Interview

Crypto-Backdoors konterkarieren Ende-zu-Ende-Verschlüsselung

Zahlreiche Politiker möchten Hintertüren, sogenannte Crypto-Backdoors, in verschlüsselte Anwendungen einführen, um Daten auslesen zu können und dadurch Straftaten aufzudecken. Das Problem: Solche Hintertüren sind nicht sicher, denn auch Server von Behörden und anderen staatlichen Einrichtungen geraten in das Visier von Cyber-Kriminellen.

Das “Aufweichen” von Verschlüsselung ist deshalb nicht mit dem Konzept von Ende-zu-Ende-Verschlüsselung und Datensicherheit zu vereinbaren, wie István Lám, CEO und Co-Founder von Tresorit, erklärt.

Anzeige

Staatliche Stellen sind an Crypto-Backdoors in verschlüsselten Anwendungen interessiert. Wie soll das vor sich gehen?

István Lám: Eine Backdoor ist ein alternativer Zugang zu einer Software, die den normalen Zugriffsschutz umgeht. Dafür wird sie bereits in der Entwurfs- und Entwicklungsphase eingebaut. Abgegriffene Informationen werden dann mittels dieser Hintertür an staatliche Stellen übergeben.

Am etwas vereinfachten Beispiel der Verschlüsselung einzelner Dateien erklärt: Normalerweise erzeugt jeder Nutzer einen individuellen Schlüssel. Die Backdoor ist ein Generalschlüssel, mit dem sich beliebige Dateien wieder entschlüsseln lassen. Der Besitzer der Dateien wird das nicht bemerken: Es handelt sich um eine verborgene Funktion der Software zugunsten eines Dritten. Ein Verschlüsselungssystem mit einer solchen “Ausleitung” von Daten ist also keine Ende-zu Ende-Verschlüsselung (E2EE/End-to-End-Encryption) mehr.

Das Konzept von E2EE bedeutet bei einem Cloud-Speicher, dass die Datei zunächst  auf der Festplatte des Dateibesitzers verschlüsselt und dann in die Cloud übertragen wird. Sie wird erst wieder entschlüsselt, wenn der Nutzer oder ein anderer Berechtigter mit dem Schlüssel darauf zugreift. Der Cloud-Anbieter oder unbeteiligte Dritte haben keinen Zugriff auf die Daten, da sie nicht den individuellen Schlüssel besitzen. 

Das bedeutet aber, dass ein Verschlüsselungssystem mit einem Generalschlüssel nur geringen Schutz bietet. Wer die Informationen zum Generalschlüssel kennt, kann jederzeit den Inhalt von Dateien oder ganzen Datenströmen auswerten.

Aber es haben ja nur Polizeibehörden Zugriff auf die Hintertür, für die Strafverfolgung, – so zumindest die Argumentation der Politik. Ist das nicht genauso sicher?

István Lám: Bei Verschlüsselung gibt es keinen Mittelweg. Entweder ist ein Kryptosystem sicher oder nicht. Entweder kann nur der Schlüsselbesitzer auf seine Daten zugreifen oder nicht. Denn Hintertüren sind aus technischer Sicht Schwachstellen im Verschlüsselungssystem, die den Zugriff durch unbefugte Dritte erlauben. Wie jede andere Schwachstelle wird sie mit höchster Wahrscheinlichkeit ausgenutzt, von Kriminellen, Terroristen oder feindlichen Geheimdiensten.

Auch Datenbanken und Server von Behörden können gehackt werden, sodass  Cyberkriminelle Zugriff auf viele Millionen von Generalschlüsseln bekommen können. Dadurch würde eine sichere Kommunikation weitgehend unmöglich gemacht. Zudem könnte es kriminelle Mitarbeiter geben, die Generalschlüssel verkaufen oder Unternehmen mit illegal erworbenem Wissen erpressen. Mit ein wenig Fantasie finden sich viele Möglichkeiten, um staatliche Generalschlüssel auszunutzen. 

Dadurch wäre das Vertrauen in Cloud-Infrastrukturen grundlegend erschüttert. Denn E2EE ist für viele Unternehmen eine zentrale Voraussetzung, um überhaupt Daten in der Cloud zu speichern und zu verarbeiten. Wenn ein Dienstanbieter keinen Einblick in die gespeicherten Daten hat, müssen die Behörden weiterhin einen Durchsuchungsbefehl beantragen, um Zugriff auf die Informationen zu erhalten.

Wie sieht es bei Tresorit aus? Wie können sie feststellen, ob ihr Service für kriminelle Aktivitäten ausgenutzt wird?

István Lám: Durch die technische Integrität unserer E2EE sind wir tatsächlich auf wenige Optionen begrenzt, denn wir bieten unseren Nutzern maximale Vertraulichkeit. Allerdings gibt es bei uns keine Anonymität. Über die Zahlungsdaten sind uns die Nutzer der bezahlten Angebote bekannt. Zudem haben anonyme Nutzer der freien Services nur eingeschränkte Möglichkeiten.

In beiden Fällen sind wir in der Lage, auffällige Aktivitäten festzustellen. So ist zum Beispiel die regelmäßige Übertragung ungewöhnlich großer Datenvolumina ein mögliches Indiz für Piraterie. Bei dem Einhalten des Rechtsweges können wir den Ermittlungsbehörden helfen und sie auf Täter hinweisen. Generell ist das für die Rückverfolgung der Nutzer deutlich wichtiger als der Inhalt ihrer Daten. 

Wir bei Tresorit sind der festen Überzeugung, dass ausschließlich E2EE bei Unternehmen und Privatleuten Vertrauen in die Sicherheit ihrer Daten bei Cloud-Lösungen schafft. Dies ist auch die Sicherheitstechnologie, die in der Europäischen Datenschutz-Grundverordnung (DSGVO) empfohlen wird.

Leider verstehen viele Politiker die Funktionsweise von E2EE nur teilweise. Sie halten es für möglich, einige Daten für die Strafverfolgung über die Hintertür einzusehen, ohne die Sicherheit des Systems zu beeinträchtigen. Das ist leider unmöglich. Der Einbau staatlicher Hintertüren in die Verschlüsselungstechnologie würde großen wirtschaftlichen Schaden nach sich ziehen. Jedes Unternehmen müsste um seine Geschäftsgeheimnisse fürchten.

István

Lám,

CEO und Co-Founder

Tresorit

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.