Entsinnen Sie sich? Vor 3 Monaten haben wir unseren AppTipp der Lösung SecureSafe gewidmet und im Beitrag AppTipp: SecureSafe — Passwortsafe für Passworte und Dokumente für Android und iOS in der Schweiz empfohlen, diese Lösung einzusetzen.
In den letzten Wochen haben wir mehrfach Nachfragen erhalten, ob SecureSafe vor dem Hintergrund der nunmehr bekannten Totalkontrolle und Totalüberwachung durch die NSA überhaupt sicher sein kann. Wir können Ihnen diese Sicherheit nicht garantieren. Denn die Sicherheit jeder kryptografischen Lösung hängt ganz zentral von der Glaubwürdigkeit des Anbieters ab.
Insofern ist eine Entscheidung sehr einfach – kryptografische Lösungen aus den USA sind IMMER unsicher und kompromittiert, da Verschlüsselungen > 56 Bit IMMER der US-Exportkontrolle unterliegen, die im Auftrag des US-Handelsministeriums von der NSA durchgeführt wird. Dies gilt für Hard– und Software. US-Hersteller werden im Zuge der US-Exportkontrolle gezwungen entweder eine Backdoor in das System zu integrieren oder die Verschlüsselung offenzulegen bzw. zu kompromittieren.
SecureSafe unterliegt in keiner Weise US-Recht, dies ist der wesentliche Vorteil der Lösung. SecureSafe kommt aus der Schweiz, das Unternehmen unterliegt schweizerischer Kontrolle und auch die Inhaber sind Schweizer. All dies garantiert nicht, dass SecureSafe nicht mit der NSA zusammenarbeitet. Aber es deutet sehr viel darauf hin, dass die Schweizer nicht so dumm sind, mit Amerikanern bzw. noch schlimmer der NSA zusammenzuarbeiten.
Michael Tschannen, Leiter Forschung und Entwicklung, hat zu diesem Thema meines Erachtens vor einigen Wochen sehr überzeugend im Blog von SecureSafe Stellung genommen. Im Beitrag PRISM, Tempora – How can I trust SecureSafe? adressiert Tschannen genau diese Fragen zur Glaubwürdigkeit von SecureSafe:
Wie kann ich sicher sein, dass die NSA keine Hintertür in SecureSafe eingebaut hat?
SecureSafe ist zu 100% Schweizerisch: Unsere Software ist in der Schweiz entwickelt, sämtliche Kundendaten sind in hochsicheren Schweizer Datencentern abgelegt und sogar die Besitzer von SecureSafe kommen ausschliesslich aus der Schweiz. Durch unseren Firmensitz in der Schweiz unterstehen wir Schweizerischem Recht, welches sehr viel stärkeren Privatsphärenschutz bietet, als die Gesetze in den meisten anderen Ländern. Somit hat die NSA keinerlei rechtliche Grundlage, Software-Firmen wie uns unter Druck zu setzen.
Dies muss man selbstverständlich nicht glauben. Aber man kann es. Denn der Glaube an die Integrität des Anbieters ist eine wesentliche Basis für den Einsatz einer kryptografischen Lösung. Und hierbei ist ganz besonders wichtig, dass SecureSafe ausschließlich Schweizer Investoren gehört – keine fragwürdigen amerikanischen Venture-Capital-Firmen stellen die Integrität in Frage.
Tschannen weist in seinem Beitag auf einige wesentliche Fakten hin:
(Wir haben) … einige Schutzmechanismen direkt in den Kern von SecureSafe integriert. So können wir die Sicherheit Ihrer Daten jederzeit garantieren und sind auch gegen die Datenspähprogramme bestens gerüstet.
Bereits im Jahr 2008 sind wir davon ausgegangen, dass SSL-verschlüsselter Datenverkehr abgehört werden kann. Aus diesem Grund haben wir unser System so aufgebaut, dass die Sicherheit nicht nur auf SSL basiert, sondern haben noch eine eigene, zusätzliche Verschlüsselungs-Ebene hinzugefügt.
Bei SecureSafe sind sensitive Daten somit zusätzlich verschlüsselt, und zwar mit einem Schlüssel, der niemals über das Internet verschickt wird. Ihre Daten können somit selbst dann nicht eingesehen werden, falls jemand direkten Zugriff auf den Datenverkehr zwischen Ihnen und SecureSafe haben sollte.
Es gibt aktuell keinen technischen Beweis dafür, dass die NSA in der Lage ist, sämtlichen Internet-Datenverkehr zu entschlüsseln. Sogar Edward Snowden sagte kürzlich in einer Fragerunde mit dem Guardian:
Verschlüsselung funktioniert. Korrekt implementierte starke Krypto-Systeme gehören zu den wenigen Dingen, auf die wir uns verlassen können.
Ihre sensitivsten SecureSafe-Daten wie Ihre lokale Passwort-Kopie und DoubleSec-Daten – sind auf Ihrem mobilen Gerät so abgelegt, dass sie bei einem Backup nicht vom Gerät kopiert werden. Somit können Sie mit SecureSafe sogar Online-Backups sicher nutzen.
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“