Google hat versuchsweise damit begonnen, Dateien auf Google Drive zu verschlüsseln und so vor dem möglichen Zugriff der US-Regierung und anderer Staaten zu schützen. Das erfuhr News.com von zwei verschiedenen Quellen. Ein Informant, der mit dem Projekt vertraut ist, berichtete von einem kleinen Prozentsatz von Dateien, der in Googles Cloud-Speicherdienst derzeit verschlüsselt sei.
Der Internetkonzern könnte sich damit von anderen Technologiefirmen im Silicon Valley abheben, die nach den PRISM-Enthüllungen über die Spähprogramme der NSA mit der Skepsis ihrer Nutzer zu kämpfen haben. Das Auslandsspionagegesetz FISA (Foreign Intelligence Surveillance Act) ermöglicht dem US-Geheimdienst Zugriffe auf die Daten ihrer Kunden – aber ausdrücklich dann nicht, wenn sie verschlüsselt sind und die Regierung nicht über den Schlüssel verfügt.
„Ein solcher Mechanismus könnte den Anwendern mehr Vertrauen geben“, sagte Seth Schoen von der Bürgerrechtsorganisation EFF in San Francisco.“Sie könnten dann sogar an ein vollständiges Online-Backup ihres Gerätes denken.“
Viele Webfirmen setzen Verschlüsselungstechniken wie HTTPS ein, um Kommunikation in der Übertragungsphase zu schützen. Weit weniger üblich ist jedoch eine Verschlüsselung der Dateien, wenn sie in der Cloud gespeichert sind. Höhere Kosten und technische Komplexität stehen dem ebenso entgegen wie Schwierigkeiten, die Daten zu indizieren und verschlüsselte Daten zu durchsuchen.
Auch Google gab schon früher zu verstehen, dass es Nutzerdaten zwar verschlüsselt überträgt, aber in seinen Rechenzentren unverschlüsselt speichert. Auf Nachfrage wollte Google-Sprecher Jay Nancarrow zur Verschlüsselung auf Google Drive nicht Stellung nehmen.
Microsoft verteidigte sich gegen den Vorwurf, US-Behörden Zugang zu verschlüsselten Kommunikationsinhalten zu geben, mit ihrer unverschlüsselten Speicherung. „Wenn wir gesetzlich verpflichtet sind, Forderungen nachzukommen, dann ziehen wir angegebene Inhalte von unseren Servern, auf denen sie unverschlüsselt gespeichert sind, und übermitteln sie an die Regierungsbehörde“, erklärte Chefjustiziar Brad Smith.
Aber auch konsequente Verschlüsselung auf den Servern garantiert vielleicht letztlich nicht den Schutz vor Behördenzugriffen. Ein Präzedenzurteil zwang 2007 Hush Communications in Vancouver, die Anmeldedaten eines Nutzers beim nächsten Log-in abzufangen, um Zugriff auf verschlüsselte Daten zu ermöglichen. Das war zwar nach kanadischem Recht, ist aber auch nach US-Recht nicht auszuschließen. „Das ist eine juristisch ungeklärte Frage“, sagte Jennifer Granick von der Stanford University. Laut Alan Butler vom Electronic Privacy Information Center könnte ein Passwort „als elektronische Kommunikation betrachtet“ und damit von Abhörmaßnahmen nach US-Gesetzen betroffen sein.
Einige kleinere Unternehmen wie SpiderOak gehen weiter und bieten Cloud-Speicherung mit „host-proof hosting“, bei dem der Anbieter die Daten so speichert, dass sie nur „von Ihnen allein lesbar“ sind. SpiderOak bietet aufgrund der Kundennachfrage auch optionalen Webzugriff auf die Daten an, erklärt aber Client-Anwendungen durch seine Software für Windows, OS X, Linux, iOS und Android für sicherer.
LaCie hat mit Wuala eine Anwendung für Windows, OS X, Linux, iOS und Android für Client-seitige Verschlüsselung im Programm. „Die Mitarbeiter von LaCie haben nur begrenzten Zugriff auf Ihre Daten“, erklärte das Züricher Unternehmen. „Sie können nur sehen, wie viele Dateien Sie gespeichert haben und wie viel Speicherplatz sie beanspruchen.“
Vieles spricht dafür, dass auch die Verschlüsselung auf den Servern letztlich nicht vor Überwachung und Wirtschaftsspionage durch Geheimdienste schützt. Sicherheitsexperte Steve Gibson, der sich schon länger mit der Thematik beschäftigt, plädiert daher für das konsequente Prinzip „Pre Internet Encryption“, das eine grundsätzliche Verschlüsselung vor der Datenübertragung in die Cloud vorsieht.
[mit Material von Declan McCullagh, News.com]
Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
6 Kommentare zu Google testet Verschlüsselung zum Schutz vor PRISM
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Nutzt doch nichts!
Wenn der Dienstleister durch ein Gesetz gezwungen wird, den Geheimdiensten Zugriff auf die Daten zu geben, wird das auch passieren.
Nicht vergessen, alles im Zusammenhang mit der „PRISM-Affäre“, die ganzen Zugriffe und Ausspähungen, über die wir uns (zu Recht) empören, sind nach US-amerikanischen Gesetzen vollkommen rechtmäßig erfolgt.
Also gibt es für uns Europäer nur zwei Möglichkeiten:
entweder auf die Speicherung der Daten in der Cloud zu verzichten
oder die Daten VOR dem Hochladen mit einem sicheren Verfahren verschlüsseln.
my 2 cent
Das verschlüsseln vor dem Upload in die Cloud bringt nichts, wenn Windows und Apple Sicherheitslücken erst der NSA melden müssen und erst dann IRGENDWANN gemeldet und gefixt werden. Vielleicht sind Keylogger bereits in Windows Standard? Ich kann in den Quellcode keinen Einblick nehmen.
KEIN System mit Windows ist sicher!
MS & Apple melden ihre Sicherheitslücken erst der NSA? Gibt es zu dieser Aussage auch eine Quelle oder sind wir vielleicht ein waschechter Linux Jünger?
Dann verschluesseln Sie eben vorab mit einem OpenSource Tool, wo ist das Problem? Sie duerfen auch gerne etwas anderes als die Windowsinternen Bordmittel nutzen…
also – weg mit allen microsoft SW’s und entweder auf Linux, Mac oder einfch Internet abstellen und Nachrichten wie früher via Post versenden.
Alle heutigen Verschlüsselungssysteme sind bereits der NSA bekannt oder die Hersteller von Verschlüsselungshardware haben bereits einen Backtor-IC gefasst, als sie die entsprechenden PROM oder EEPROM eingekauft haben um ihre Hardware zu bauen. – Wir sind schon lange im Jahre 1984 angelangt!
Ihr zweiter Vorschlag steht ja im Artikel. Das ist richtig. Ich persönlich nutze livedrive. Hier werden meine Daten vor der Übertragung verschlüsselt. Da fühle ich mich doch recht sicher…