<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

11.03.14Leser-Kommentare

Forderung nach Ende-zu-Ende-Verschlüsselung: Facebook, Google und Twitter geraten unter Zugzwang

Übertragene Daten so zu verschlüsseln, dass sie nur Absender und Empfänger einsehen können, gilt als eines der besten Mittel gegen Überwachung. Doch die dominierenden Webfirmen wie Google oder Facebook sträuben sich bislang gegen die Einführung.

Verschlüsselung

Eine der praktikabelsten Methoden, um der Massenüberwachung des digitalen Raums etwas entgegen zu setzen, ist die Ende-zu-Ende-Verschlüsselung. Das war eine der Botschaften des gestrigen Live-Stream-Auftritts von Whistleblower Edward Snowden beim South-By-Southwest-Festival im texanischen Austin. Mit dieser Form der Kryptographie, bei der Daten auf Endgeräten anstelle von Servern verschlüsselt werden und dadurch auf dem gesamten Übertragungsweg von Dritten nicht eingesehen werden können, würde die flächendeckende, anlasslose Überwachung für Geheimdienste schwieriger und deutlich teurer werden.

War das Verschlüsselungsverfahren vor einem Jahr nur den wenigsten Usern ein Begriff, haben in den letzten Monaten vor allem auf entsprechenden Mechanismen aufsetzende Smartphone-Messenger dafür gesorgt, dass die Ende-zu-Ende-Verschlüsselung eine gewisse mediale Beachtung erhält. Dienste wie Threema, TextSecure oder Telegram (teilweise) verschlüsseln so, dass nur die Besitzer der Mobiltelefone Mitteilungen ihrer Gesprächspartner lesen können. Selbst die Betreiber wissen nicht, worüber sich Benutzer in den Chats austauschen.

Snowdens Plädoyer für die verschlüsselte Übertragung von Kommunikationsdaten als Gegenmittel zu exzessiver staatlicher Überwachung wirft die Frage auf, wann die Big Player des Internetgeschäfts End-to-End-Kryptierung implementieren. Die Netzriesen verzichten auf End-to-End-Encryption

Trotz zahlreicher Initiativen und Vorstöße, mit denen die führenden Webkonzerne auf die auch ihre eigene Integrität untergrabenden Spionagemaßanhmen von NSA und befreundeten Geheimdiensten reagiert haben, fehlt es den nutzerstärksten Anwendungen bislang an einer vollständigen Verschlüsselung der Datenübertragung. Ob Facebooks Chat-Funktion, Twitters Direktnachrichten, Googles Hangout-Videochats, ob WhatsApp oder Skype - Verschlüsselungsvorkehrungen gehen von den jeweiligen Servern aus, und die Anbieter selbst sind Herr über die Schlüssel, mit denen sie Userdaten kryptieren. Das bedeutet einerseits, dass Daten während des Transports zu den Usern einfacher abgefangen werden können. Zudem sind sie für alle Parteien zugänglich, die die Keys zur serverseitigen Dekryptierung der Daten besitzen - in jedem Fall also für das jeweilige Webunternehmen.

Verschlüsselung behindert Geschäftsmodelle

Dass die nutzerstärksten sozialen Netzwerke mit der Einführung der Ende-zu-Ende-Verschlüsselung zögern, hat viele Gründe. Abgesehen von Schwierigkeiten und Kosten bei der technischen Implementierung sind entsprechende Schritte mit Abstrichen bei der Benutzerfreundlichkeit verbunden. Der größte Nachteil aus Sicht der Internetkonzerne dürfte aber kommerzieller Natur sein: Denn nahezu alle großen Akteure verdienen ihr Geld mit dem Anzeigenverkauf, der einen möglichst gläsernen User voraussetzt. Wenn die Onlinefirmen jedoch die auf ihren Servern abgelegten Kommunikationsdaten der Anwender nicht mehr zur Schaffung von Personenprofilen auswerten können, leidet die Qualität der Vermarktung. Mit anderen Worten: Ende-zu-Ende-Verschlüsselung behindert die Geschäftsmodelle von Facebook, Google & Co. Vorstellbar wäre auch, dass die Regierung und Geheimdienste Druck auf die Firmen ausüben, das Einsehen der Nutzerdaten nicht zu schwierig zu machen, um nicht in der aus ihrer Sicht wichtigen Überwachungsarbeit behindert zu werden.

Selbst WhatsApp schien trotz einer nicht auf das Durchleuchten der Anwender angewiesenen Monetarisierungsstrategie bislang kein Interesse an einer End-to-End-Encryption zu haben. Denkbar, dass das Startup damit seine Verkaufschancen erhöhen wollte. Was ja auch gut geklappt hat. Als ich im Dezember einen kurzen Mailaustausch mit Neeraj Arora von WhatsApp hatte und mich bei ihm erkundigte, wieso WhatsApp keine clientseitige Verschlüsselung anbietet, reagierte er in einem Einzeiler mit der Gegenfrage, was mich zu der Erkenntnis bringt, dass diese nicht existiere. Wahrscheinlich muss ich mir dies ausweichende Antwort selbst zuschreiben, weil ich nicht von "End-to-End-Encryption" sprach. Mehr ließ sich zu dem Sachverhalt von ihm nicht in Erfahrung bringen, weshalb auch heute unklar ist, wieso WhatsApp ausgerechnet beim Thema Sicherheit so viele Abstriche macht.

Der Druck wächst

Doch die gestrigen Verlautbarungen von Edward Snowden vor dem versammelten Tech-Publikum sowie die initiale Popularität, die stark verschlüsselten Smartphone-Messengern zu Teil wird, führen zu einer Zunahme des Drucks auch auf die Giganten des Webs, für die private Kommunikation zwischen Usern die Sicherheitsstandards weiter zu erhöhen. Es ist zu hoffen, dass der Markt sich dazu gezwungen fühlt, der wachsenden Nachfrage nach mehr Verschlüsselung Rechnung zu tragen. Egal ob dies den Aktionären von Facebook, Google und Twitter schmeckt. Zumindest Twitter kündigte vor einigen Monaten übrigens an, eine Einführung des Verfahrens für seine privaten Nachrichten in Erwägung zu ziehen. /mw

(Foto: A Smartphone shows a padlock from the National Security Agency with two chains, Shutterstock)

Kommentare

  • Manuel

    11.03.14 (12:24:02)

    Es sind sicher wirtschaftliche Interessen dahinter, aber sich sehe auch technische Schwierigkeiten: - Die Apps sollen auf mehreren Geräten funktionieren, also kann der Schlüssel nicht zufällig erzeugt werden (oder er muss übertragen werden). - Bei iOS liest das Betriebssystem die Benachrichtigungen, nicht die App => verschlüsselte Nachrichten können nicht angezeigt werden. - Bei Gruppenchats wird es bei einem Schlüssel pro Teilnehmer komplizierter, nachträglich in eine Gruppe aufnehmen wird schwierig etc.

  • web

    11.03.14 (17:12:43)

    Ganz abgesehen davon, dass die E2E-Verschlüsselung im Browser sehr schwer ist. Die Verschlüsselung/Entschlüsselung müsste per Javascript erfolgen. Und meines Wissens nach gibt es momentan kein Skript, dass das beherrscht. Es wird zwar gerade an einer WebCrypto-API gearbeitet, aber bis das mal in allen Browsern läuft kann noch viel Zeit vergehen. Neben den angesprochenen technischen Grenzen von Manuel gesellt sich also noch ein - durchaus gewichtiger - Punkt dazu. Man sollte mich übrigens nicht falsch verstehen, sehr gerne würde ich eine E2E-Verschlüsselung ÜBERALL sehen, aber es ist nun mal nicht so einfach möglich. Daher zeugt die Forderung des Autors hier leider auch eher von technischen Unwissen. Oder er hätte sie zumindest anbringen können.

  • Martin Weigert

    11.03.14 (17:17:10)

    Dass es technische und UX-Komplikationen gibt, erwähne ich ja im Artikel. Das heißt meiner Meinung aber nicht, dass die angesprochenen Firmen nicht dennoch mit dieser Form der Verschüsselung experimentieren sollten. Denkbar wäre etwa die Einführung als Zusatzfeature. So wie es Telegram anbietet. "Encrypted Chat" Im Übrigen sehe ich das Thema ohnehin nur relevant für das mobile Netz. Im Browser ist das gelaufen, aber soziale Netzwerke werden heute ohnehin primär über mobile Geräte verwendet.

  • Robert Vogel

    12.03.14 (07:42:11)

    Beim Verein Enigmabox ist die Verschlüsselung das Geschäftsmodell. Die Kommunikation ist eine End-to-End-Encryption mit Perfect Forward Secrecy und alle Dienste sind dezentral. Da müssen wir nicht auf die Konzerne warten... mehr unter http://enigmabox.net

  • massi

    14.03.14 (00:49:02)

    Ist doch absolut klar, dass sich Facebook und Co. dagegen sträuben, die verdienen ihr Geld ja damit...

  • Tobias

    19.03.14 (00:24:46)

    Bei Telekommunikationsfirmen und Banken gibt es auch keine E2E Verschlüsselung, und es gab dadurch nie nennenswerte Probleme. Aber vielleicht sollte man bei denen anfangen? Um Massenabfragen zu verhindern, braucht man generell keine E2E Verschlüsselung. Es gibt auch abgeschwächte Verschlüsselungen, die ausreichen. Wichtig ist dabei aber auch eine weitgehende Anonymisierung der Nutzerdaten. Wer E2E fordert, sollte sich auch überlegen, wer solche sicheren Dienste am meisten nutzt. Das sind nicht nur die Snowdens dieser Welt, sondern in erster Linie Kriminelle, Schwerbrecher, Mafia-Banden, Pädophile und alle anderen die wirklich was zu verstecken haben. Will man als Anbieter so jemandem 100% Schutz bieten?

Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Um Spam zu vermeiden, schreiben Sie bitte die Buchstaben aus diesem Bild in das nebenstehende Formularfeld:

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer