Die EU diskutiert eine Hintertür für Messenger-Verschlüsselung, um Nachrichten von Kriminellen auf WhatsApp & Co. knacken zu können. Doch ist das technisch überhaupt nötig? Ist die Ende-zu-Ende-Verschlüsselung wirklich unhackbar? Ein Überblick.
Eigentlich sollte die Öffentlichkeit es gar nicht wissen. Die Informationen wurden aber doch vorab bekannt. Die EU-Innenminister hatten Entwürfe für ein Positionspapier verfasst, bei dem es auch um Messenger-Verschlüsselung ging.
Die offizielle Resolution wurde vor wenigen Tagen schließlich veröffentlicht. Darin befürworten sie unter anderem gesetzlich verpflichtende „Hintertüren“ für Messenger-Apps wie WhatsApp oder Telegram.
Neue Stellenangebote
Mitarbeiter*in (m/w/d) für Social Media, Öffentlichkeitsarbeit und Städtepartnerschaft (m/w/d) meinestadt.de in Sachsenheim |
||
Content Creator / Social Media / Marketing (m/w/d) Delitzscher Schokoladenfabrik GmbH in Delitzsch |
||
Content Creator / Social Media / Marketing (m/w/d) Halloren Schokoladenfabrik AG in Delitzsch |
Konkret heißt es in dem Papier: „Unabhängig vom derzeitigen technologischen Umfeld ist es daher unerlässlich, die Befugnisse der zuständigen Behörden im Bereich Sicherheit und Strafjustiz durch rechtmäßigen Zugang zu wahren, damit sie ihre Aufgaben wie gesetzlich vorgeschrieben und zulässig wahrnehmen können.“
Damit fordern die Politiker, dass die Unternehmen hinter den Messenger-Apps innerhalb der eigentlich sehr sicheren Messenger-Verschlüsselung eine technische Lücke einbauen, sodass Behörden die verschlüsselten Nachrichten doch einsehen können.
Kriminelle nutzen sichere Messenger
Das wollen sie tun, um kriminelle Netzwerke aufzudecken.
Denn, das ist kein Geheiminis, die Ende-zu-Ende-Verschlüsselungen, bieten auch Kriminellen einen geschützten Kommunikationsweg. Sie können sich über Nachrichten auf WhatsApp & Co. völlig unerkannt und an der Polizei vorbei verständigen.
Den Strafbehörden sind die unknackbaren Messenger-Nachrichten daher schon länger ein Dorn im Auge. Bereits mehrmals haben sie in der Vergangenheit von Unternehmen wie Apple oder Facebook im Zuge einer Strafverfolgung Zugang zu den Nachrichten gefordert.
Diese haben sich bislang geweigert, den Behörden Zugriff zu erlauben – auch, weil sie es schlicht nicht können. Denn Ende-zu-Ende-Verschlüsselung heißt genau das: Lediglich Sender und Empfänger können die Nachrichten sehen.
So funktioniert die Messenger-Verschlüsselung
Als die ersten Messenger-Dienste die Ende-zu-Ende-Verschlüsselung einführten, galt das als Innovation. Heute ist die End-to-End-Encryption Standard.
„End-to-End-Encryption bedeutet, dass die Nachrichten beim Sender verschlüsselt werden und erst beim gewählten Empfänger wieder entschlüsselt werden. Das heißt während des Transfers der Nachricht ist diese durch die Verschlüsselung geschützt. Die Entschlüsselung kann nur mit dem vorhandenen Key stattfinden“, erklärt Messenger-Experte Matthias Mehner gegenüber BASIC thinking.
Wie sicher die Messenger-Verschlüsselung ist, hängt davon ab, welches Protokoll die jeweiligen Dienste nutzen. WhatsApp etwa nutzt das Signal-Protokoll. Ein Team von Sicherheitsforschern schätzte dies 2016 als eins der sichersten Protokolle weltweit ein.
„Es beinhaltet mehrere starke kryptografische Verfahren inklusive Forward Secrecy. Letzteres ist eine Methode für den Schlüsselaustausch, bei dem kurzlebige Schlüssel zum Absichern jeder einzelnen Nachricht genutzt werden. Selbst wenn jemand an einen Schlüssel rankommt, kann er damit weder alte noch neue Chats entschlüsseln“, erklärt Mehner.
Das schützt die Nachrichten an vielen Stellen vor unbefugtem Zugriff.
Nutzer als Sicherheitslücke
Doch nicht alle Messenger-Dienste nutzen dieses Protokoll. Während Signal, WhatsApp und auch Threema darauf setzen, ist es bei Telegram oder beim Facebook Messenger nicht standardmäßig aktiviert. Das heißt: Nutzer müssen die Funktion eigenständig einschalten.
Das erklärt, warum Telegram-Nachrichten bereits gehackt werden konnten, WhatsApp bislang aber noch nie gehackt wurde.
Theoretisch gibt es aber auch bei WhatsApp gewisse Sicherheitslücken, etwa bei der Web-Version oder beim Speichern der Nachrichten in der Cloud. Hier können die Nachrichten zwar auch nicht auf den Smartphones entschlüsselt werden, aber über die Cloud.
So sagt auch Matthias Mehner: „Die größte Schwachstelle von Messenger-Chats sind die Endgeräte, auf denen sie laufen und die Backups auf externen Cloud-Servern.“
Doch auch die Nutzer selbst sind ein Sicherheitsrisiko. So versuchen Betrüger denn auch eher die Nutzer mit verschiedenen Scams in die Falle zu locken. Das ist wesentlich einfacher als die WhatsApp-Verschlüsselung zu hacken.
Dennoch: Ohne eine Hintertür scheint bisher noch niemand die eigentliche Ende-zu-Ende-Verschlüsselung geknackt zu haben.
Hintertür für Behörden auch Einladung für Betrüger
Die Forderung der Behörden ist in dieser Hinsicht also berechtigt, auch wenn sie natürlich einen massiven Eingriff in die Privatsphäre der Bürger darstellt, wie Datenschützer und Wissenschaftler bemängeln.
Denn eine derartige Hintertür kann von Behörden oder Regierungen natürlich auch missbraucht werden oder versehentlich zur unrechtmäßigen Überwachung von unschuldigen Bürgern führen.
Schließlich hat der von Edward Snowden aufgedeckte NSA-Skandal gezeigt, wie weit Behörden in ihrer Überwachung gehen können, wenn sie die technischen Mittel dafür haben.
Gleichzeitig bedeutet eine Hintertür für die Strafverfolgung auch immer eine Hintertür für Betrüger.
Wenn es schon jetzt mit einem sicheren Verschlüsselungsprotokoll stets neue Maschen gibt, mit denen Betrüger den Messenger-Nutzern auflauern, was können wir dann erwarten, wenn sie auch noch eine Hintertür zu unseren Geräten haben?
Bislang ist die Resolution der EU-Innenminister nur eine Diskussionsvorlage für die Kommission. Es bleibt daher spannend zu sehen, welche Maßnahmen zur Messenger-Verschlüsselung die Kommission am Ende vorschlägt.
Derweil gehen die Messenger-Dienste in die Offensive. Erst jetzt hat der Schweizer Messenger-Anbieter Threema seinen Quellcode im Namen der Transparenz veröffentlicht. Sollten größere Messenger-Dienste folgen, wird es für die Politiker immerhin schwierig zu argumentieren, dass die Unternehmen nicht transparent genug seien.
Auch interessant: