Es ist den Menschen, die im Internet Nachrichten versenden, mehr und mehr bewusst, dass diese Mitteilungen einer Postkarte gleichen, die von allen gelesen werden kann, sofern diese über das notwendige Know-how und geeignete Tools verfügen. Anbieter entsprechender Dienste versprechen ihren Kunden aus diesem Grunde meist eine Ende-zu-Ende-Verschlüsselung. Aber was bedeutet das eigentlich? Und wird das Versprechen auch eingehalten?
Verschlüsselung im Allgemeinen ist eine Kommunikationsmethode, die verhindert, dass Außenstehende die Daten, die von einem System an ein anderes gesendet werden, einsehen können. Das Thema Verschlüsselung ist folglich ein fester Bestandteil der Datensicherheit. Aber natürlich gibt es erhebliche Unterschiede zwischen den verschiedenen Verschlüsselungsmethoden.
Bei der PDF-Bearbeitung beispielsweise benutzt das Unternehmen Adobe eine 256-Bit-AES-Verschlüsselung im CBC-Modus (Cipher-Block-Chaining-Encryption). Kryptografisch gesehen ist dies in Ordnung, aber es gilt hier zu bedenken, dass bei einer solchen Verschlüsselung einer PDF-Datei nur der Inhalt der Datei verschlüsselt wird.
Bei End-to-End-Encryption (E2EE) werden die Daten beim sendenden Gerät verschlüsselt und können erst beim Empfänger entschlüsselt werden. So kann die Nachricht auf dem Weg zwischen den beiden Punkten nicht von Dritten gelesen oder verändert werden, die sich in die Kommunikation einklinken.
Zu den Anwendungen, die E2EE nutzen, gehören unter anderem Whatsapp, Signal, Telegram, Messenger und Viber. Für den Nutzer der verbreiteten Dienste ist diese Option definitiv vorteilhaft. Es ist nicht mehr notwendig, zusätzliche Maßnahmen zu ergreifen. Alle Informationen wie eingehende und ausgehende Anrufe, Audio- und Textnachrichten, Bilder und Videos werden im Chat durch eine End-to-End-Verschlüsselung geschützt.
Die Schlüssel stehen nur den Gesprächsteilnehmern zur Verfügung
Die E2EE stellt sicher, dass persönliche Daten nicht in unbefugte Hände fallen und ausschließlich den zwei oder mehreren am Chat beteiligten Gesprächspartnern zur Verfügung stehen. Dies ist besonders wichtig bei der Übertragung von Daten über offene oder unzuverlässige Netzwerke wie das Internet und öffentliche WiFi-Netze.
Die Gesprächsteilnehmer können nur mittels eines eigenen „Encryption-Schlüssels“ in ein Gespräch einsteigen und weiter miteinander interagieren. Jeder Teilnehmer erhält einen persönlichen Verschlüsselungscode für seine persönliche Korrespondenz mit einem einzelnen Kontakt oder einer Gruppe. Dieser Schlüssel findet sich meist im Menü „Kontaktdetails“ und dort in den Abschnitt „Verschlüsselung“. Er wird in Form von 60 Ziffern oder einem QR-Code, der für die Aktivierung erforderlich ist, angezeigt.
Dieser Schlüssel ist der Sicherheitscode für alle Daten, aber nur der sichtbare Teil davon ist für die Anzeige verfügbar. Das liegt daran, dass jede Nachricht oder Audioaufzeichnung mit eigenen Schloss-/Schlüssel-Komplexen ausgestattet ist. Es sind keine zusätzlichen Einstellungen erforderlich. Die Anwendung weist den Code automatisch zu.
Garantiert E2EE die Sicherheit in allen Messengern?
Der ehemalige CIA- und NSA-Mitarbeiter Edward Snowden enthüllte schon im Jahr 2013, dass die US-Regierung jeden Anruf von Nutzern überwacht. Das galt ebenso für Textnachrichten. Als Beteiligter an vielen geheimen Programmen versuchte Snowden, seine ethischen und sicherheitstechnischen Bedenken über interne Kanäle vorzubringen. Dies wurde jedoch ignoriert.
Große Anbieter wie Apple oder Facebook nahmen den Ball auf und versuchten, es ihren Nutzern zu ermöglichen, ein privates Leben im Netz zu führen. Damit war die Idee der E2EE-Verschlüsselung geboren.
Leider ist es tatsächlich ein strittiger Punkt, ob E2EE zu den gewünschten Ergebnissen geführt hat. Edward Snowden hat im Jahr 2013 auch herausgefunden, dass es beispielsweise in Skype eine sogenannte „Backdoor“ gibt. Dabei handelt es sich um eine Software, die die Verschlüsselung umgeht. Offiziell ist jede Skype-Nachricht geschützt, aber eben auch nur offiziell. Das hat Skype nicht daran gehindert, Daten aus Chats an die US National Security Agency zu übermitteln.
Aber auch andere Messenger sorgen sich auf verschiedene Weise um die Anonymität ihrer Nutzer. Telegram zum Beispiel verfügt über eine Funktion zur Selbstzerstörung des Kontos. Das heißt, wenn eine Person das Konto mehrere Jahre lang nicht benutzt, werden alle Informationen sowie die gesamte Korrespondenz automatisch gelöscht. Denn falls die Korrespondenz über einen langen Zeitraum gespeichert bleibt, können einige der Informationen bereits irrelevant oder sogar zu einem späteren Zeitpunkt illegal sein.
Schwachstelle bei Whatsapp
Auch Whatsapp besitzt eine Schwachstelle im Hinblick auf Sicherheit. Wenn ein Nutzer über diese Anwendung anruft, lässt sich leicht die echte IP-Adresse ermitteln. Ein sicheres System sollte verhindern, dass Informationen über die IP-Adresse für andere Teilnehmer eines Chats sichtbar sind.
Eines der Hauptprobleme aller Messenger ist die Standardregistrierung mit einer Mobilfunknummer. Alle Telekom-Unternehmen sowie viele andere Services verfügen über den Zugriff auf die Datenbanken mit allen Telefonnummern. Es ist heute in der Praxis ein Leichtes, Nachrichten unter gefälschten Namen zu versenden.
Nutzer von Messenger-Diensten sollten zu Ihrem eigenen Schutz die Kontoaktivitäten der genutzten Geräte überprüfen. Diese Funktion ist bereits in einigen Anwendungen verfügbar und sie hilft dabei, sich besser vor Missbrauch zu schützen.
Fazit
Bei der Einführung neuer Anwendungen, die auf Sicherheit und Datenschutz ausgerichtet sind, darf nicht vergessen werden, dass eine E2EE-Verschlüsselung keinen vollständigen Schutz vor Cyberangriffen bieten kann.
Allerdings werden die Auswirkungen solcher Angriffe erheblich reduziert. Demzufolge werden alle Projekte und Protokolle von großen, aber auch kleineren Unternehmen, durch die Implementierung von E2EE die Sicherheit erhöhen.
