Anzeige

Backdoor

Zahlreiche Politiker möchten Hintertüren, sogenannte Crypto-Backdoors, in verschlüsselte Anwendungen einführen, um Daten auslesen zu können und dadurch Straftaten aufzudecken. Das Problem: Solche Hintertüren sind nicht sicher, denn auch Server von Behörden und anderen staatlichen Einrichtungen geraten in das Visier von Cyber-Kriminellen.

Das “Aufweichen” von Verschlüsselung ist deshalb nicht mit dem Konzept von Ende-zu-Ende-Verschlüsselung und Datensicherheit zu vereinbaren, wie István Lám, CEO und Co-Founder von Tresorit, erklärt.

Staatliche Stellen sind an Crypto-Backdoors in verschlüsselten Anwendungen interessiert. Wie soll das vor sich gehen?

István Lám: Eine Backdoor ist ein alternativer Zugang zu einer Software, die den normalen Zugriffsschutz umgeht. Dafür wird sie bereits in der Entwurfs- und Entwicklungsphase eingebaut. Abgegriffene Informationen werden dann mittels dieser Hintertür an staatliche Stellen übergeben.

Am etwas vereinfachten Beispiel der Verschlüsselung einzelner Dateien erklärt: Normalerweise erzeugt jeder Nutzer einen individuellen Schlüssel. Die Backdoor ist ein Generalschlüssel, mit dem sich beliebige Dateien wieder entschlüsseln lassen. Der Besitzer der Dateien wird das nicht bemerken: Es handelt sich um eine verborgene Funktion der Software zugunsten eines Dritten. Ein Verschlüsselungssystem mit einer solchen “Ausleitung” von Daten ist also keine Ende-zu Ende-Verschlüsselung (E2EE/End-to-End-Encryption) mehr.

Das Konzept von E2EE bedeutet bei einem Cloud-Speicher, dass die Datei zunächst  auf der Festplatte des Dateibesitzers verschlüsselt und dann in die Cloud übertragen wird. Sie wird erst wieder entschlüsselt, wenn der Nutzer oder ein anderer Berechtigter mit dem Schlüssel darauf zugreift. Der Cloud-Anbieter oder unbeteiligte Dritte haben keinen Zugriff auf die Daten, da sie nicht den individuellen Schlüssel besitzen. 

Das bedeutet aber, dass ein Verschlüsselungssystem mit einem Generalschlüssel nur geringen Schutz bietet. Wer die Informationen zum Generalschlüssel kennt, kann jederzeit den Inhalt von Dateien oder ganzen Datenströmen auswerten.

Aber es haben ja nur Polizeibehörden Zugriff auf die Hintertür, für die Strafverfolgung, – so zumindest die Argumentation der Politik. Ist das nicht genauso sicher?

István Lám: Bei Verschlüsselung gibt es keinen Mittelweg. Entweder ist ein Kryptosystem sicher oder nicht. Entweder kann nur der Schlüsselbesitzer auf seine Daten zugreifen oder nicht. Denn Hintertüren sind aus technischer Sicht Schwachstellen im Verschlüsselungssystem, die den Zugriff durch unbefugte Dritte erlauben. Wie jede andere Schwachstelle wird sie mit höchster Wahrscheinlichkeit ausgenutzt, von Kriminellen, Terroristen oder feindlichen Geheimdiensten.

Auch Datenbanken und Server von Behörden können gehackt werden, sodass  Cyberkriminelle Zugriff auf viele Millionen von Generalschlüsseln bekommen können. Dadurch würde eine sichere Kommunikation weitgehend unmöglich gemacht. Zudem könnte es kriminelle Mitarbeiter geben, die Generalschlüssel verkaufen oder Unternehmen mit illegal erworbenem Wissen erpressen. Mit ein wenig Fantasie finden sich viele Möglichkeiten, um staatliche Generalschlüssel auszunutzen. 

Dadurch wäre das Vertrauen in Cloud-Infrastrukturen grundlegend erschüttert. Denn E2EE ist für viele Unternehmen eine zentrale Voraussetzung, um überhaupt Daten in der Cloud zu speichern und zu verarbeiten. Wenn ein Dienstanbieter keinen Einblick in die gespeicherten Daten hat, müssen die Behörden weiterhin einen Durchsuchungsbefehl beantragen, um Zugriff auf die Informationen zu erhalten.

Wie sieht es bei Tresorit aus? Wie können sie feststellen, ob ihr Service für kriminelle Aktivitäten ausgenutzt wird?

István Lám: Durch die technische Integrität unserer E2EE sind wir tatsächlich auf wenige Optionen begrenzt, denn wir bieten unseren Nutzern maximale Vertraulichkeit. Allerdings gibt es bei uns keine Anonymität. Über die Zahlungsdaten sind uns die Nutzer der bezahlten Angebote bekannt. Zudem haben anonyme Nutzer der freien Services nur eingeschränkte Möglichkeiten.

In beiden Fällen sind wir in der Lage, auffällige Aktivitäten festzustellen. So ist zum Beispiel die regelmäßige Übertragung ungewöhnlich großer Datenvolumina ein mögliches Indiz für Piraterie. Bei dem Einhalten des Rechtsweges können wir den Ermittlungsbehörden helfen und sie auf Täter hinweisen. Generell ist das für die Rückverfolgung der Nutzer deutlich wichtiger als der Inhalt ihrer Daten. 

Wir bei Tresorit sind der festen Überzeugung, dass ausschließlich E2EE bei Unternehmen und Privatleuten Vertrauen in die Sicherheit ihrer Daten bei Cloud-Lösungen schafft. Dies ist auch die Sicherheitstechnologie, die in der Europäischen Datenschutz-Grundverordnung (DSGVO) empfohlen wird.

Leider verstehen viele Politiker die Funktionsweise von E2EE nur teilweise. Sie halten es für möglich, einige Daten für die Strafverfolgung über die Hintertür einzusehen, ohne die Sicherheit des Systems zu beeinträchtigen. Das ist leider unmöglich. Der Einbau staatlicher Hintertüren in die Verschlüsselungstechnologie würde großen wirtschaftlichen Schaden nach sich ziehen. Jedes Unternehmen müsste um seine Geschäftsgeheimnisse fürchten.

István Lám,, CEO und Co-Founder
István Lám,
CEO und Co-Founder, Tresorit

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hintertür
Dez 14, 2020

Ist der „Generalschlüssel“ das Ende des Datenschutzes in Europa?

Wie heute Vormittag bekannt wurde, haben die Innenminister der EU-Mitgliedsstaaten die…
Staatstrojaner
Nov 07, 2020

Auch Geheimdienste dürfen Staatstrojaner nutzen

Der Staatstrojaner soll vom Verfassungsschutz, dem Bundesnachrichtendienst (BND) und dem…
Cloud Security
Jul 07, 2020

Datenschutz in der Cloud – 3 häufige Irrtümer

Die Verschlüsselung von Daten ist ein wichtiger Bestandteil jeder Datenschutz-Strategie.…

Weitere Artikel

Datenschutzverletzungen 2020: Über 22 Milliarden offengelegte Datensätze

Das Security Response Team (SRT) von Tenable hat Datensicherheitsverletzungen analysiert und für den Zeitraum von Januar bis Oktober 2020 insgesamt 730 öffentlich bekannt gewordene Vorfälle festgestellt.
Privacy-Shield

Google, Amazon und Co. nach Schrems II – Wie geht es weiter?

Der Europäische Gerichtshof hat das Privacy-Shield Abkommen mit den USA in dem sog. Schrems II Urteil für ungültig erklärt. Auch die Anwendung der EU-Standardvertragsklauseln oder von verbindlichen Unternehmensregeln hält das european data protecion board…
Privacy

Privatsphäre und Daten im Internet schützen: Die besten Tipps

Die Evolution des Internets und der digitalen Welt ist nicht aufzuhalten und das ist gut so. Das Internet 2.0 bietet immer vielfältigere Möglichkeiten und es kann mit Spannung erwartet werden, auf welche tollen Neuerungen wir uns in Zukunft noch freuen…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!