Die wichtigste Lehre aus den Vorgängen beim E-Mail-Provider Lavabit ist, dass man der Verschlüsselung amerikanischer Dienst-Anbieter nicht mehr vertrauen kann. Das ist nun keine Vermutung übereifriger Verschwörungstheoretiker mehr, sondern ein von einem Gericht dokumentierter Fakt.
Ein US-Gericht zwang Ladar Levison, Chef des E-Mail-Anbieters Lavabit, den geheimen Schlüssel seiner Server rauszugeben. Grund waren Ermittlungen gegen eine einzige Person – wahrscheinlich Edward Snowden. Betroffen waren alle 400.000 Lavabit-Kunden, deren Daten mit diesem Schlüssel ebenfalls dekodiert werden konnten. Als Levison versuchte, dies mit einem Trick zu umgehen, setzte US-Richter Claude M. Hilton eine tägliche Erzwingungsstrafe von 5000 US-Dollar an. Nach zwei Zahlungen gab Levison auf, übergab den Schlüssel seiner Server und stellte den Dienst komplett ein, weil er nicht mehr sicher zu betreiben war. Schon letzteres beurteilten US-Behörden als ganz knapp vor einer Straftat.
Dass diese Verfügung die Privatsphäre und vielleicht auch Firmengeheimnisse von 400.000 Lavabit-Kunden kompromittierte, gegen die gar nichts vorlag, brachte Richter Hilton nicht von dieser Anordnung ab. Er gab sich offenbar mit der Aussage eines Ermittlers zufrieden, dass sie an denen nicht interessiert seien. Und über all dies konnte der Lavabit-Betreiber nicht einmal reden.
Übertragen Sie dies auf Ihren Cloud-Anbieter: Sie müssen ab sofort davon ausgehen, dass er keines seiner Versprechen in Bezug auf Sicherheit der an ihn gesendeten oder bei ihm gelagerten Daten mehr halten kann. Im Zweifelsfall haben US-Behördern sogar schon jetzt die Schlüssel, um Zugriff auf all diese Daten zu erhalten. Ich bin jetzt sehr gespannt, wie Microsoft, Amazon, Google, Apple & Co darauf reagieren.
von ju
PS: Hat jemand eine schlaue Idee, ob beziehungsweise wie man die Wechsel der Server-Schlüssel großer Dienste nachträglich nachvollziehen kann? Es wäre überaus interessant, wie häufig da Schlüssel außerplanmäßig ausgetauscht wurden.