Wen interessiert schon die Privatsphäre der Nutzer?

Viele Online-Unternehmen sind erst nach den Snowden-Enthüllungen dazu übergegangen, ihre Dienste verschlüsselt zu übertragen. Denn der Schutz von Kundendaten ist ihnen in Wirklichkeit egal, beklagt Christopher Soghoian von American Civil Liberties Union.

Vergangene Woche haben Google, Microsoft und fünf weitere große Online-Unternehmen die US-Regierung in aller Form aufgefordert, die von der NSA praktizierte Rasterfahndung einzuschränken. Diese Unternehmen müssten jedoch nicht abwarten, bis die Regierung handelt. Verschlüsselungstechnologien können die Privatsphäre der Nutzer vor anlassloser Überwachung schon jetzt schützen – wenn IT-Firmen sie endlich einsetzten. Einige haben damit nun als Reaktion auf die Snowden-Enthüllungen begonnen. Das hätten sie schon eher tun sollen.

Im Oktober 2010 veröffentlichte der Sicherheitsforscher Eric Butler ein einfach zu bedienendes Werkzeug, um sich über öffentliche WLANs in Webmail-Konten von Bürgern zu hacken. Dieses Programm, Firesheep genannt, war zwar nicht das erste, um ein so genanntes Wi-Fi Sniffing durchzuführen. Firesheep machte es aber sehr leicht, E-Mails, Dokumente, ja sogar Cookies für die Authentifizierung im Web abzufangen, mit deren Hilfe man sich später in die Online-Konten der Opfer einloggen konnte.

Firesheep machte sich dabei die Tatsache zunutze, dass die meisten Webmailer und sozialen Netzwerke entweder das Verschlüsselungsprotokoll https gar nicht einsetzten, um die Daten ihrer Kunden zu schützen. Oder es zumindest nur dann anwendeten, wenn ein Nutzer eine obskure Einstellungsoption aktiviert hatte, von der die meisten nichts wussten.

Google hatte für seinen Gmail-Dienst die https-Verschlüsselung bereits einige Monate vor der Veröffentlichung von Firesheep zum Standard gemacht. Andere Online-Konzerne ignorierten diesen Schritt jedoch, selbst nachdem Pamela Jones Harbour von der Federal Trade Commission (FTC) sie aufgefordert hatte, Googles Beispiel zu folgen. Ein Jahr später schrieb dann US-Senator Chuck Schumer einen offenen Brief an Yahoo, Amazon und Twitter, https als Standardverbindung einzusetzen.

Twitter, Facebook und Microsoft mit seinem E-Mail-Dienst folgten dem Ruf schließlich. Yahoo hingegen blieb dabei, Kundendaten nicht automatisch durch Verschlüsselung abzusichern – weder vor Hackern noch vor Regierungen in aller Welt, die das Internet überwachen. Im Januar 2013 kündigte Yahoo dann schließlich eine Opt-in-Lösung an. Doch die wenigsten Nutzer dürften die entsprechende Einstellung aktiviert haben.

Yahoo ignorierte aber nicht nur mahnende Worte der FTC und eines US-Senators, sondern auch einen öffentlichen Appell mehrerer Menschenrechtsorganisationen. Dass das Unternehmen schließlich auf https umstieg, war einem Artikel in der Washington Post geschuldet. Der schilderte, wie die NSA täglich den Emailverkehr von fast einer halben Million Yahoo-Nutzerkonten abfing.

Kurz nach der Schlagzeile erklärte dann Yahoo-CEO Marissa Mayer: „Es gibt nichts Wichtigeres für uns, als die Privatsphäre unserer Nutzer zu schützen.“

Wenn dem so wäre, warum brauchte es erst die Enthüllungen von Edward Snowden, bis Yahoo einen Industriestandard für die Webverschlüsselung übernahm? Warum schützte das Unternehmen seine Kunden nicht schon vorher vor Hackern, die Werkzeuge wie Firesheep einsetzen, oder vor der Überwachung durch Deep Packet Inspection, die einige Länder praktizieren?

Die Antwort ist: Es war Yahoo egal – bis das Versagen der Firma es auf die Titelseite der Washington Post schaffte.

Yahoo ist nicht das einzige Unternehmen, das nach den Snowden-Enthüllungen seine Vorkehrungen verstärken muss. Tatsächlich haben auch viele Cloud-Betreiber – darunter Google, Facebook und Microsoft – erst angefangen, den Datenaustausch zwischen ihren Rechenzentren zu verschlüsseln. Nun vergrößern sie die Länge der Kryptografie-Schlüssel und setzen Verschlüsselungsalgorithmen ein, die eine „perfekte Vorwärts-Geheimhaltung“ versprechen.

In ihrem Report „Encrypt the Web“ untersucht die Electronic Frontier Foundation, wie große Online-Unternehmen nun rasch zum Einsatz von Sicherheitstechnologien übergehen. Man darf jedoch bezweifeln, dass viele Firmen diesen Schritt gemacht hätten, wären nicht die Enthüllungen von Snowden und der mutige Einsatz von Journalisten gewesen, um technische Details der NSA-Überwachung ans Licht zu bringen. Allein dafür sollten wir Edward Snowden dankbar sein.

Christopher Soghoian ist Technologie-Leiter im Projekt „Speech, Privacy and Technology“ der American Civil Liberties Union. Soghoian wurde von Technology Review als einer der Innovators Under 35 des Jahres 2012 ausgewählt. (nbo)