Als sicherheitsbewusster Hostinganbieter würden wir vertrauliche Informationen am liebsten ausschließlich über GPG-verschlüsselte E-Mails mit unseren Kunden und externen Partnern austauschen. Das ist jedoch leider nicht immer möglich – zum Beispiel dann, wenn der jeweilige Empfänger noch keine eigene Kryptostrategie etabliert hat. Mit unserer neu entwickelten Webanwendung kommen wir diesem Ziel nun einen Schritt näher.
Verschlüsselter Informationsaustausch über Webadressen
Um auch in Fällen, in denen der Empfänger keine GPG-Verschlüsselung unterstützt, die zu schützenden Inhalte (z.B. Initialpasswörter) nicht völlig ungesichert per E-Mail verschicken zu müssen, hat unsere Security-Abteilung unter https://secrets.syseleven.de eine Plattform zum Austausch von vertraulichen Informationen aufgebaut. Die in unserem Unternehmen entwickelte Webanwendung funktioniert so, dass die auszutauschende Information via GPG verschlüsselt und in eine Webadresse konvertiert wird. Die Inhalte werden nicht auf dem Server gespeichert, sondern sind Bestandteil der generierten Webadresse. Beim Aufruf dieser Webadresse wird die verschlüsselte Information an den Server übertragen, dort via GPG wieder entschlüsselt und dem Nutzer angezeigt. Durch das Speichern einer Prüfsumme wird serverseitig verhindert, dass dieselbe Webadresse ein weiteres Mal abgerufen werden kann. Dadurch, dass der erneute Abruf der Webadresse verhindert wird, kann der tatsächliche Empfänger erkennen, wenn die vertrauliche Information von einer fremden Person abgerufen wurde. Der Empfänger kann daraufhin Gegenmaßnahmen ergreifen, zum Beispiel indem er den Absender der Information über den Vorfall informiert.
Erhöhte Sicherheit durch lokalen Passwortschutz
Seit Kurzem ist es in der Anwendung außerdem möglich, eine Information zusätzlich mit einem Passwort zu schützen, welches anschließend über einen zweiten Kanal an den Empfänger übergeben werden kann (z.B. per SMS oder Telefon). Bei Verwendung des Passwortschutzes wird die eingegebene Information lokal im Browser des Absenders verschlüsselt, noch bevor sie zur weiteren Verarbeitung an den Server übertragen wird. Auch beim Aufheben des Passwortschutzes durch den Empfänger erfolgt die Entschlüsselung lokal in dessen Browser. Auf diese Weise sind nicht einmal wir als Betreiber der Plattform in der Lage, Zugriff auf die ausgetauschte Information zu erhalten.
Augenmerk auf die Sicherheit der betriebenen Webanwendung
Da es sich bei der Plattform um eine sicherheitskritische Webanwendung handelt, haben wir keine Mühen gescheut, sie dem Stand der Technik entsprechend abzusichern. Das A+ Rating des Qualys SSL Labs und das A+ Rating des Mozilla Observatorybestätigen dies.
