Microsoft will es nicht einfach hinnehmen, dass die Daten ihrer Kunden von der NSA – oder anderen Geheimdiensten – ausgespäht werden. Es geht hier schließlich um das Vertrauen der Kunden gegenüber dem Konzern. Sowohl juristisch als auch technisch will sich Microsoft wehren und zukünftiges Ausspähen verhindern.
Neben den bereits laufenden juristischen Aktionen, mit denen zumindest etwas mehr Transparenz bei den Berichten über staatliche Datenzugriffe der NSA ermöglicht werden soll, will Microsoft auch juristisch gegen das Ausspähen von im Ausland gespeicherten Daten durch die NSA vorgehen. Das Unternehmen ist der Meinung, dass die NSA dazu nicht das Recht hätte. Diese Ansicht kommt natürlich etwas überraschend, schließlich ist die Aufgabe der NSA die Auslandsspionage. Da es hier um Daten geht, die zwar im Ausland lagern, aber in Rechenzentren eines US-Unternehmens, lässt sich das sehr unterschiedlich bewerten.
Auch bei einzelnen Zugriffen auf Daten will Microsoft ggf. klagen: Zumindest Geschäfts- und Regierungskunden sollen über Anfragen auf Datenzugriff durch Behörden benachrichtigt werden und für das Recht auf diese Information will Microsoft im Einzelfall auch klagen, falls nötig. Dies habe Microsoft früher bereits getan. Warum dies aber nicht wenigstens für alle zahlenden Kunden gemacht wird erklärt Microsoft nicht.
Ebenfalls nicht für alle Kunden relevant ist die Ausweitung des Programms zur Code-Transparenz, bei dem bestimmte Kunden – vor allem Regierungskunden – die Möglichkeit erhalten in den Code von Microsoft-Produkten zu schauen und sich selbst davon zu überzeugen, dass er keine Backdoors enthält. Immerhin könnten so ggf. staatliche Einrichtungen wie das BSI den Code untersuchen und zumindest für die begutachteten Teile Hintertüren ausschließen. Inwieweit man so einem Urteil dann allerdings vertrauen möchte muss man sich überlegen.
Auf technischer Seite will Microsoft – wie auch Google – auf mehr und bessere Verschlüsselung setzen. Neben der Verschlüsselung zwischen den Servern von Microsoft und den Kunden-Systemen sollen in Zukunft auch die internen Verbindungen zwischen den Microsoft-Rechenzentren verschlüsselt werden. Dabei sollen 2048-Bit-Keys mit Perfect Forward Secrecy eingesetzt werden.
PFS ist eine Methode zur Vereinbarung von Sitzungsschlüsseln bei SSL, die verhindert, dass diese Sitzungsschlüssel im Nachhinein ausgelesen werden können. Bei einer SSL-gesicherten Verbindung wird pro Verbindung zwischen Client und Server ein einheitlicher Sitzungsschlüssel ausgehandelt, dieser wird dann auch über den Zertifikatsschlüssel des Servers gesichert übertragen. Damit wird der Sitzungsschlüssel Teil der Kommunikation. Speichert nun jemand die verschlüsselte Kommunikation und gelangt später an die Zertifikatsschlüssel, dann kann im Nachhinein auch die jeweilige Sitzung entschlüsselt werden. PFS verhindert genau das, da hier der ausgehandelte Sitzungsschlüssel nicht übertragen wird. Das Verfahren erzeugt aber mehr Rechenaufwand, was der Grund für den bislang noch seltenen Einsatz ist.
Alle diese Maßnahmen möchte Microsoft bis Ende 2014 komplett umgesetzt haben, ein großer Teil sei bereits aktiv. Und wie sieht es bei Euch aus? Vertraut Ihr Microsoft jetzt (wieder)?