Auch Facebook will Datenverkehr zwischen Rechenzentren verschlüsseln

Facebook arbeitet an einer unternehmensweiten Verschlüsselung von Daten, die Übertragungen zwischen Rechenzentren mit einschließt. Dies erklärte der für Sicherheitsinfrastruktur zuständige Manager Gregg Stefancik in Australien, wo er im Rahmen einer Aktion auftrat, die Internetnutzer zu mehr Sicherheitsbewusstsein auffordern soll.

Als durch Edward Snowdens Unterlagen bekannt wurde, dass sich der US-Auslandsgeheimdienst Hintertüren zu etwa bei Apple, Facebook, Google und Microsoft gespeicherten Daten verschafft hatte, sei Facebook klar geworden, dass man „die Aluhüte nicht sinnlos getragen“ habe, sagte Stefancik. „Snowden hat viele Dinge bestätigt, von denen wir wussten, dass wir uns dagegen schützen müssen.“ Schon vor den Berichten habe man die Arbeit an einer Verschlüsselung des Rechenzentrumsverkehrs aufgenommen.

„Das ist aber kompliziert. Es ist tatsächlich komplizierter als jede Funktion für Endanwender-Geräte und die Web-Front-Ends, wie wir das nennen. Diese Bedrohung ist etwas ganz anderes, weil sie von unserem Dienstleister auf Netzwerk-Ebene ausgeht. Die Komplexität unserer Infrastruktur hat dazu geführt, dass wir das noch nicht komplett geschafft haben.“

Zudem setzt Facebook laut Stefancik Perfect Forward Secrecy ein. Das heißt, dass sich mit eventuell gestohlenen Schlüsseln kein älterer Traffic entschlüsseln lässt. Zugleich würde man gegen jeden Versuch einer Regierung kämpfen, um an Schlüssel zu gelangen. Im Fall von Behördenanfragen nach Daten, die sich bei einer Überprüfung als legitim herausstellen, gebe Facebook „nur das Nötigste“ an historischen Daten heraus – üblicherweise als Screenshot.

Stefancik erläuterte auch, dass Facebook vier Security-Teams beschäftigt – je eines für technische Sicherheit, Sicherheitsinfrastruktur, Website-Integrität und Nutzersicherheit. Allerdings werde grundsätzlich jeder Mitarbeiter im Unternehmen angehalten, Sicherheitserwägungen stets zuerst zu beachten. Routinemäßig führe man auch falsche Angriffe und Social Engineering durch, um neue Erkenntnisse zu gewinnen.

An externe Sicherheitsforscher hat Facebook seit 2011 etwa 2 Millionen Dollar ausgezahlt – davon 1,5 Millionen im Jahr 2013, als 687 Lücken stichhaltig gemeldet wurden. Dies sieht Stefancik als wichtigen Fortschritt: „Vor zehn Jahren hätten wir [also die Branche] solche Leute ins Gefängnis gesteckt oder gegen sie prozessiert.“ Und während man vor ein paar Jahren vielleicht ein T-Shirt bekommen hätte, werde nun Geld gezahlt. Beträchtliche Summen stelle Facebook übrigens auch für Open-Source-Projekte wie OpenSSL, OpenSSH und OpenBSD bereit.

[mit Material von Josh Taylor, ZDNet.com]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.