Im Laufe dieses Jahres gab es durch die Diskussionen über die NSA-Überwachungen viele Anstösse, um über Sicherheit und Datenschutz zu reden und sich näher damit zu befassen. Für uns und für Purplemoon war sowohl Datenschutz wie auch Sicherheit immer eine Top-Priorität, weswegen wir unseren Datenschutz möglichst klar & nutzerfreundlich gestaltet und zusätzlich auf grösstmögliche Sicherheit – technisch und konzeptionell – Wert gelegt haben.
Durch die NSA-Enthüllungen wurde viel Wissen gewonnen, wie man sich besser schützen kann, wodurch wir einige Verbesserungen vornehmen konnten:
- Seit Mitte Juli 2013 haben wir unsere Server aktualisiert, um TLS 1.2 und Perfect Forward Security konsequent einzusetzen. Perfect Forward Security ermöglicht Verschlüsselung, die später auch mit dem Besitz der kryptografischen Schlüssel und den übertragenen Daten nicht mehr entschlüsselt werden kann, da ein verwendeter Schlüssel regelmässig erneuert und nirgends gespeichert wird. Dies ist eine sehr sichere Methode, gegen die auch die NSA (und das Abfangen der übertragenen Daten) nichts ausrichten kann.
- Wir setzen bei den verwendeten Verschlüsselungsalgorithmen RC4 nicht mehr als Verschlüsselungstechnik ein, bzw. bieten den Browsern durchweg sicherere Techniken an, dies etwa seit ca. Mitte August 2013. RC4 ist ein Teil der Verschlüsselungstechniken, die für TLS/SSL verwendet werden, und gilt seit ca. 2 Jahren nicht mehr als total sicher, wobei bisher keine praktische Anwendungen bekannt sind, die dies ausnutzen würden (und wegen einem anderen Bedrohungsszenario wurde RC4 dieses und letztes Jahr im Internet vermehrt eingesetzt). Es gibt aber neue Berichte, wonach Geheimdienste verschlüsselte Verbindungen mit RC4 in Echtzeit abhören können, so dass es definitiv an der Zeit ist, diese Technik nicht mehr einzusetzen. Die meisten grossen Websites verwenden immer noch hauptsächlich RC4 – u.a. Google und Facebook, aber auch diverse Banken und Behörden.
Ausserdem haben wir in den letzten Jahren bereits einiges unternommen, um möglichst sicher zu sein:
- Bereits seit dem 1. Februar 2011 setzen wir konsequent nur noch auf verschlüsselte Verbindungen – es ist seither unmöglich, unverschlüsselt auf Purplemoon zuzugreifen. Denn wenn z.B. 50% der Besucher unverschlüsselt auf eine Website zugreifen und man mit diesen Personen kommuniziert, sind diese Daten abhörbar. Nicht nur von der NSA – in jedem WLAN besteht die Gefahr, dass ohne Verschlüsselung z.B. Zugangsdaten/Session Cookies/usw. abgehört werden können, Zugänge gekapert werden oder Gespräche belauscht werden, sofern kein SSL/TLS eingesetzt wird – und zwar von jedem in diesem WLAN. Bei öffentlichen Hotspots ist das eine reelle Gefahr. Dieser Artikel liefert dazu näheres. Viele Dienste setzen mittlerweile wie wir konsequent auf SSL – aber durchaus nicht alle. Um mal ein bekanntes Beispiel zu nennen: Gayromeo verlangt keinerlei Verschlüsselung und verschlüsselt auch nicht standardmässig, was heutzutage eher als fahrlässig bezeichnet werden muss.
- Wir prüfen uns regelmässig auf ssllabs.com, wo aktuelle Erkenntnisse und neue Sicherheitsmassnahmen bezüglich Verschlüsselung dargelegt werden. Wir erreichen beim Test, den man dort machen kann, auch die Bestnote A. Übrigens: bei den Zahlen ist es zurzeit kaum möglich, alle Punkte zu erreichen, da dies nur denkbar wäre, wenn man ältere Browser (und teilweise auch nicht-mal-so-alte) ausschliessen würde, deswegen erreichen wir trotzdem ein A, da wir alles tun, was nach den aktuellsten Erkenntnissen der Sicherheitsforschung möglich/praktikabel ist. Wir ermuntern euch übrigens, auch andere Seiten zu testen und zu schauen, wie gut deren Sicherheit ist.
- Ein wichtiger technischer Punkt ist das Speichern von Passwörtern, und dass man niemals Passwörter ohne wirksame Verschleierung auf einem Server speichern sollte für den Fall, dass jemand sich Zugriff zum Server verschaffen könnte. Schon seit einigen Jahren speichern wir die Passwörter unserer User auf sehr sichere Weise, nämlich als Hash mit einem sehr langen Salt. Das heisst, euer Passwort wird in eine Zeichenkette umgewandelt, die man nicht „zurückwandeln“ kann, und der „Salt“ ist eine zusätzliche Abwehrstrategie, mit der es sehr schwierig wird, auch durch „ausprobieren“ jemals auf das ursprüngliche Passwort zu kommen. D.h. sogar wenn jemand unsere komplette Datenbank an sich reissen könnte, sind eure Passwörter noch ziemlich sicher – und auch wir kennen eure Passwörter nicht, und können sie nicht herleiten. Diese Art des Passwortschutzes sollte bei Online-Diensten selbstverständlich sein, ist es jedoch nicht – auch riesige Firmen wie Adobe (Artikel dazu), LinkedIn (Artikel dazu) oder Sony (Artikel dazu) haben Kundendaten durch unsichere Server verloren und meist die Passwörter nicht einmal rudimentär sinnvoll abgesichert.
- Wir aktualisieren unsere Serversoftware regelmässig und informieren uns über neue Bedrohungsszenarien sowohl bezüglich der Website wie auch bezüglich unserer Server. Denn veraltete Serversoftware ist ein erhebliches Sicherheitsrisiko, und ebenso wie als Anwender muss man bei auch bei Servern ständig die aktuellsten Updates einspielen, um Sicherheit zu gewährleisten.
- Unsere Server stehen in einem Rechenzentrum in Bern, dass für Unbefugte nicht zugänglich ist. Direkten Zugang dazu zu erlangen ist sehr schwierig, jegliche Zutritte zum Rechenzentrum werden aufgezeichnet und nur drei Personen haben einen Schlüssel zu unserem Rack. Es wäre ausserdem auch in diesem Falle schwierig, sich unbemerkt Zugriff zu verschaffen, da wir auf den Servern ungewöhnliche Aktivitäten verfolgen und jeweils untersuchen. Die Schweiz gilt zudem als sicherer Standort für Internetdienste, und ohne eine gerichtliche Verfügung eines schweizer Gerichts erhält niemand Zugriff auf unsere Daten.
Übrigens ist auch unsere API nur verschlüsselt abrufbar, damit die künftigen Apps ebenfalls bezüglich der Übertragung sicher sind (dies ist bei vielen Apps nicht zwingend der Fall), und wir geben uns sehr mühe, unser Team vertrauenswürdig zu gestalten und möglichst seriös zu arbeiten. Denn Technik ist ein guter Anfang, um groben Missbrauch oder Datenklau zu vermeiden, aber am Ende müssen natürlich die Menschen dahinter ebenfalls vertrauenswürdig sein, um eine rundum sichere Umgebung zu schaffen.
Zum Ende möchten wir noch einige Tipps geben, was man als Nutzer tun kann, um sich optimal zu schützen:
- Immer einen möglichst aktuellen Browser verwenden, denn alte Browser haben zum einen Sicherheitslücken, zum anderen unterstützen sie meist nicht die neusten Verschlüsselungstechniken. Ich empfehle am ehesten Google Chrome und Mozilla Firefox. Safari glänzt nicht immer mit schnellen Sicherheitsupdates und beim Internet Explorer kommen bis heute immer wieder schwerwiegende Sicherheitslücken zum Vorschein, die nicht immer umgehend geschlossen werden. Opera ist als Nischenkandidat ansonsten mein Lieblingsbrowser und ebenfalls empfehlenswert.
- Windows XP sollte man heutzutage nicht mehr verwenden – der Internet Explorer unter XP ist generell nicht mehr sicher, und das gesamte Betriebssystem hat einige Schwächen. Zudem endet jegliche Unterstützung für XP im April 2014. Es wäre daher dringend nötig, auf ein neues System zu aktualisieren – mit Linux, z.B. Ubuntu, kann man durchaus den bisherigen PC sinnvoll weiterverwenden, es muss nicht zwingend eine neue Windows-Version sein.
Bei Fragen oder Anregungen zu Sicherheitsbelangen kann man uns übrigens jederzeit kontaktieren – oder hier im Blog nachfragen.
Guten Abend Lili
Danke für den Bericht – like it. :-)))
Und finde super, dass Ihr auf Perfect Forward Security umstellt habt, habe kurzlich einen Bericht darüber in der c’t gelesen.
Denke trifft den Nerv der Zeit and by the way, kann Dir bezüglich Opera nur voll zustimmen… 🙂
Und denke die Tipps sind sicherlich auch hilfreich, meine bezüglich Windows XP….
Schönen Abend und man sieht sich!! xDDD
Sehr schön! Jetzt fühle ich mich hier schon viel sicherer – Danke! 🙂
Freut mich zu lesen das ihr nicht mehr auf RC4 setzt…
Prefered Server Cipher(s):
SSLv3 256 bits ECDHE-RSA-AES256-SHA
TLSv1 256 bits ECDHE-RSA-AES256-SHA
Ein Tipp an alle User. Deaktiviert doch gleich rc4 in euren Borwsern =)
Tzja .. wer Kontroliert die Wächter…. ist immer so eine Frage… Oder Besser wer kontroliert die Hersteller von Verschlüsselungs Software… Sind es die Firmen nicht selbst , wen nicht dann Inseider wo Vertrauliche >Informationen > weiter geben… Seit Jahr Tausenden ein Spiel von Katz und Maus… Natürlich ist die Privatsphäre unantastbar…. Hoffe auch meine. Obwohl ganz Geoutet ist das nicht mehr so schlimm … Denn halt. Ich Frage mich aber auch über die Unentliche Datenfluht …… wer kann über haut aus dem Haufen noch was herausnehmen.
Quis custodiet ipsos custodes: „Wer überwacht die Wächter?“
Lieber Gruss
Danielle