Unter netzwertig veröffentlichen wir in unserem Blog Einschätzungen zu aktuellen digitalen Geschäftsmodellen und IT-Trends, Meldungen, Analysen, Reviews und Specials.

24.06.13 07:11

, von Martin Weigert

Wuala, Stackfield, Threema & Boxcryptor: Verschlüsselung als Impfstoff gegen Überwachung

Verschiedene Onlinedienste aus Deutschland und der Schweiz wollen Nutzern mittels clientseitiger Verschlüsselung dabei helfen, sich gegen digitale Überwachung zu schützen.

Seit Jahren kritisieren einige User die an Endanwender gerichteten sozialen Netzwerke und Onlineplattformen, weil sie zu viele Nutzerdaten zum Zwecke der Werbevermarktung sammeln und damit die Privatsphäre der User gefährden würden. Aus diesen Bedenken resultierte der Ruf nach dezentralen Plattformen, bei denen Anwender Herr oder Frau über ihre Daten sind und selbst entscheiden, wann und in welcher Form Dritte auf diese Zugriff haben. Allerdings hielt sich die Zahl derjenigen User, die zu einem derartigen Schluss kam, stets in Grenzen, weswegen selbst medienwirksam angeschobene Projekte zum Etablieren einer dezentralen Struktur, wie Diaspora, kläglich scheiterten.

Doch mit dem Bekanntwerden weitreichender staatlicher Überwachungsinitiativen wie PRISM und Tempora erreicht die Frage nach dem Schutz persönlicher Daten schlagartig auch Gewicht für all diejenigen Netzbürger, die sich an dem Tauschgeschäft "Daten gegen Gratisdienste" nicht stören und deshalb bisher wenig Grund hatten, die tonangebenden Cloudservices wie Facebook oder Google anzuzweifeln. Nun geht es nicht mehr länger nur um wertegesteuerte, individuell unterschiedlich beantwortete Fragen - etwa ob anhand der Analyse von persönlichen Daten relevanter gestaltete Anzeigen einen Fluch oder Segen darstellen - sondern um die Bewahrung persönlicher Grundrechte. Selbst die sorglosesten Personen müssen jetzt darüber nachdenken, ob die staatliche Totalüberwachung ihrer kompletten Netzaktivität mit unvorhersehbaren Konsequenzen für die Zukunft noch ihrer Vorstellung des Freiheitsbegriffs entspricht. Egal ob sie glauben, etwas zu verbergen zu haben oder nicht. Clientseitige Verschlüsselung als praktikabler Schutz

Da es nun nicht mehr allein um den rechtlich per Geschäftsbedingungen legitimierten Zugriff auf Anwenderdaten durch kommerzielle Webfirmen geht, sondern um das heimliche Abhören durch Unbefugte - entweder über einen erzwungenen Seitenzugang zu den Servern, oder im Stile von Tempora durch geheimes Anzapfen von Kommunikationsleitungen und Analysieren der darüber verschickten Datenpakete - sind die von Usern verschmähten dezentrale Serverstrukturen nicht mehr eindeutig das beste Mittel, um die Integrität und Daten der Anwender zu schützen. Stattdessen versprechen Anbieter, die eine clientseitige Verschlüsselung von Userdaten erlauben, einen pratikablen Schutz vor der allzu leichten Auskundschaftung durch Behörden. Bekannte Onlineservices verschlüsseln Nutzerdaten zwar während der Übertragung auf ihre Server mittels TLS/SSL, sind aber stets in der Lage, einzelne in ihren Rechenzentren lagernde Informationen einzusehen. Gleiches gilt für Dritte wie etwa Hacker, Sicherheitsbehörden oder Geheimdienste, die sich per Gerichtsbeschluss, geheimer Kooperation (PRISM) oder widerrechtlichem Eindringen Zugang zu den Servern verschaffen.

Bei der clientseitigen Verschlüsselung dagegen werden sämtliche Daten lokal auf dem jeweiligen Endgerät verschlüsselt. Das hat zur Folge, dass die Betreiber von Servern, auf denen solche Dateien abgelegt werden, diese nicht einsehen können. Ihnen fehlt der entsprechende Schlüssel, der nur dem Endanwender bekannt ist beziehungsweise auf dessen Endgerät lagert. In diesem Szenario können Sicherheitsbehörden und Geheimdienste noch so sehr Druck ausüben und Server oder Datenleitungen anzapfen: Die Daten selbst bleiben ihnen erst einmal verborgen. Zwar könnten sie versuchen, diese selbst zu entschüsseln, und es ist davon auszugehen, dass die notwendigen Kenntnisse und Rechenleistungen existieren. Doch dies kostet Zeit und erschwert spionierenden Organisationen das Belauschen zumindest ein Stückweit.

Wuala, Stackfield, Threema und Boxcryptor weisen den Weg

Einer der Pioniere im Bereich von clientseitiger Verschlüsselung ist der Schweizer Dropbox-Konkurrent Wuala, der gerade in seinem Unternehmensblog die Gelegenheit nutzt, abermals auf seine hohen Sicherheitsstandards hinzuweisen. Dieser Tage geht zudem mit Stackfield ein aus München stammender Kollaborationsdienst für Business- und Privatnutzer an den Start, der ebenfalls eine clientseitige Encryption einsetzt (unser Bericht). Weder die Macher des Dienstes noch Dritte haben Einblick in die Konversationen und Datentransfers, die über Stackfield abgewickelt werden. Ein weiterer Aspirant in diesem jetzt Morgenluft schnuppernden Segment heißt Threema. Bei der wie Wuala aus der Schweiz stammenden App für iOS und Android handelt es sich um einen WhatsApp-Konkurrenten mit clientseitiger Verschlüsselung. WhatsApp partizipierte zwar gemäß der bisherigen Leaks nicht am NSA-Überwachungsprogramm, ist mit 250 Millionen aktiven Usern und einer wachsenden Bedeutung als Tool für politische Aktivisten aber höchst attraktiv für Ermittler. Wer partout keine clientseitige Verschlüsselung anbietende Cloudspeicherdienste wie Dropbox, Google Drive, Box oder SkyDrive einsetzen will, der kann sich mit der Software des bayerischen Startups Boxcryptor behelfen. Diese fungiert sozusagen als Nachrüstungskit, um die bei den genannten Services zu speichernde Dateien direkt auf Endgeräten zu verschlüsseln.

Abstriche für Anbieter und Nutzer

Die lokale Verschlüsselung bringt im Vergleich zur Verfahren, bei denen allein die Datenübertragung verschlüsselt wird, einige Nachteile mit sich. Für Anbieter verringern sich die Möglichkeiten, die Nutzerdaten zu Werbezwecken oder zur Erweiterung der Funktionalität zu analyisieren und auszuwerten, was sich negativ auf die Wahrnehmung des Geschäftspotenzials auswirkt. Auch nehmen die technischen Herausforderungen und Komplikationen zu, was das Tempo der Bearbeitung von Feature-Requests verlangsamen kann. Wuala benötigte genau aus diesem Grund deutlich länger als die geringere Sicherheitsstandards ansetzenden Wettbewerber, um mobile Apps auf den Markt zu bringen. User zahlen für das gute Gewissen, sich sicherer im Netz zu bewegen, mit Abstrichen in Sachen Nutzerkomfort und Funktionsvielfalt. So erschwert etwa die clientseitige Encryption das Teilen von Dateien mit anderen.

Diese Faktoren haben dazu geführt, dass sich das Verschlüsselungsverfahren bislang nicht im größeren Stil durchsetzen konnte. Zu vage und unwahrscheinlich erschienen den meisten Usern die Bedrohungsszenarien, die sich durch den Einsatz der clientseitigen Encryption verhindern lassen. Es ist zu befürchten, dass selbst die momentanen Enthüllungen von Whistleblower Edward Snowden daran nichts ändern werden. Zudem garantiert freilich auch die beschriebene Verschlüsselung keinen absoluten Schutz. Diesen darf man im Web grundsätzlich nicht erwarten. Dennoch erscheint es im Angesicht des sich zuspitzenden Spannungsverhältnisses zwischen Bürgerrechten und Sicherheitsbedürfnissen im digitalen Zeitalter angemessen, als Nutzer Maßnahmen zu ergreifen, um sich vor allzu großer staatlicher Willkür zu schützen. Die massiven Überwachungsprogramme belegen, dass man nicht länger paranoid sein muss, um zu einem solchen Schluss zu kommen. /mw

(Foto: "Security Camera" von Shutterstock)

© 2015 förderland
RSS Feed Beobachten

Kommentare: Wuala, Stackfield, Threema & Boxcryptor: Verschlüsselung als Impfstoff gegen Überwachung

Für "Encryption" gibt es auch ein deutsches Wort, das nicht ganz so Kacke klingt...

Diese Nachricht wurde von HansPeterUnbekann am 24.06.13 (08:13:36) kommentiert.

Vielen Dank für den Artikel. Es sollte wirklich noch lauter "getrommelt" werden, damit dies in die Köpfe der Nutzer geht... Gut, dass ihr mit dem Artikel bei Rivva relativ weit oben steht. Ich bin seit 2 Jahren zahlender Wuala Kunde, allerdings kein IT-Security-Spezialist. Es geht also hauptsächlich um Vertrauen in den Dienst und der ist durch den unmittelbaren Einfluss von Seagate auf Wuala nicht unbedingt gestiegen... Darüber hinaus muss man (ggü. Dropbox) Abstriche im Komfort hinnehmen, insbesondere die Mac Integration ist noch sehr verbesserungsbedürftig. Dies ist jedoch aus meiner Sicht zu verschmerzen. Threema habe ich erst seit ein paar Tagen im Einsatz und im ersten Eindruck gibt es keine spürbaren Unterschiede ggü. WhatsApp. Hier hapert es nur an der Verbreitung...

Diese Nachricht wurde von pmuc am 24.06.13 (08:35:44) kommentiert.

Es tut mir leid, aber in die Kirche der Verschlüsselung trete ich nicht ein. Ich vor einem Jahr mal bei einem Kunden von mir den ich schon über 10 Jahre nicht mehr betreue. Damals habe ich in Cobol geschrieben und mir immer ein Hintertürchen aufgelassen, das Hintertürchen gab es in völlig neuer Systemumgebung immer noch, ich hätte tun und lassen können was ich wollte. Hab ich natürlich nicht. Aber so arbeiten Programmierer nun einmal und irgendwer wird den Nationalstaaten schon diese Zugänge verkaufen, gerade zu den Verschlüsselungsprogammen und das Ganze kehrt sich ins Gegenteil um. Politiker, Militärs aber vor allem die Schlapphüte sind strunzdoof. Für die ist eine Verschlüsselung ein Indiz das etwas vorliegt und das macht sie an. Sike werden also viel schärfer überwachen. Anders ist das mit dem Rest der Menschheit, der schmeisst die einfach mit Daten zu. Da können sie automatisch nur nach Wortkombinationen suchen und da die Maschinen da Unmengen an Mist auswerfen, kommt schnell der Zeitpunkt wo ein Mensch auf den Knopf drückt und euch für ungefährlich erklärt und das System euch einfach überliest. Abgehört und ausgepäht werden wir so oder so.

Diese Nachricht wurde von Jochen Hoff am 24.06.13 (12:30:05) kommentiert.

Boxcryptor ist ein guter Tipp für alle,die weiterhin Clouddienste nutzen. Wohl auch besser für “Verschlüssler” und Cloudanbieter verschiedene Firmen zu wählen. Aber mal sehen,wie lange es dauert,bis Gesetze erlassen werden,die das Einbauen von “Hintertüren” etwa in VPN Software vorsehen. Wirklich sicher ist dann wirklich nur noch die Benutzung von Programmen wie Tor.

Diese Nachricht wurde von agoy am 24.06.13 (13:06:56) kommentiert.

Das ist schrecklich! Weder ich noch andere mir bekannte Entwickler haben jemals Hintertüren in die Programme integriert die wir geschrieben haben. Das ist sicher nicht die die Art wie ein normaler Programmierer arbeitet. Sie sind leider ein schwarzes Schaf dieser Zunft und hoffentlich eines der wenigen. Geben wird es schwarze Schafe immer, genau wie es diese Art von Denken wohl immer geben wird, schließlich ist auch die Stasi, Tempora und Prism von Menschen erdacht. Aber die Mehrheit der Menschen kann deswegen nicht unter Generalverdacht gestellt werden. Und solange Verschlüsselung der einzige Weg für diese Mehrheit ist um privates zu schützen, muss diese eingesetzt werden!

Diese Nachricht wurde von Martin Turm am 27.06.13 (19:27:14) kommentiert.

Ach Martin, erzählen Sie doch keine Märchen. In den meisten Programmen sind versteckte debugging-Programmteile eingebaute die uns vor Ort die Fehlersuche erleichtern sollen, das sind Hintertüren, ob sie die so nennen wollen oder nicht und das wird auch bei der vielgelobten Verschlüsselungssoftware nicht anders sein. Immer da wo viel Geld oder die Interessen von Nationalstaaten im Spiel sind gibt es keine Sicherheit, egal was sie sagen. Vermutlich setzen sie auch Adblocker ein um sich denen auszuliefern. Nein mein Freund, hören sie auf sich selbst und die anderen zu belügen. Sehen wir der Wahrheit ins Auge und lachen den Überwachern ins Gesicht. Sie können uns nicht alle einsperren und wenn wir nur ein wenig solidarisch sind, können sie uns mal kreuzweise.

Diese Nachricht wurde von Jochen Hoff am 28.06.13 (02:57:38) kommentiert.

Was mir Sorgen macht: Ein Webdienst kann vom Staat verpflichtet werden, Dateien preiszugeben. Wieso sollte ein Anbieter von Verschlüsselungssoftware nicht verpflichtet werden, eine Backdoor einzubauen. Wird ein Tool wie Boxcryptor irgendwann von der großen Masse angenommen, gehen NSA und Co. zu deren Devs genauso wie zu den Dropbox-Admins. Backdoor ist Backdoor. In meinen Augen ist das Risiko zur Zeit ausreichend gering, und Boxcryptor und Co. für Privatnutzer ausreichend sicher. Aber der richtige Weg wäre meiner Ansicht nach die Vereinfachung freier, etablierter Software. GnuPG, Truecrypt etc. sind sehr sicher, aber zu komplex für die Masse. Und würden da irgendwann Backdoors bekannt werden, könnten unabhängige Devs Schadensbegrenzung betreiben und die letzte Version vor der Backdoor forken.

Diese Nachricht wurde von George am 30.06.13 (18:33:37) kommentiert.

Guter Einwand. Ein Mittel wäre für Anbieter noch, wegzuziehen, wenn sie zu einer Backdoor gezwungen werden sollen. Ist natürlich nicht immer praktikabel.

Diese Nachricht wurde von Martin Weigert am 01.07.13 (11:52:09) kommentiert.

Nur ein kleiner Hinweis: Als deutsches Unternehmen (mit Sitz in der Werner-von-Siemens-Str. 6, 86159 Augsburg) gibt es kein Gesetz das uns zum Einbau einer Backdoor zwingen könnte - schon gleich gar kein US-Gesetz. Unabhängig davon, dass wir derartiges niemals mit unseren moralischen Vorstellungen vereinbaren könnten.

Diese Nachricht wurde von Robert Freudenreich am 01.07.13 (13:12:42) kommentiert.

Wobei natürlich nicht ausgeschlossen ist, dass soetwas nicht in Zukunft auch vom deutschen Gesetzgeber eingefordert wird.

Diese Nachricht wurde von Martin Weigert am 01.07.13 (13:25:31) kommentiert.

Soweit ich weiß, wird auch in Staaten wie der USA zu Backdoors gedrängt, in dem man Behörden wie der NSA Kompetenzen gibt, um "Sicherheitsmaßnahmen" zu erzwingen. Es muss keine Backdoor-Pflicht im Gesetzbuch stehen, nur Zwang zur Kooperation mit den Behörden in "begründeten" Fällen. Ich denke, Boxcryptor und Co. sind für die üblichen use cases der meisten Nutzer locker ausreichend. So etwas zu knacken (gehen wir mal davon aus, dass keine Backdoor drin ist), ist schwierig genug. Zu unsicher für Snowden, aber sicher genug für mich. Trotzdem sind Lösungen wie Boxcryptor nicht optimal. Liegt nicht am Anbieter, sondern an der grundlegenden Struktur "closed source in Unternehmerhand). @Martin: Gibt es solche Umzüge aus politischen Gründen denn in der Web-Szene? Habe mal Umzüge von D nach UK und von Schweden nach D mitbekommen, aber ein Umzug auf die Kokosnussinseln oder so? Wie wahrscheinlich wäre denn Google auf den Bahamas? Weniger Steuern + weitgehende Freiheit, zu speichern und zu löschen was man will, sind eigentlich doch recht starke Argumente. Mir würde es auf den Wecker gehen, mit meinem Cloud-Dienst in den USA zu hocken. Zig Arbeitsstunden gehen für Anfragen der Behörden drauf, und jeder klar denkende Mensch weiß sowieso, wie unmoralisch die Kooperation in diesem Fall eigentlich ist. Bin gespannt, ob sich das Verhalten der Politik auf die Menge der Startup-Gründungen im jeweiligen Land auswirken wird.

Diese Nachricht wurde von Georg am 01.07.13 (22:00:20) kommentiert.

Ich denke es müsste mehr Firmen wie Threema geben um Druck auf andere Messenger-Anbieter auszuüben damit ein umdenken stattfindet im Bezug auf Sicherheitsstandards.

Diese Nachricht wurde von Elias am 20.07.13 (17:57:41) kommentiert.
Diesen Beitrag kommentieren:

Die Kommentare können nur zwischen 9 und 16 Uhr
freigeschaltet werden. Wir bitten um Verständnis.

Titel*

Name*

E-Mail*

(Wird nicht veröffentlicht!)

URL

Kommentar*

Um Spam zu vermeiden, lösen Sie bitte folgende Rechenaufgabe:

Förderland-Newsletter

Wissen für Gründer und Unternehmer