Das Aus der sicheren Ende-zu-Ende-Verschlüsselung?

Eine Resolution des EU-Ministerrats sorgte vor wenigen Tagen für ziemliche Aufregung unter Datenschützern: Die Ende-zu-Ende-Verschlüsselung bei Messanging-Diensten wie WhatsApp soll damit quasi verboten werden. Was die Gründe dafür sind, was es bringen soll und wie dies auch für Unternehmen relevant ist, erklären wir Ihnen in diesem Beitrag. 

Ende-zu-Ende-Verschlüsselung ist der EU wichtig. Oder doch nicht? 

Bei der Resolution handelt es sich bisher nur um einen Entwurf, welcher ursprünglich geheim gehalten werden sollte, aber von findigen Datenschützern entdeckt und über den ORF veröffentlicht wurde. Das Originaldokument auf Englisch können Sie sich übrigens hier ansehen, um sich selbst ein Bild zu machen. 

Zuerst ist darauf hinzuweisen, dass in dem entsprechenden Dokument betont wird, dass Verschlüsselungen allgemein, aber insbesondere die Ende-zu-Ende-Verschlüsselung im speziellen auch vom Ministerrat der EU als wichtiger Pfeiler eines funktionierenden Datenschutzes gesehen wird. Umso erstaunlicher ist dann jedoch, dass eben diese mehr oder weniger komplett ausgehebelt werden soll. 

Nur eine Hintertür für offizielle Behörden

Der Panikmache, dass Verschlüsselung EU-weit verboten werden soll, möchten wir uns hier bewusst nicht anschließen. Geplant ist nämlich „nur“ eine Backdoor, also eine Hintertür, zu der Betreiber solcher Messaging-Dienste verpflichtet werden sollen. Diese soll dann – so die Theorie – nur offiziellen Behörden zugänglich sein. 

Dabei übersieht der Ministerrat jedoch einen wichtigen Aspekt. Eine solche Backdoor ist, sofern Sie erst ein Mal existiert, nicht nur von den Behörden der EU selbst nutzbar. Sie ermöglicht auch Hackern den Zugriff. Natürlich ist dies nicht vorgesehen und nicht gewollt – dennoch zeigen die entsprechenden Backdoors bei Windows, Intel und anderen großen Anbietern von Telekommunikationshardware und -software, dass dies in der Praxis trotzdem geschehen kann und auch wirklich geschieht. 

Inwiefern betrifft diese Problematik auch Unternehmen? 

WhatsApp, Telegram, Signal und Co. sind (hoffentlich) für kein Unternehmen ein offizieller Informationskanal. Fakt ist jedoch auch, dass der Informationsfluss in Betrieben auch von informellen Kommunikationskanälen lebt. Und auch wenn wir hoffen, dass Ihre Mitarbeiter keine Passwörter oder geheime Unternehmensinterna leichtsinnig über Messaging-Dienste teilen, so ist dies nie vollständig auszuschließen. Auch ein weiterer Aspekt tritt immer mehr in den Vordergrund: Auch zur Kommunikation mit Kunden werden solche Messanger eingesetzt. 

Zusätzlich ist momentan nicht abzusehen, welchen Umfang die geplante Backdoor wirklich haben soll. Facebook als Betreiber von WhatsApp ist dafür bekannt, notorisch alle möglichen Daten seiner Nutzer zu sammeln. Zwar wird versichert, dass die Chat-Inhalte geheim und nicht durch Facebook auslesbar sind. Jedoch kam es in der Vergangenheit auch schon zu dem Zwischenfall, dass die Telefonnummern, die durch WhatsApp gesammelt wurden, mit denen aus Facebook abgeglichen und – höchstwahrscheinlich – auch die dazugehörigen Daten verknüpft wurden. Dabei wird beteuert, dass dies ein höchst bedauernswerter Fehler war. Inwiefern diese Entschuldigung glaubhaft ist, darf an dieser Stelle jedoch jeder Leser für sich selbst entscheiden. 

Es ist also nicht komplett auszuschließen, dass mehr Daten erfasst werden, als eigentlich erlaubt sind. Diese wären dann im schlimmsten Fall auch für alle Dritten einsehbar, die sich irgendwie Zugang zur EU-Backdoor verschaffen können. Im schlimmsten Falle wäre so beispielsweise die Zwei-Faktor-Authentifizierung per Smartphone zu knacken oder alle Daten, die auch WhatsApp ausließt, für den Hacker einsehbar. 

Doch auch wenn der Worst Case nicht eintritt, sind wir skeptisch. Jede noch so kleine Aufweichung des europäischen Datenschutzes ist nicht nur als direkter Nachteil für die Bürger bzw. Verbraucher zu sehen. Sondern gerade aufgrund unserer extrem hohen Standards, konnte sich der Datenschutz made in Germany in den letzten Jahren sogar zu einem echten Wettbewerbsvorteil aufschwingen. Diesen leichtfertig zu verspielen halten wir – gerade als IT-Unternehmen mit starkem Fokus auf Datensicherheit – für mindestens unnötig, wenn nicht sogar direkt schädlich. 

Was spricht dafür, was spricht dagegen? 

Aus heiterem Himmel kommen solche Resolutionen selbstverständlich nicht. Die EU verfolgt mit diesem Entwurf natürlich nicht die Aufweichung des Datenschutzes, sondern hat gute Ziele. Diese angedachten Vorteile sind jedoch gegen die Nachteile abzuwiegen. Nur so lässt sich beurteilen, ob dieser Schritt überfällig, notwendig oder überflüssig ist. Deshalb fassen wir hier für Sie die aus unserer Sicht wichtigsten Gründe noch einmal zusammen. 

Die Vorteile einer EU-Backdoor bei der Ende-zu-Ende-Verschlüsselung 

• Erleichterte Gefahrenabwehr, insbesondere bei geplanten Terroranschlägen: Durch den Zugang zu Chat-Daten haben die staatlichen Organe viel mehr Informationen zur Verfügung, um gefährliche Personen und Gruppierungen zu überwachen, diese besser einschätzen zu können und möglicherweise Taten zu verhindern. 
• Kontrolle der Einhaltung bestimmter Maßnahmen: Gerade in einer Krisensituation wie der momentanen Pandemie ließe sich hierüber leichter kontrollieren, inwiefern Regelungen eingehalten werden und, falls nicht, entsprechende Sanktionen oder Anpassungen zu verhängen. 

Die Nachteile einer EU-Backdoor bei der Ende-zu-Ende-Verschlüsselung 

• Mit jeder weiteren Hintertür sinkt die Sicherheit der Daten: Keine Software ist perfekt und jede weitere Backdoor bietet einen neuen Angriffspunkt, den sich Hacker zunutze machen können. 
• Aufweichung des extrem hohen europäischen Datenschutzstandards: Wie bereits angesprochen schmälert dies den Wettbewerbsvorteil, den die EU durch Ihre Datensicherheit hat. 
• Die Gefahr, dass Unternehmensinterna gestohlen werden: Es sind zwar viele Umwege notwendig, aber es ist schlichtweg nicht auszuschließen, dass Hacker oder ausländische Wettbewerber durch unlautere Maßnahmen an Unternehmensinterna gelangen und europäische Betriebe so Ihren Technologievorsprung verlieren.