Google prüft durchgehende SSL-Verschlüsselung aller seiner Dienste
Den Denkanstoß gab ein Brief an Google-Chef Eric Schmidt einer aus renommierten Forschern und Sicherheitsspezialisten bestehenden Gruppe. Sie wirft Google vor, Anwender unnötigerweise dem Risiko von Spionage-Angriffen auszusetzen.
- Daniel Bachfeld
Google denkt über eine durchgehende, standardmäßige SSL-Verschlüsselung aller seiner Dienste nach. Den Denkanstoß gab ein sechseitiger Brief (PDF) an Google-Chef Eric Schmidt einer aus renommierten Forschern und Sicherheitsspezialisten bestehenden Gruppe, darunter Eugene H. Spafford, Bruce Schneier, Jeff Moss, Jacob Appelbaum, Steven M. Bellovin, William R. Cheswick und Ronald L. Rivest.
Die Gruppe wirft Google vor, seine Anwender unnötigerweise dem Risiko von Spionage-Angriffen auszusetzen, da die Kommunikation mit den angebotenen Diensten wie Google-Apps nicht durchgehend verschlüsselt sei. Beispielsweise in öffentlichen WLANs kann die fehlende Verschlüsselung Angreifern Gelegenheit geben, Dokumente und Mails mitzulesen.
Zwar sei in den meisten Fällen die Übertragung von Nutzernamen und Passwörtern standardmäßig verschlüsselt, aber bei den Google Apps respektive Google Docs erfolge die Übertragung der Dokumente und Tabellen standardmäßig unverschlüsselt. Es gebe dort auch keine Option, die Verschlüsselung fest zu definieren, wie es etwa bei Google Mail möglich sei. Aber auch bei Google-Mail müsse der Anwender die Option nachträglich selbst aktivieren. Google habe für diese Inkonsistenz beim Anbieten von SSL laut Brief selbst keine schlüssige Erklärung.
Insbesondere, da immer häufiger vertrauliche Inhalte auf Google Docs verarbeitet würden, sei es wünschenswert, wenn Google dort für mehr Sicherheits sorgen würde. Bislang können sich Anwender von Google Docs nur damit behelfen, indem sie die URL nach der Anmeldung etwa von http://docs.google.com manuell auf https://doc.google.com abändern.
Google plant nun mit einer kleineren Gruppe eine durchgehende standardmäßige Verschlüsselung bei Google Mail zu prüfen. Sofern es keine Leistungsprobleme aufgrund der zusätzlichen, durch die Verschlüsselung bedingte Rechenleistung gebe, wolle man den Mail-Dienst komplett auf SSL umstellen. Später könnten dann die Dienste auf Google Docs folgen.
Siehe dazu auch:
(dab)
