Als sicherheitsbewusster Hostinganbieter würden wir vertrauliche Informationen am liebsten ausschließlich über GPG-verschlüsselte E-Mails mit unseren Kunden und externen Partnern austauschen. Das ist jedoch leider nicht immer möglich – zum Beispiel dann, wenn der jeweilige Empfänger noch keine eigene Kryptostrategie etabliert hat. Mit unserer neu entwickelten Webanwendung kommen wir diesem Ziel nun einen Schritt näher.
Verschlüsselter Informationsaustausch über Webadressen
Um auch in Fällen, in denen der Empfänger keine GPG-Verschlüsselung unterstützt, die zu schützenden Inhalte (z.B. Initialpasswörter) nicht völlig ungesichert per E-Mail verschicken zu müssen, hat unsere Security-Abteilung unter https://secrets.syseleven.de eine Plattform zum Austausch von vertraulichen Informationen aufgebaut. Die in unserem Unternehmen entwickelte Webanwendung funktioniert so, dass die auszutauschende Information via GPG verschlüsselt und in eine Webadresse konvertiert wird. Die Inhalte werden nicht auf dem Server gespeichert, sondern sind Bestandteil der generierten Webadresse. Beim Aufruf dieser Webadresse wird die verschlüsselte Information an den Server übertragen, dort via GPG wieder entschlüsselt und dem Nutzer angezeigt. Durch das Speichern einer Prüfsumme wird serverseitig verhindert, dass dieselbe Webadresse ein weiteres Mal abgerufen werden kann. Dadurch, dass der erneute Abruf der Webadresse verhindert wird, kann der tatsächliche Empfänger erkennen, wenn die vertrauliche Information von einer fremden Person abgerufen wurde. Der Empfänger kann daraufhin Gegenmaßnahmen ergreifen, zum Beispiel indem er den Absender der Information über den Vorfall informiert.
Erhöhte Sicherheit durch lokalen Passwortschutz
Seit Kurzem ist es in der Anwendung außerdem möglich, eine Information zusätzlich mit einem Passwort zu schützen, welches anschließend über einen zweiten Kanal an den Empfänger übergeben werden kann (z.B. per SMS oder Telefon). Bei Verwendung des Passwortschutzes wird die eingegebene Information lokal im Browser des Absenders verschlüsselt, noch bevor sie zur weiteren Verarbeitung an den Server übertragen wird. Auch beim Aufheben des Passwortschutzes durch den Empfänger erfolgt die Entschlüsselung lokal in dessen Browser. Auf diese Weise sind nicht einmal wir als Betreiber der Plattform in der Lage, Zugriff auf die ausgetauschte Information zu erhalten.
Augenmerk auf die Sicherheit der betriebenen Webanwendung
Da es sich bei der Plattform um eine sicherheitskritische Webanwendung handelt, haben wir keine Mühen gescheut, sie dem Stand der Technik entsprechend abzusichern. Das A+ Rating des Qualys SSL Labs und das A+ Rating des Mozilla Observatorybestätigen dies.
Quelltext der Plattform als Open Source veröffentlicht
Unserer Auffassung nach stößt jedes Unternehmen früher oder später auf das Problem, vertrauliche Informationen nicht ungeschützt übertragen zu wollen. Aus diesem Grund haben wir uns dazu entschlossen, den Quelltext der Anwendung als Open Source zu veröffentlichen. Der gesamte Quelltext und weitere Informationen sind über das neu eingerichtete Github-Repository verfügbar.
Unsere Hoffnung ist, mit der Einführung des Dienstes einen Beitrag zur Sicherheit unserer Kunden und externen Partner zu leisten. Zudem hoffen wir, andere Unternehmen mit der Veröffentlichung des Quelltextes beim Aufbau sicherer Kommunikationswege im Internet zu unterstützen.
Wir freuen uns über Fragen und Anregungen, wie wir die Anwendung zum verschlüsselten Informationsaustausch auf secrets.syseleven.de weiter verbessern können. Hinterlasst einen Kommentar im Blog oder sendet eine E-Mail an secrets@syseleven.de.