Ende-zu-Ende-Verschlüsselung ist nicht genug Sicherheit für ‚echte Menschen‘

Regierungsbeauftragte suchen die Hilfe von Technologiefirmen, um Terrorismus und Kriminalität zu bekämpfen. Allerdings würde die am häufigsten vorgeschlagene Lösung die Sicherheit für die Menschen in der Online-Kommunikation enorm einschränken. Außerdem ignoriert sie, dass Regierungen auch andere Möglichkeiten haben, um Ziele von Untersuchungen elektronisch zu überwachen.

Im Juni haben sich Geheimdienstmitarbeiter der Regierungen der Nationen der Five Eyes Alliance im kanadischen Ottawa getroffen, um darüber zu reden, wie sie Technologieunternehmen dazu überreden, „die Verschlüsselung der Nachrichten von Terroristen zu verhindern.“ Im Juli rief der australische Premierminister Malcolm Turnball Technologiefirmen dazu auf, dass man freiwillig alle Systeme, die Nachrichten komplett im Transit vom Sender zum Empfänger verschlüsseln – ein Ansatz, der auch als Ende-zu-Ende-Verschlüsselung bekannt ist, verbannen müsse. Die britische Innenministerin Amber Rudd machte am 31. Juli weltweite Schlagzeilen mit ihrer Aussage, dass echte Menschen keine Ende-zu-Ende-Verschlüsselungen benötigen.

Diese Behauptungen ignorieren komplett die eine Milliarde Menschen, die bereits sichere Nachrichten-Apps wie Signal oder WhatsApp benutzen. Außerdem lässt es keinen Freiraum für die Menschen, die sich dazu entscheiden, dass sie diese Art der Sicherheit in der Zukunft nutzen wollen. Trotzdem gibt es einige Technologieunternehmen, bei denen darüber nachgedacht wird, die Ende-zu-Ende-Verschlüsselung zu entfernen – und andere haben Hintertürchen für Zugang durch die Regierung vor Jahren eingebaut.

Es ist einige Jahrzehnte her, dass der sogenannte Clipper-Chip in den Schlagzeilen stand, aber es droht ein Wideraufleben des Krypto-Krieges der 1990er von Regierungsunternehmen und Konsumenten. Eine Sache ist für Computerwissenschaftler wie mich definitiv klar: Wir arbeiten daran, die Sicherheit dort, wo sie am verletzlichsten ist, zu verbessern – auf unseren eigenen Geräten.

Endpunkte sind die schwächsten Punkte

Zumindest haben wir im Moment gute und einfach zu nutzende Lösungen für sichere Kommunikation zwischen Computern, was auch die Ende-zu-Ende-Verschlüsselung unserer Nachrichten beinhaltet. Die Verschlüsselung bedeutet, dass die Nachrichten beim Sender verschlüsselt werden und nur vom Empfänger entschlüsselt werden können, so dass keine dritte Partei die Nachricht entschlüsseln kann.

Ende-zu-Ende-Verschlüsselung ist wichtig, allerdings haben Sicherheitsexperten schon vor Jahren davor gewarnt, dass der anfälligste Punkt für Daten nicht die Übertragung ist, sondern die Gefahr an den Orten lauert, wo die Daten gespeichert oder angezeigt werden – auf einem Bildschirm, auf einer Diskette, im Speicher eines Gerätes oder in der Cloud.

Wie die geleakten und per WikiLeaks verbreiteten Werkzeuge eines CIA Hackers aufzeigen, kann jemand, der die Kontrolle über ein Gerät hat, auch die Nachrichten lesen, ohne sie entschlüsseln zu müssen. Und Endpunkte – sowohl Smartphones als auch Comupter – zu gefährden, wird immer leichter.

Warum ist die Gefahr am Endpunkt am größten? Weil wir bequem sind und weil das Hinzufügen von mehr Sicherheit unsere Geräte schwerer handhabbar macht, auf die gleiche Art und Weise, wie mehrere Schlösser an einer Tür es schwerer machen, sie zu öffnen, sowohl für den Hauseigentümer als auch für den Dieb. Das Erfinden neuer Schutzmechanismen für unsere digitalen Endpunkte ohne ihren Nutzen einzuschränken, ist sehr anspruchsvoll – aber ein paar neue Technologien könnten hier helfen.

Lösungen der nächsten Generation

Nehmen wir an, eine kriminelle Organisation oder ein bösartiges Regime möchte dich und alle, mit denen du kommuniziert, ausspionieren. Um dich selbst zu schützen, hast du ein Ende-zu-Ende-Verschlüsselungswerkzeug für Nachrichten installiert. Das macht das Abhören für das Regime – auch mit gerichtlicher Genehmigung – um einiges schwerer.

Aber was passiert, wenn das Regime uns austrickst und uns Spionagesoftware auf unsere Geräte installiert? Sie könnten zum Beispiel ein legitimes Upgrade unseres Lieblingsspiels „ClashBirds“ mit einer kompromittierten Version austauschen. Oder das Regime könnte eine Schadsoftware-Technologie als Hintertürchen in unsere Geräte benutzen. Mit der Kontrolle über den Endpunkt kann das Regime unsere Nachrichten lesen, noch während wir sie schreiben – also noch bevor sie verschlüsselt werden.

Um uns gegen alle Arten von Tricks des Regimes zu schützen, müssen wir die Sicherheit unserer Endpunkte durch ein paar Schlüsselwege verbessern:

Zusätzlich wäre es ideal, wenn Benutzer die Sicherheitseinstellungen der App selber kontrollieren könnten, als sich nur auf die vorgegebene Sicherheit im App-Stores durch eine weitere verletzliche Firma verlassen zu müssen.

Computersicherheitsexperten sind begeistert von der Idee, dass die Blockchain uns dabei helfen kann, unsere Endpunkte zu schützen. Blockchain, die Technologie, die Bitcoin und andere Kryptowährungen unterstützt, erschafft überprüfbare, unveränderliche öffentliche Informationsregister.

Das bedeutet für die Sicherheit von Endpunkten, dass Computerwissenschaftler in der Lage sein könnten, auf Blockchain basierende Werkzeuge zu erschaffen, die uns dabei helfen, die Herkunft unserer Apps zu überprüfen. Wir könnten Blockchains auch dafür verwenden, um zu prüfen, dass an unseren Daten nicht herumgepfuscht wurde und um unsere Privatsphäre zu sichern. So lange der Quellcode dieser Programme für uns frei zugänglich und überprüfbar ist – wie der von Signal heute – kann die Sicherheitscommunity prüfen, dass es keine geheimen Hintertürchen gibt.

Wie mit jeder neuen Technologie gibt es einen enormen Hype darum. Es kursieren falsche Informationen rund um die Blockchain und was sie alles tun kann. Es wird einige Zeit dauern, um sich durch all die Ideen zu wühlen und um sichere Werkzeuge zu entwickeln, die einfach zu benutzen sind. In der Zwischenzeit sollten wir alle, wann immer es uns möglich ist, Ende-zu-Ende-Verschlüsselungen benutzen. Wir sollten außerdem wachsam mit unseren Passworten umgehen und welche Apps wir auf unseren Geräten installieren. Schlussendlich sollten wir verlangen, dass echte Menschen immer Zugang zu den besten Sicherheitsmechanismen haben, damit wir selbst entscheiden können, wie wir der Überwachung entgegentreten.

Dieser Artikel erschien zuerst auf „The Conversation“ unter CC BY-ND 4.0. Übersetzung mit freundlicher Genehmigung der Redaktion.


Image (adapted) „Data Encryption“ by tashatuvango/AdobeStock.com


The Conversation

Schlagwörter: , , , , , , , ,
Megan Squire

Megan Squire

Megan Squire ist Softwareentwicklerin, Datenbankdesignerin und Professorin für Informatikwissenschaften an der Elon Universität. Ihr Forschungsinteresse liegt unter anderem im Bereich großer Datenbanksysteme, insbesondere Datenerfassung.

More Posts - Website - Twitter