die großen Gewinner des EFF-Berichts, die in allen fünf Bereichen Bestnoten erhalten haben: Verschlüsselung der Datenzentrum-Links, Unterstützung von HTTPS, HSTS, Forward Secrecy und STARTTLS.
Die Verschlüsselung von Datenzentrum-Links bedeutet vor allem, dass zum Beispiel Google Daten verschlüsselt, die zwischen den Datenzentren der Firma hin- und hergeschickt werden, ein typischer Angriffspunkt, der schon oft ausgenutzt wurde. Die Implementation von HTTPS (Hypertext Transfer Protocol Secure) stellt sicher, dass jede Kommunikation zwischen einem Anwender und einer Webseite über einen verschlüsselten Kanal läuft. HSTS (HTTP Strict Transport Security) ist im Grunde eine Richtlinie für Web-Server-Sicherheit, die fordert, dass eine konstante HTTPS-Kommunikation mit dem Anwender besteht. Forward Secrecy, manchmal auch Perfect Forward Secrecy, ist eine kryptografische Eigenschaft beziehungsweise ein Ideal, dass sicherstellt, dass eine verschlüsselte Übertragung niemals geknackt werden kann. Und STARTTLS ist mehr oder weniger eine E-Mail-Erweiterung, die reine Text-E-Mails aktualisiert, so dass die Mails verschlüsselt werden, egal, welches E-Mail-Programm man nutzt.
Nachdem wir das kurz erklärt haben, noch einmal zurück zu den Gewinnern Google, SonicNet, Dropbox und SpiderOak. Mit einer lobenden Erwähnung für Facebook, die ebenfalls alle fünf Bereiche meistern konnten, da sie gerade dabei sind, all diese Verschlüsselungsfunktionen einzuführen. Twitter erhielt ebenfalls gute Noten, außer im Bereich STARTTLS. LinkedIn, Foursquare und Tumblr sind im Mittelfeld zu finden, mit jeweils drei Bestnoten. Yahoo erhielt nur eine Bestnote, sowie eine vorbehaltliche Bestnote, da sie weitere Richtlinien einführen wollen. Apple erhielt eine Bestnote, da das Unternehmen in der iCloud HTTPS unterstützt. Auch Microsoft, Myspace und WordPress wurden mit einer Bestnote ausgezeichnet.
Zu den Firmen, die sich im Bereich der Verschlüsselung nicht gerade anstrengen, gehören laut der Electronic Frontier Foundation Amazon, AT&T, Comcast und Verizon. Keine davon erhielt eine Bestnote. Schon Anfang des Jahres hat die in San Francisco beheimatete EFF einen Bericht mit dem Titel „Who’s Got Your Back?“ veröffentlicht, dessen Ergebnis recht ähnlich ausfiel. Der Bericht untersuchte, welche Unternehmen der Regierung bei der Datensammlung helfen und welche sich für die Privatsphäre ihrer Anwender einsetzen. Beide Berichte verteidigen die Bemühungen von Twitter, Google, SonicNet und SpiderOak, und kritisieren Apple, Yahoo, Verizon, AT&T, Comcast und Amazon.
Natürlich hat sich in der Zeit zwischen den beiden Berichten einiges geändert: Vor allem weiß man nun viel mehr über die Regierungs-gesponsorten Überwachungen. Wenn es eine Wechselwirkung zwischen den beiden Berichten gibt (und ich bin mir sicher, dass es die gibt), dann ist es bei manchen Firmen eine generelle Bewegung zu besserer Privatsphäre und Schutz vor der Überwachung durch Regierungen und Hacker. „Wir wollen dies als positive Ermutigung nutzen. Denn wenn Firmen sehen, dass andere Unternehmen gute Noten bekommen, wollen sie vielleicht auch Verschlüsselungen einführen“,so Kurt Opsahl, leitender Anwalt der EFF.
Die EFF hat die Daten für den Bericht über Fragebögen gesammelt, die an die Firmen geschickt wurden. Nicht jede Firma hat darauf geantwortet, so dass auch andere Quellen hinzugezogen wurden, unter anderem die Webseiten der Firmen und Berichte in den Nachrichten. Die Firmen wurden gefragt, ob sie HTTPS, HSTS, Forward Secrecy sowie STARTTLS unterstützen, und ob sie die Datenzentrum-Links verschlüsseln.
Und was bedeutet das für Sie? Nun, ich will Ihnen nicht vorschreiben, welche Dienste Sie nutzen sollen und welche nicht. Ich denke, wir alle – inklusive unserer Freunde bei der EFF – nutzen wahrscheinlich den ein oder anderen Service, der sich nicht genug um die Verschlüsselung kümmert. Doch wie Threatpost-Autor Mike Mimoso sagte, ist „etwas Gruppenzwang ganz gut, um jemanden dazu zu bringen, das Richtige zu machen.„