End-to-End-Verschlüsselung bei Web-Anwendungen nicht mehr als „Schall und Rauch“ – Teil II
Bereits im Zuge unserer im letzten Jahr begonnenen Marktrecherche zum Thema Datensicherheit bei Filesharing-Lösungen aus der Cloud zeichnete sich ab, dass viele der von Betreiberseite vollmundig angekündigten Sicherheitsfunktionen einer genaueren Prüfung nicht Stand halten. Dass dies leider nicht nur für Cloud-Speicherlösungen, sondern auch für populäre Cloud-Standardanwendungen wie den Google E-Mail-Client Gmail gilt, wurde erst kürzlich wieder nachgewiesen.
Das amerikanische Online-Portal WIRED berichtet nämlich in einem Beitrag von Ende Februar, dass Google zwar bereits vor drei Jahren angekündigt hatte, seinen E-Mail-Cloud-Service mit einer End-to-End-Verschlüsselung auszurüsten, dieser Ankündigung aber keine Taten folgen ließ.
Verschlüsselungstool zukünftig Projekt der Open Source Community
Stattdessen kündigte das Unternehmen im Februar 2017 klammheimlich an, E2EMail, eine Erweiterung für den hauseigenen Browser Chrome, mit dem sich Gmail-Nachrichten verschlüsseln und entschlüsseln ließen, selbst nicht weiter zu entwickeln. Stattdessen lud Google die Entwickler-Community dazu ein, den Open Source Code des Projekts zu adaptieren. Google bemühte sich zwar, zu beschwichtigen, dass diese Entscheidung nicht als Zeichen gewertet werden solle, dass es die Arbeit an einem E-Mail-Verschlüsselungstool aufgegeben hätte. Verschlüsselungs- und Datenschutzexperten sehen dies allerdings anders.
So zitiert WIRED den Verschlüsselungsexperten und Informatiker an der John Hopkin Universität Matthew Green mit den Worten: „Die tatsachliche Botschaft lautet, dass sie dies [das Verschlüsselungstool] nicht mehr als Google-Projekt aktiv weiterentwickeln werden. Es ist wirklich ein bisschen enttäuschend, zu sehen, dass sie dieses Projekt nicht mehr als Kernfunktion von Gmail weiterverfolgen werden, wenn man bedenkt, wie viel Hype Google ursprünglich um dieses Projekt machte.“
Verschlüsselungstool als Reaktion auf NSA-Skandal
Google hatte die Entwicklung eines Verschlüsselungstools für Gmail 2014 unter dem Eindruck der Snowden-Enthüllungen angekündigt. Das Projekt hatte es in der Folgezeit aber nicht aus der „Research“-Phase geschafft. Kommentare auf der Github-Seite des Projekts fragen bereits seit über einem Jahr nach, ob Google dieses Projekt aufgegeben habe. Und so wertet Jeremiah Grossman, Experte für Web Security und Chief of Security Strategy bei der Sicherheitsfirma Sentinel One, die Google Ankündigung auch als „verräterisches Zeichen, dass das Projekt zu nichts mehr führen wird“. Grossman, der zu diesem Thema auch Gespräche mit Google Ingenieuren führte, erklärt weiter: „Das Fazit ist, dass Google sich nicht mehr viel um das Thema Verschlüsselung kümmern wird.“
Vorsicht beim Einsatz von Web-Applikationen im Unternehmen
Laut Wikipedia nutzen weltweit über eine Milliarde Menschen Gmail – das in Deutschland unter der aus Markenrechtsgründen unter der Bezeichnung „Google Mail“ läuft – davon sicher ein großer Anteil auch geschäftlich. Auf Grund der fehlenden Verschlüsselungsfunktion müssen sich diese Business User darüber im Klaren sein, dass sie Geschäftsinformationen und zum Teil auch vertrauliche Daten unverschlüsselt übertragen und sich damit einem großen Sicherheitsrisiko aussetzen.
Darüber hinaus sollten sich Unternehmen das Google-Beispiel zu Herzen nehmen und sich sehr genau ansehen, welche Web-Anwendungen sonst noch im Unternehmen zum Einsatz kommen bzw. welche Cloud-Lösungen sie zukünftig einsetzen möchten, und deren Verschlüsselungsfunktionen überprüfen. Im schlimmsten Fall drohen nämlich empfindliche Strafen, wenn dem Unternehmen ein Verstoß gegen Datenschutzvorgaben nachgewiesen werden kann – und zwar spätestens ab 2018, wenn die neue EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft tritt.
Falls Sie beim „Verschlüsselungs-Check“ und der Auswahl „wirklich sicherer“ Web-Anwendungen Unterstützung benötigen, stehen wir Ihnen jederzeit gerne zur Verfügung.