https-Verbindungsprotokoll als Standard

Experten werfen Google mangelnde Sicherheit vor

Eine Gruppe von 38 Sicherheitsexperten fordert in einem offenen Brief an Googles CEO Eric Schmidt, dass Google bei seinem Webmail-Angebot, Google Docs und Google Calendar für besseren Schutz vor Spionageattacken sorgen soll. Voraussetzung dafür ist, dass Google das sicherere Verbindungsprotokoll https standardmäßig verwendet.

Seitens Google heißt es dazu, dass man diese Möglichkeit speziell für den Webmail-Dienst bereits prüfe. Dieses Angebot ist in Sachen https sogar ein Vorreiter, da User zumindest die Option haben, stets gesicherte Verbindungen zu nutzen und sich so vor Datendiebstahl zu schützen. Bei vielen anderen Webdiensten gibt es nicht einmal das, so die Experten.

Die Expertengruppe betont das Risiko, dass es aufgrund unsicherer Verbindungen bei Webservices zu Datendiebstahl oder anderen Manipulationen an Accounts kommen kann - etwa dem Versand unerwünschter E-Mails. Als Schutzmaßnahme können User bei Google-Mail zwar einstellen, dass sie immer sichere https-Verbindungen nutzen wollen. Allerdings sei das nicht bekannt genug und umständlich, so die Kritik. "Wir wissen, dass sich https für viele Power-User bewährt, die es bereits als Standard nutzen", erwidert Alma Whitten, Software Engineer, Security & Privacy Teams, im Google Online Security Blog. Google wolle mittels einer kleinen Testgruppe unterschiedlicher Mail-Nutzer feststellen, ob sichere Verbindungen als Standard wirklich praktikabel sind, oder die Performance unter bestimmten Umständen zu sehr leidet. Falls sich https bei diesen Tests bewährt, könnte es zum Standard für alle Google-Mail-User und in weiterer Folge auch bei Docs und Calendar werden.

Die Expertengruppe betont in ihrem Brief, dass auch andere Webangebote wie Microsofts Hotmail, Yahoo Mail, Facebook und MySpace für ähnliche Attacken anfällig sind wie Googles Dienste. "Am schlimmsten ist, dass diese Unternehmen ihren Kunden keinen Schutz bieten", heißt es. Eigentlich ist Google mit seinem derzeit optionalen Schutz bei Google-Mail also ein Vorreiter. "Ich persönlich hoffe auch, dass diese Initiative breitere Auswirkungen nicht nur auf Google haben und weitere Briefe gar nicht erforderlich sein werden", meint dazu Bart Jacobs, Professor für Softwaresicherheit an der Radboud University, gegenüber pressetext. Er ist einer der 38 Experten, zu denen unter anderem Wissenschaftler der britischen Universitäten Cambridge und Oxford, der US-Eliteuni Harvard sowie Mitarbeiter der Unternehmen AT&T und British Telecom zählen.

Dass es Nutzer geben könnte, die den Schutz durch https gar nicht wollen, darf nach Ansicht von Jacobs bei den Überlegungen zum Thema keine all zu große Rolle spielen. "Wir haben uns als Gesellschaft darauf verständigt, dass es gut ist, bestimmte Standards zu haben", betont der IT-Security-Experte unter Verweis auf das Beispiel des Straßenverkehrs. Im Web müssten geeignete Standards und Vorschriften erst entwickelt werden, sodass es mehr Dynamik und Platz für Initiativen wie den offenen Brief an Google gäbe. "Man würde wohl Autofahrer nicht individuell über Sicherheit entscheiden lassen wollen. Und auch in diesem Fall wäre ein allgemeiner Zugang vorzuziehen", sagt Jacobs. Sonst bliebe immer die Frage, ob alle andere User, mit denen er in Kontakt stehe, https nutzen. "Aber ich verlasse mich darauf, dass sie meine Arbeit und Kommunikation schützen - genau wie man sich beim Fahren auf die Sicherheitsgrad anderer verlässt", meint er abschließend. (pte/hal)