Microsoft will Kundendaten besser vor staatlicher Ausspähung schützen

Microsoft hat bestätigt, dass es bis Ende 2014 seine Internet-Verschlüsselung erheblich verstärken will. Gleichzeitig will das Unternehmen seine juristische Abwehr gegen Zugriffe von Regierungen auf Kundendaten intensivieren und seine Abnehmer durch mehr Transparenz davon überzeugen, dass der Quellcode seiner Software integer und frei von Hintertüren ist.

In einem Blogeintrag kündigte Chefjustiziar Brad Smith eine auf 2048 Bit verlängerte Schlüssellänge und die künftige Nutzung der Sicherheitstechnik Perfect Forward Secrecy an, auf die ebenfalls schon Google, Twitter und andere Technologiefirmen bauen. Auch die gespeicherten Dateninhalte von Kunden sollen verschlüsselt werden. Microsoft reagiert mit diesen Maßnahmen – wie schon im letzten Monat durch einen Bericht der Washington Post verdeutlicht – auf Enthüllungen des PRISM-Informanten Edward Snowden.

„All das wird Ende 2014 abgeschlossen sein, und vieles davon gilt sofort“, schreibt Smith. „Wir arbeiten mit anderen Unternehmen quer durch die Branche zusammen, um sicherzustellen, dass auch zwischen Diensten bewegte Daten – zum Beispiel von einem E-Mail-Provider zum anderen – geschützt sind.“

Die erweiterte Sicherheitstechnik soll Microsofts Cloud-Dienste sowie die Datenströme zwischen seinen Rechenzentren schützen. Es folgt damit dem Beispiel von Google und Yahoo, die ebenfalls auf verschlüsselte Datenverbindungen zwischen ihren Rechenzentren setzen, nachdem bekannt wurde, dass der US-Geheimdienst NSA für sein Abhörprogramm „Muscular“ offenbar die Glasfasernetze anzapfte, die ihre weltweiten Rechenzentren verbinden.

Smith erwähnt die National Security Agency nicht namentlich, führt aber aus, Microsoft sei durch die Anschuldigungen alarmiert, dass „einige Regierungen“ ohne gerichtliche Anordnungen Kundendaten über das Internet sammelten. „Wenn es stimmt, dann untergraben diese Anstrengungen das Vertrauen in die Sicherheit und die Vertraulichkeit der Online-Kommunikation“, schreibt er weiter. Tatsächlich sei die Ausspähung potenziell als Advanced Persistent Threat (APT) zu sehen, einem staatlich organisierten Cyberangriff. Sicherheitsexperten verwenden diesen Begriff häufig im Zusammenhang mit Hackerteams, hinter denen die chinesische Regierung steht – hier scheint er aber auf die NSA gemünzt.

Microsoft will außerdem rechtliche Möglichkeiten ausschöpfen, um Kunden zu informieren, wenn es Anordnungen hinsichtlich Kundendaten erhält. „Sollte uns eine Schweigepflicht daran hindern, werden wir das vor Gericht anfechten“, versicherte der Chefjustiziar.

Ein weltweites Netzwerk von Transparenzzentren soll Kunden außerdem erlauben, sich von der Integrität der Microsoft-Produkte zu überzeugen. Es baut laut Smith „auf dem langjährigen Programm auf, das Regierungskunden angemessen in die Lage versetzt, unseren Quellcode zu überprüfen, sich seiner Integrität zu versichern und sicherzustellen, dass keine Hintertüren enthalten sind.“

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de