Anzeige

Backdoor

Zahlreiche Politiker möchten Hintertüren, sogenannte Crypto-Backdoors, in verschlüsselte Anwendungen einführen, um Daten auslesen zu können und dadurch Straftaten aufzudecken. Das Problem: Solche Hintertüren sind nicht sicher, denn auch Server von Behörden und anderen staatlichen Einrichtungen geraten in das Visier von Cyber-Kriminellen.

Das “Aufweichen” von Verschlüsselung ist deshalb nicht mit dem Konzept von Ende-zu-Ende-Verschlüsselung und Datensicherheit zu vereinbaren, wie István Lám, CEO und Co-Founder von Tresorit, erklärt.

Staatliche Stellen sind an Crypto-Backdoors in verschlüsselten Anwendungen interessiert. Wie soll das vor sich gehen?

István Lám: Eine Backdoor ist ein alternativer Zugang zu einer Software, die den normalen Zugriffsschutz umgeht. Dafür wird sie bereits in der Entwurfs- und Entwicklungsphase eingebaut. Abgegriffene Informationen werden dann mittels dieser Hintertür an staatliche Stellen übergeben.

Am etwas vereinfachten Beispiel der Verschlüsselung einzelner Dateien erklärt: Normalerweise erzeugt jeder Nutzer einen individuellen Schlüssel. Die Backdoor ist ein Generalschlüssel, mit dem sich beliebige Dateien wieder entschlüsseln lassen. Der Besitzer der Dateien wird das nicht bemerken: Es handelt sich um eine verborgene Funktion der Software zugunsten eines Dritten. Ein Verschlüsselungssystem mit einer solchen “Ausleitung” von Daten ist also keine Ende-zu Ende-Verschlüsselung (E2EE/End-to-End-Encryption) mehr.

Das Konzept von E2EE bedeutet bei einem Cloud-Speicher, dass die Datei zunächst  auf der Festplatte des Dateibesitzers verschlüsselt und dann in die Cloud übertragen wird. Sie wird erst wieder entschlüsselt, wenn der Nutzer oder ein anderer Berechtigter mit dem Schlüssel darauf zugreift. Der Cloud-Anbieter oder unbeteiligte Dritte haben keinen Zugriff auf die Daten, da sie nicht den individuellen Schlüssel besitzen. 

Das bedeutet aber, dass ein Verschlüsselungssystem mit einem Generalschlüssel nur geringen Schutz bietet. Wer die Informationen zum Generalschlüssel kennt, kann jederzeit den Inhalt von Dateien oder ganzen Datenströmen auswerten.

Aber es haben ja nur Polizeibehörden Zugriff auf die Hintertür, für die Strafverfolgung, – so zumindest die Argumentation der Politik. Ist das nicht genauso sicher?

István Lám: Bei Verschlüsselung gibt es keinen Mittelweg. Entweder ist ein Kryptosystem sicher oder nicht. Entweder kann nur der Schlüsselbesitzer auf seine Daten zugreifen oder nicht. Denn Hintertüren sind aus technischer Sicht Schwachstellen im Verschlüsselungssystem, die den Zugriff durch unbefugte Dritte erlauben. Wie jede andere Schwachstelle wird sie mit höchster Wahrscheinlichkeit ausgenutzt, von Kriminellen, Terroristen oder feindlichen Geheimdiensten.

Auch Datenbanken und Server von Behörden können gehackt werden, sodass  Cyberkriminelle Zugriff auf viele Millionen von Generalschlüsseln bekommen können. Dadurch würde eine sichere Kommunikation weitgehend unmöglich gemacht. Zudem könnte es kriminelle Mitarbeiter geben, die Generalschlüssel verkaufen oder Unternehmen mit illegal erworbenem Wissen erpressen. Mit ein wenig Fantasie finden sich viele Möglichkeiten, um staatliche Generalschlüssel auszunutzen. 

Dadurch wäre das Vertrauen in Cloud-Infrastrukturen grundlegend erschüttert. Denn E2EE ist für viele Unternehmen eine zentrale Voraussetzung, um überhaupt Daten in der Cloud zu speichern und zu verarbeiten. Wenn ein Dienstanbieter keinen Einblick in die gespeicherten Daten hat, müssen die Behörden weiterhin einen Durchsuchungsbefehl beantragen, um Zugriff auf die Informationen zu erhalten.

Wie sieht es bei Tresorit aus? Wie können sie feststellen, ob ihr Service für kriminelle Aktivitäten ausgenutzt wird?

István Lám: Durch die technische Integrität unserer E2EE sind wir tatsächlich auf wenige Optionen begrenzt, denn wir bieten unseren Nutzern maximale Vertraulichkeit. Allerdings gibt es bei uns keine Anonymität. Über die Zahlungsdaten sind uns die Nutzer der bezahlten Angebote bekannt. Zudem haben anonyme Nutzer der freien Services nur eingeschränkte Möglichkeiten.

In beiden Fällen sind wir in der Lage, auffällige Aktivitäten festzustellen. So ist zum Beispiel die regelmäßige Übertragung ungewöhnlich großer Datenvolumina ein mögliches Indiz für Piraterie. Bei dem Einhalten des Rechtsweges können wir den Ermittlungsbehörden helfen und sie auf Täter hinweisen. Generell ist das für die Rückverfolgung der Nutzer deutlich wichtiger als der Inhalt ihrer Daten. 

Wir bei Tresorit sind der festen Überzeugung, dass ausschließlich E2EE bei Unternehmen und Privatleuten Vertrauen in die Sicherheit ihrer Daten bei Cloud-Lösungen schafft. Dies ist auch die Sicherheitstechnologie, die in der Europäischen Datenschutz-Grundverordnung (DSGVO) empfohlen wird.

Leider verstehen viele Politiker die Funktionsweise von E2EE nur teilweise. Sie halten es für möglich, einige Daten für die Strafverfolgung über die Hintertür einzusehen, ohne die Sicherheit des Systems zu beeinträchtigen. Das ist leider unmöglich. Der Einbau staatlicher Hintertüren in die Verschlüsselungstechnologie würde großen wirtschaftlichen Schaden nach sich ziehen. Jedes Unternehmen müsste um seine Geschäftsgeheimnisse fürchten.

István Lám,, CEO und Co-Founder
István Lám,
CEO und Co-Founder, Tresorit

Artikel zu diesem Thema

Hintertür
Dez 14, 2020

Ist der „Generalschlüssel“ das Ende des Datenschutzes in Europa?

Wie heute Vormittag bekannt wurde, haben die Innenminister der EU-Mitgliedsstaaten die…
Staatstrojaner
Nov 07, 2020

Auch Geheimdienste dürfen Staatstrojaner nutzen

Der Staatstrojaner soll vom Verfassungsschutz, dem Bundesnachrichtendienst (BND) und dem…
Cloud Security
Jul 07, 2020

Datenschutz in der Cloud – 3 häufige Irrtümer

Die Verschlüsselung von Daten ist ein wichtiger Bestandteil jeder Datenschutz-Strategie.…

Weitere Artikel

Facebook

Datensicherheit bei Facebook: So können Sie das Risiko von Datendiebstahl verringern

Facebook-Mitglieder weltweit schreckten am Osterwochenende auf: Persönliche Daten von mehr als 530 Millionen Nutzer:innen sollen im Internet veröffentlicht worden sein. Darunter sollen auch Daten von rund sechs Millionen Menschen aus Deutschland sein.
Justitia

Warum IT-Experten härtere Regeln für Tech-Konzerne fordern

Die Corona-Pandemie dominierte im Jahr 2020 einen Großteil der Nachrichten und hat einen rasanten Digitalisierungsschub bewirkt. Damit kommt auch das Thema Datenschutz zurück auf die Tagesordnung. So wurde in Niedersachsen zuletzt der IT-Händler…
Post-Brexit Changes

Herkulesaufgabe Datenschutz: Datenaustausch zwischen EU und UK

Der Datenschutz stellt Unternehmen in der EU und Großbritannien vor große Herausforderungen. Sie sind darauf angewiesen, dass ein geregelter und sicherer Datenaustausch zwischen den Ländern bald gewährleistet wird. Vergleichbare Datenschutzverordnungen und…
Datenschutz

Bitkom zum Jahresbericht des Bundesdatenschutzbeauftragten

Aus Anlass der Veröffentlichung des Tätigkeitsberichts des Bundesdatenschutzbeauftragten (BfDI) erklärt Bitkom-Hauptgeschäftsführer Dr. Bernhard Rohleder:

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.