In dieser Woche vor einem Jahr trafen Glenn Greenwald und Edward Snowden aufeinander, am 5. Juni begannen die Enthüllungen. Tags darauf veröffentlichte Greenwald die „Prism“-Dokumente, die bis heute zu denen zählen, die am meisten Aufsehen erregten. Die größten am Privatkunden orientierten IT-Unternehmen sollen demnach direkt den Datenstrom der NSA füttern. Bis heute ist ungeklärt, ob die NSA „direkten Zugang auf die Server“ der Unternehmen hat. Greenwald behauptet es so auch in seinem Buch, die Unternehmen halten seit der ursprünglichen Enthüllung vehement dagegen.
Das Wortgefecht wurde nun in dieser Woche von mehreren Nachrichten abgelöst, in denen die Unternehmen Pläne zur Verschlüsselung vorstellten. Gegen das „Muscular“-Programm der angelsächsischen Geheimdienste haben sich etliche der Unternehmen bereits gewappnet. Sie verschlüsseln nun den Datenverkehr, der auf eigenen Leitungen die Datenzentren verbindet. Nun soll der Nutzer in den Fokus rücken.
Auch in der deutschen Debatte um „Email made in Germany“, insbesondere die De-Mail-Initiative, wird als zentraler Kritikpunkt aufgeführt, dass die Verschlüsselungsmethoden nicht viel gegen staatliche Zugriffe helfen, wenn die Verschlüsselung auf dem Datenweg unterbrochen wird. Das „End-to-End“-Gegenmodell, bei dem Daten am einen Ende der Leitung verschlüsselt und erst am anderen Ende des Weges entschlüsselt werden, hat sich in den deutschen Initiativen nicht durchgesetzt, obwohl es vehement gefordert wurde.
Nun hat Google die deutschen Emanzipationsversuche mit einem Vorschlag eingeholt. Für Google sei die Sicherheit der Nutzer immer eine „Top-Priorität“ gewesen, heißt es in einem Blogpost. Man habe daher als einer der ersten Webmail-Anbieter Verschlüsselungsmethoden zwischen Heimcomputer und Unternehmensserver aktiviert und früh Systeme für Warnungen entwickelt, damit „bad actors“ weder Zugriffe auf Accounts bekommen, noch anderes Unheil treiben. Aktuell stellt Google „End-to-End“, ein Verschlüsselungsystem als Browser-Erweiterung vor.
Der Code stehe nun für Analysen und Betrachtungen zur Verfügung. Aus dem Geldtopf, der für das Finden von Sicherheitslücken in Google-Diensten zur Verfügung steht, darf auch derjenige schöpfen, der Sicherheitslücken in „End-to-End“ findet. Die Software selbst ruht auf der ohnehin einsehbaren OpenPGP-Software. Wenn der öffentliche Fehlerfindungs-Prozess abgeschlossen ist, soll das Tool zur allgemeinen Verwendung zur Verfügung stehen. Er soll offenbar, das wird nicht explizit gesagt, nicht nur für Gmail nutzbar sein und darüber hinaus mit anderen Verschlüsselungsprogrammen zusammenarbeiten können.
Damit plant Google einen lange geforderten Verschlüsselungsmechanismus nachzuinstallieren. Experten werden nicht glücklich darüber sein, dass die Verschlüsselung im Browser geschieht. Und wir wissen selbst im quelloffenen Firefox-Browser bald nicht mehr, was er tatsächlich für Software in sich trägt. Auch Edward Snowden legte wert darauf, zu sagen, die Verschlüsselung sei sicher, aber ihr Einbau in die genutzte Software sei häufig zu anfällig für Sicherheitslücken. Dennoch rückt nun die Verschlüsselung näher an den Nutzer heran, sie wird gemäß Googles Überlegungen tatsächlich einfacher anzuwenden.
Es bleibt vorerst alles ein Experiment: Zur Verschlüsselung ist nicht nur die „End-to-End“-Software notwendig, sondern auch ein geheimer Schlüssel, eine kleine Datei, die sich nicht auf einfachen Wegen sicher auf all die Geräte kopieren lässt, auf denen man seine verschlüsselten E-Mails lesen möchte. Ob Google plant, „End-to-End“ beispielsweise auch in mobile Apps einzubauen, ist nicht bekannt. Darüber hinaus schreibt Stephan Somogyi, der für Google die Öffentlichkeitsarbeit zum Projekt betreut, gehe man davon aus, dass diese Software „wahrscheinlich nur genutzt wird, wenn sehr sensible Daten“ verschickt werden. Dem Ansatz, alles zu verschlüsseln, folgt die Initiative also nicht.
Laut „ZDNet“ arbeitet neben Google auch Facebook an einer Ende-zu-Ende-Verschlüsselung innerhalb seines sozialen Netzwerks. Der Staat solle, sagt das Unternehmen, künftig an der Vordertür klingeln, wenn er Zugriff auf Nutzerdaten haben wolle, anstatt sich durch die Hintertür ins System zu schleichen. Konkrete Pläne trug Gregg Stefancik, der für die Sicherheit der Infrastruktur der Facebook-Systeme Verantwortung trägt, neben den Absichtserklärungen aber noch nicht vor. Noch gehe es darum, erst einmal den Datenverkehr zwischen den Datenzentren vollständig zu verschlüsseln.
An Verschlüsselungen habe man bereits vor Snowden gearbeitet, hieß es von Stefancik weiter. Snowden habe gezeigt, dass viele der Befürchtungen, die man ohnehin hatte, wahr waren. Da es bei Facebook-Kommunikation allerdings um mehr gehe, als um direkten Nachrichtenaustausch, sei Verschlüsselung für das Unternehmen ein größeres Problem. „Wir verstehen die Eigenschaften der Verschlüsselung, aber es ist sehr schwer, sie anzuwenden“, sagt Stefancik.
Ein Jahr nach Snowdens erstem Auftritt gibt es von amerikanischen Diensten also ein wenig mehr als Absichtserklärungen zu vermelden. Zumindest Googles „End-to-End“-Software ist vorhanden und wird für den Einsatz vorbereitet. Hierzulande werden dagegen die Bemühungen kleiner Anbieter wie beispielsweise Posteo übersehen. Was auch dadurch geschieht, dass die großen Initiativen, sei es „Email made in Germany“, sowie die „De-Mail“, das Momentum, das der Spähskandal alternativen Angeboten bot, verspielten.