Alle vertraulichen Daten wie Passwörter, Logins oder Kreditkartennummern sollten über einen verschlüsselten Kanal zwischen dem Kunden und dem Server übertragen werden. Dadurch wird der Benutzer vor einem"Man in the midle"-Angriffgeschützt, bei dem der Angreifer in die Kommunikation zwischen dem Benutzer und dem Netzwerk, das er derzeit nutzt, eingesteckt wird. Er hat Zugang zu allen Informationen, die das Opfer übermittelt, und ist daher in der Lage, diese im Falle unverschlüsselter Daten abzufangen, zu ändern oder zu zerstören. Daher ist eine angemessene Sicherheit erforderlich, um die übertragenen Daten zu schützen. Welche Art von Schutz anzuwenden ist, sollte der Informationsverwalter selbst entscheiden. Dabei kann es sich um ein SSL/TLS-Datenverschlüsselungsprotokoll sowie um ein anderes kryptografisches Schutzmittel wie die Verschlüsselung mit E-Mail und dem öffentlichen Schlüssel des Empfängers handelt. Das bildschwachste Bild zeigt eine Ansicht des erfassten unverschlüsselten Pakets, das Authentifizierungsdaten für das Abhörprogramm für den Netzwerkverkehr enthält. 
Abbildung. Ein abgefangenes unverschlüsseltes Paket mit Authentifizierungsdaten. Quelle: [Eigene Entwicklung]
In einer der getesteten Anwendungen erfolgte die Kommunikation mit dem Server über http, das nicht verschlüsselt ist. Alle Daten, die über einen solchen Kanal übertragen werden, können während der Übertragung erfasst und geändert werden. In der folgenden Grafik wird die Meldung "Keine Verschlüsselung aus Firefox "angezeigt. 
Abbildung. Eine Ansicht der Meldung, dass keine Verschlüsselung aus Firefox vorhanden ist. Quelle: [Eigene Entwicklung]
