Google testet Verschlüsselung zum Schutz vor PRISM

Google hat versuchsweise damit begonnen, Dateien auf Google Drive zu verschlüsseln und so vor dem möglichen Zugriff der US-Regierung und anderer Staaten zu schützen. Das erfuhr News.com von zwei verschiedenen Quellen. Ein Informant, der mit dem Projekt vertraut ist, berichtete von einem kleinen Prozentsatz von Dateien, der in Googles Cloud-Speicherdienst derzeit verschlüsselt sei.

Der Internetkonzern könnte sich damit von anderen Technologiefirmen im Silicon Valley abheben, die nach den PRISM-Enthüllungen über die Spähprogramme der NSA mit der Skepsis ihrer Nutzer zu kämpfen haben. Das Auslandsspionagegesetz FISA (Foreign Intelligence Surveillance Act) ermöglicht dem US-Geheimdienst Zugriffe auf die Daten ihrer Kunden – aber ausdrücklich dann nicht, wenn sie verschlüsselt sind und die Regierung nicht über den Schlüssel verfügt.

„Ein solcher Mechanismus könnte den Anwendern mehr Vertrauen geben“, sagte Seth Schoen von der Bürgerrechtsorganisation EFF in San Francisco.“Sie könnten dann sogar an ein vollständiges Online-Backup ihres Gerätes denken.“

Viele Webfirmen setzen Verschlüsselungstechniken wie HTTPS ein, um Kommunikation in der Übertragungsphase zu schützen. Weit weniger üblich ist jedoch eine Verschlüsselung der Dateien, wenn sie in der Cloud gespeichert sind. Höhere Kosten und technische Komplexität stehen dem ebenso entgegen wie Schwierigkeiten, die Daten zu indizieren und verschlüsselte Daten zu durchsuchen.

Auch Google gab schon früher zu verstehen, dass es Nutzerdaten zwar verschlüsselt überträgt, aber in seinen Rechenzentren unverschlüsselt speichert. Auf Nachfrage wollte Google-Sprecher Jay Nancarrow zur Verschlüsselung auf Google Drive nicht Stellung nehmen.

Microsoft verteidigte sich gegen den Vorwurf, US-Behörden Zugang zu verschlüsselten Kommunikationsinhalten zu geben, mit ihrer unverschlüsselten Speicherung. „Wenn wir gesetzlich verpflichtet sind, Forderungen nachzukommen, dann ziehen wir angegebene Inhalte von unseren Servern, auf denen sie unverschlüsselt gespeichert sind, und übermitteln sie an die Regierungsbehörde“, erklärte Chefjustiziar Brad Smith.

Aber auch konsequente Verschlüsselung auf den Servern garantiert vielleicht letztlich nicht den Schutz vor Behördenzugriffen. Ein Präzedenzurteil zwang 2007 Hush Communications in Vancouver, die Anmeldedaten eines Nutzers beim nächsten Log-in abzufangen, um Zugriff auf verschlüsselte Daten zu ermöglichen. Das war zwar nach kanadischem Recht, ist aber auch nach US-Recht nicht auszuschließen. „Das ist eine juristisch ungeklärte Frage“, sagte Jennifer Granick von der Stanford University. Laut Alan Butler vom Electronic Privacy Information Center könnte ein Passwort „als elektronische Kommunikation betrachtet“ und damit von Abhörmaßnahmen nach US-Gesetzen betroffen sein.

Einige kleinere Unternehmen wie SpiderOak gehen weiter und bieten Cloud-Speicherung mit „host-proof hosting“, bei dem der Anbieter die Daten so speichert, dass sie nur „von Ihnen allein lesbar“ sind. SpiderOak bietet aufgrund der Kundennachfrage auch optionalen Webzugriff auf die Daten an, erklärt aber Client-Anwendungen durch seine Software für Windows, OS X, Linux, iOS und Android für sicherer.

LaCie hat mit Wuala eine Anwendung für Windows, OS X, Linux, iOS und Android für Client-seitige Verschlüsselung im Programm. „Die Mitarbeiter von LaCie haben nur begrenzten Zugriff auf Ihre Daten“, erklärte das Züricher Unternehmen. „Sie können nur sehen, wie viele Dateien Sie gespeichert haben und wie viel Speicherplatz sie beanspruchen.“

Vieles spricht dafür, dass auch die Verschlüsselung auf den Servern letztlich nicht vor Überwachung und Wirtschaftsspionage durch Geheimdienste schützt. Sicherheitsexperte Steve Gibson, der sich schon länger mit der Thematik beschäftigt, plädiert daher für das konsequente Prinzip „Pre Internet Encryption“, das eine grundsätzliche Verschlüsselung vor der Datenübertragung in die Cloud vorsieht.

[mit Material von Declan McCullagh, News.com]

Tipp: Wie gut kennen Sie Google? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.