Anzeige

Backdoor

Zahlreiche Politiker möchten Hintertüren, sogenannte Crypto-Backdoors, in verschlüsselte Anwendungen einführen, um Daten auslesen zu können und dadurch Straftaten aufzudecken. Das Problem: Solche Hintertüren sind nicht sicher, denn auch Server von Behörden und anderen staatlichen Einrichtungen geraten in das Visier von Cyber-Kriminellen.

Das “Aufweichen” von Verschlüsselung ist deshalb nicht mit dem Konzept von Ende-zu-Ende-Verschlüsselung und Datensicherheit zu vereinbaren, wie István Lám, CEO und Co-Founder von Tresorit, erklärt.

Staatliche Stellen sind an Crypto-Backdoors in verschlüsselten Anwendungen interessiert. Wie soll das vor sich gehen?

István Lám: Eine Backdoor ist ein alternativer Zugang zu einer Software, die den normalen Zugriffsschutz umgeht. Dafür wird sie bereits in der Entwurfs- und Entwicklungsphase eingebaut. Abgegriffene Informationen werden dann mittels dieser Hintertür an staatliche Stellen übergeben.

Am etwas vereinfachten Beispiel der Verschlüsselung einzelner Dateien erklärt: Normalerweise erzeugt jeder Nutzer einen individuellen Schlüssel. Die Backdoor ist ein Generalschlüssel, mit dem sich beliebige Dateien wieder entschlüsseln lassen. Der Besitzer der Dateien wird das nicht bemerken: Es handelt sich um eine verborgene Funktion der Software zugunsten eines Dritten. Ein Verschlüsselungssystem mit einer solchen “Ausleitung” von Daten ist also keine Ende-zu Ende-Verschlüsselung (E2EE/End-to-End-Encryption) mehr.

Das Konzept von E2EE bedeutet bei einem Cloud-Speicher, dass die Datei zunächst  auf der Festplatte des Dateibesitzers verschlüsselt und dann in die Cloud übertragen wird. Sie wird erst wieder entschlüsselt, wenn der Nutzer oder ein anderer Berechtigter mit dem Schlüssel darauf zugreift. Der Cloud-Anbieter oder unbeteiligte Dritte haben keinen Zugriff auf die Daten, da sie nicht den individuellen Schlüssel besitzen. 

Das bedeutet aber, dass ein Verschlüsselungssystem mit einem Generalschlüssel nur geringen Schutz bietet. Wer die Informationen zum Generalschlüssel kennt, kann jederzeit den Inhalt von Dateien oder ganzen Datenströmen auswerten.

Aber es haben ja nur Polizeibehörden Zugriff auf die Hintertür, für die Strafverfolgung, – so zumindest die Argumentation der Politik. Ist das nicht genauso sicher?

István Lám: Bei Verschlüsselung gibt es keinen Mittelweg. Entweder ist ein Kryptosystem sicher oder nicht. Entweder kann nur der Schlüsselbesitzer auf seine Daten zugreifen oder nicht. Denn Hintertüren sind aus technischer Sicht Schwachstellen im Verschlüsselungssystem, die den Zugriff durch unbefugte Dritte erlauben. Wie jede andere Schwachstelle wird sie mit höchster Wahrscheinlichkeit ausgenutzt, von Kriminellen, Terroristen oder feindlichen Geheimdiensten.

Auch Datenbanken und Server von Behörden können gehackt werden, sodass  Cyberkriminelle Zugriff auf viele Millionen von Generalschlüsseln bekommen können. Dadurch würde eine sichere Kommunikation weitgehend unmöglich gemacht. Zudem könnte es kriminelle Mitarbeiter geben, die Generalschlüssel verkaufen oder Unternehmen mit illegal erworbenem Wissen erpressen. Mit ein wenig Fantasie finden sich viele Möglichkeiten, um staatliche Generalschlüssel auszunutzen. 

Dadurch wäre das Vertrauen in Cloud-Infrastrukturen grundlegend erschüttert. Denn E2EE ist für viele Unternehmen eine zentrale Voraussetzung, um überhaupt Daten in der Cloud zu speichern und zu verarbeiten. Wenn ein Dienstanbieter keinen Einblick in die gespeicherten Daten hat, müssen die Behörden weiterhin einen Durchsuchungsbefehl beantragen, um Zugriff auf die Informationen zu erhalten.

Wie sieht es bei Tresorit aus? Wie können sie feststellen, ob ihr Service für kriminelle Aktivitäten ausgenutzt wird?

István Lám: Durch die technische Integrität unserer E2EE sind wir tatsächlich auf wenige Optionen begrenzt, denn wir bieten unseren Nutzern maximale Vertraulichkeit. Allerdings gibt es bei uns keine Anonymität. Über die Zahlungsdaten sind uns die Nutzer der bezahlten Angebote bekannt. Zudem haben anonyme Nutzer der freien Services nur eingeschränkte Möglichkeiten.

In beiden Fällen sind wir in der Lage, auffällige Aktivitäten festzustellen. So ist zum Beispiel die regelmäßige Übertragung ungewöhnlich großer Datenvolumina ein mögliches Indiz für Piraterie. Bei dem Einhalten des Rechtsweges können wir den Ermittlungsbehörden helfen und sie auf Täter hinweisen. Generell ist das für die Rückverfolgung der Nutzer deutlich wichtiger als der Inhalt ihrer Daten. 

Wir bei Tresorit sind der festen Überzeugung, dass ausschließlich E2EE bei Unternehmen und Privatleuten Vertrauen in die Sicherheit ihrer Daten bei Cloud-Lösungen schafft. Dies ist auch die Sicherheitstechnologie, die in der Europäischen Datenschutz-Grundverordnung (DSGVO) empfohlen wird.

Leider verstehen viele Politiker die Funktionsweise von E2EE nur teilweise. Sie halten es für möglich, einige Daten für die Strafverfolgung über die Hintertür einzusehen, ohne die Sicherheit des Systems zu beeinträchtigen. Das ist leider unmöglich. Der Einbau staatlicher Hintertüren in die Verschlüsselungstechnologie würde großen wirtschaftlichen Schaden nach sich ziehen. Jedes Unternehmen müsste um seine Geschäftsgeheimnisse fürchten.

István Lám,, CEO und Co-Founder
István Lám,
CEO und Co-Founder, Tresorit

Artikel zu diesem Thema

Hintertür
Dez 14, 2020

Ist der „Generalschlüssel“ das Ende des Datenschutzes in Europa?

Wie heute Vormittag bekannt wurde, haben die Innenminister der EU-Mitgliedsstaaten die…
Staatstrojaner
Nov 07, 2020

Auch Geheimdienste dürfen Staatstrojaner nutzen

Der Staatstrojaner soll vom Verfassungsschutz, dem Bundesnachrichtendienst (BND) und dem…
Cloud Security
Jul 07, 2020

Datenschutz in der Cloud – 3 häufige Irrtümer

Die Verschlüsselung von Daten ist ein wichtiger Bestandteil jeder Datenschutz-Strategie.…

Weitere Artikel

Wetter-App

(Un-)Wetter-Apps im Datenschutz-Vergleich

Wer kennt es nicht: Die Sonne scheint und man lässt den Regenschirm Zuhause – und dann regnet es den restlichen Tag wie aus Eimern. Mit einer zuverlässigen Wettervorhersage lassen sich solche bösen Überraschungen vermeiden.
Laptop

Ein Jahr nach „Schrems II-Urteil": Rechtslage weiterhin unklar

Es ist ein Jahr her, dass der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil" erlassen hat, mit dem das Privacy-Shield-Abkommen gekippt wurde. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in…
Datenschutz

Datenschutz versus Innovation?

Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH sowie der cobra computer's brainware AG in Tägerwilen, Schweiz, äußert sich als Experte für DSGVO-konformes Arbeiten über den anhaltenden Diskurs zwischen Datenschützern und Unternehmen.
Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.