<< Themensammlung Netzwertig

Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

24.06.13

Wuala, Stackfield, Threema & Boxcryptor: Verschlüsselung als Impfstoff gegen Überwachung

Verschiedene Onlinedienste aus Deutschland und der Schweiz wollen Nutzern mittels clientseitiger Verschlüsselung dabei helfen, sich gegen digitale Überwachung zu schützen.

Seit Jahren kritisieren einige User die an Endanwender gerichteten sozialen Netzwerke und Onlineplattformen, weil sie zu viele Nutzerdaten zum Zwecke der Werbevermarktung sammeln und damit die Privatsphäre der User gefährden würden. Aus diesen Bedenken resultierte der Ruf nach dezentralen Plattformen, bei denen Anwender Herr oder Frau über ihre Daten sind und selbst entscheiden, wann und in welcher Form Dritte auf diese Zugriff haben. Allerdings hielt sich die Zahl derjenigen User, die zu einem derartigen Schluss kam, stets in Grenzen, weswegen selbst medienwirksam angeschobene Projekte zum Etablieren einer dezentralen Struktur, wie Diaspora, kläglich scheiterten.

Doch mit dem Bekanntwerden weitreichender staatlicher Überwachungsinitiativen wie PRISM und Tempora erreicht die Frage nach dem Schutz persönlicher Daten schlagartig auch Gewicht für all diejenigen Netzbürger, die sich an dem Tauschgeschäft "Daten gegen Gratisdienste" nicht stören und deshalb bisher wenig Grund hatten, die tonangebenden Cloudservices wie Facebook oder Google anzuzweifeln. Nun geht es nicht mehr länger nur um wertegesteuerte, individuell unterschiedlich beantwortete Fragen - etwa ob anhand der Analyse von persönlichen Daten relevanter gestaltete Anzeigen einen Fluch oder Segen darstellen - sondern um die Bewahrung persönlicher Grundrechte. Selbst die sorglosesten Personen müssen jetzt darüber nachdenken, ob die staatliche Totalüberwachung ihrer kompletten Netzaktivität mit unvorhersehbaren Konsequenzen für die Zukunft noch ihrer Vorstellung des Freiheitsbegriffs entspricht. Egal ob sie glauben, etwas zu verbergen zu haben oder nicht. Clientseitige Verschlüsselung als praktikabler Schutz

Da es nun nicht mehr allein um den rechtlich per Geschäftsbedingungen legitimierten Zugriff auf Anwenderdaten durch kommerzielle Webfirmen geht, sondern um das heimliche Abhören durch Unbefugte - entweder über einen erzwungenen Seitenzugang zu den Servern, oder im Stile von Tempora durch geheimes Anzapfen von Kommunikationsleitungen und Analysieren der darüber verschickten Datenpakete - sind die von Usern verschmähten dezentrale Serverstrukturen nicht mehr eindeutig das beste Mittel, um die Integrität und Daten der Anwender zu schützen. Stattdessen versprechen Anbieter, die eine clientseitige Verschlüsselung von Userdaten erlauben, einen pratikablen Schutz vor der allzu leichten Auskundschaftung durch Behörden. Bekannte Onlineservices verschlüsseln Nutzerdaten zwar während der Übertragung auf ihre Server mittels TLS/SSL, sind aber stets in der Lage, einzelne in ihren Rechenzentren lagernde Informationen einzusehen. Gleiches gilt für Dritte wie etwa Hacker, Sicherheitsbehörden oder Geheimdienste, die sich per Gerichtsbeschluss, geheimer Kooperation (PRISM) oder widerrechtlichem Eindringen Zugang zu den Servern verschaffen.

Bei der clientseitigen Verschlüsselung dagegen werden sämtliche Daten lokal auf dem jeweiligen Endgerät verschlüsselt. Das hat zur Folge, dass die Betreiber von Servern, auf denen solche Dateien abgelegt werden, diese nicht einsehen können. Ihnen fehlt der entsprechende Schlüssel, der nur dem Endanwender bekannt ist beziehungsweise auf dessen Endgerät lagert. In diesem Szenario können Sicherheitsbehörden und Geheimdienste noch so sehr Druck ausüben und Server oder Datenleitungen anzapfen: Die Daten selbst bleiben ihnen erst einmal verborgen. Zwar könnten sie versuchen, diese selbst zu entschüsseln, und es ist davon auszugehen, dass die notwendigen Kenntnisse und Rechenleistungen existieren. Doch dies kostet Zeit und erschwert spionierenden Organisationen das Belauschen zumindest ein Stückweit.

Wuala, Stackfield, Threema und Boxcryptor weisen den Weg

Einer der Pioniere im Bereich von clientseitiger Verschlüsselung ist der Schweizer Dropbox-Konkurrent Wuala, der gerade in seinem Unternehmensblog die Gelegenheit nutzt, abermals auf seine hohen Sicherheitsstandards hinzuweisen. Dieser Tage geht zudem mit Stackfield ein aus München stammender Kollaborationsdienst für Business- und Privatnutzer an den Start, der ebenfalls eine clientseitige Encryption einsetzt (unser Bericht). Weder die Macher des Dienstes noch Dritte haben Einblick in die Konversationen und Datentransfers, die über Stackfield abgewickelt werden. Ein weiterer Aspirant in diesem jetzt Morgenluft schnuppernden Segment heißt Threema. Bei der wie Wuala aus der Schweiz stammenden App für iOS und Android handelt es sich um einen WhatsApp-Konkurrenten mit clientseitiger Verschlüsselung. WhatsApp partizipierte zwar gemäß der bisherigen Leaks nicht am NSA-Überwachungsprogramm, ist mit 250 Millionen aktiven Usern und einer wachsenden Bedeutung als Tool für politische Aktivisten aber höchst attraktiv für Ermittler. Wer partout keine clientseitige Verschlüsselung anbietende Cloudspeicherdienste wie Dropbox, Google Drive, Box oder SkyDrive einsetzen will, der kann sich mit der Software des bayerischen Startups Boxcryptor behelfen. Diese fungiert sozusagen als Nachrüstungskit, um die bei den genannten Services zu speichernde Dateien direkt auf Endgeräten zu verschlüsseln.

Abstriche für Anbieter und Nutzer

Die lokale Verschlüsselung bringt im Vergleich zur Verfahren, bei denen allein die Datenübertragung verschlüsselt wird, einige Nachteile mit sich. Für Anbieter verringern sich die Möglichkeiten, die Nutzerdaten zu Werbezwecken oder zur Erweiterung der Funktionalität zu analyisieren und auszuwerten, was sich negativ auf die Wahrnehmung des Geschäftspotenzials auswirkt. Auch nehmen die technischen Herausforderungen und Komplikationen zu, was das Tempo der Bearbeitung von Feature-Requests verlangsamen kann. Wuala benötigte genau aus diesem Grund deutlich länger als die geringere Sicherheitsstandards ansetzenden Wettbewerber, um mobile Apps auf den Markt zu bringen. User zahlen für das gute Gewissen, sich sicherer im Netz zu bewegen, mit Abstrichen in Sachen Nutzerkomfort und Funktionsvielfalt. So erschwert etwa die clientseitige Encryption das Teilen von Dateien mit anderen.

Diese Faktoren haben dazu geführt, dass sich das Verschlüsselungsverfahren bislang nicht im größeren Stil durchsetzen konnte. Zu vage und unwahrscheinlich erschienen den meisten Usern die Bedrohungsszenarien, die sich durch den Einsatz der clientseitigen Encryption verhindern lassen. Es ist zu befürchten, dass selbst die momentanen Enthüllungen von Whistleblower Edward Snowden daran nichts ändern werden. Zudem garantiert freilich auch die beschriebene Verschlüsselung keinen absoluten Schutz. Diesen darf man im Web grundsätzlich nicht erwarten. Dennoch erscheint es im Angesicht des sich zuspitzenden Spannungsverhältnisses zwischen Bürgerrechten und Sicherheitsbedürfnissen im digitalen Zeitalter angemessen, als Nutzer Maßnahmen zu ergreifen, um sich vor allzu großer staatlicher Willkür zu schützen. Die massiven Überwachungsprogramme belegen, dass man nicht länger paranoid sein muss, um zu einem solchen Schluss zu kommen. /mw

(Foto: "Security Camera" von Shutterstock)

Das könnte Sie auch interessieren

Förderland-Newsletter

Wissen für Gründer und Unternehmer