Datenschutz: Ein Qabel-Anschluss für Verschlüsselung
"Bitte vertrauen Sie uns nicht." Diese Worte sind auf der Website von Qabel nicht zu übersehen. Sie sind ungewöhnlich, denn bei Qabel handelt es sich um eine Softwareplattform, die vor allem eines sein möchte: sicher.
Die Firma Praemandatum aus Hannover, die am Mittwoch eine Alphaversion für Entwickler vorstellte, nennt die Software ein "schlüsselfertiges Ökosystem mit echtem Datenschutz" . Qabel soll die Verschlüsselung von Daten salonfähig machen und somit Schutz vor den Einblicken von Geheimdiensten(öffnet im neuen Fenster) und Internetprovidern bieten. Vertrauen sollen die Nutzer nicht dem Unternehmen, sondern der Community: Qabel ist quelloffen, nutzt bekannte Sicherheitsstandards und soll mithilfe seiner Nutzer wachsen.
Ist Qabel auf einem Gerät installiert und mit dem persönlichen Account des jeweiligen Nutzers eingerichtet, verschlüsselt die Software sämtliche Daten, die aus der Software heraus ins Netz verschickt werden. Die erste Entwicklerversion enthält bis dato eine Adressbuch-, Chat- und Filesharing-Funktion. Als nächstes geplant sind ein E-Mail-Programm und ein Kalender. Für die nicht kommerzielle Nutzung wird Qabel kostenlos sein, für zusätzliche Funktionen, wie das Hosting auf dem eigenen Server, fallen allerdings Kosten an.
Das Mitlesen von Daten auf dem Transportweg wird unterbunden
Im Gegensatz zu Angeboten wie der De-Mail, dem nur mutmaßlich sicheren E-Mail-Dienst der Bundesregierung(öffnet im neuen Fenster) , wird es weder für die Qabel-Anbieter noch die Internetprovider eine Möglichkeit geben(öffnet im neuen Fenster) , die Daten auf dem Transportweg mitzulesen. Denn Qabel nutzt eine vollständige Ende-zu-Ende-Verschlüsselung: Alle Daten werden auf dem Rechner des Senders verschlüsselt und können erst vom Empfänger wieder entschlüsselt werden.
Deshalb bringe auch die Abhörschnittstelle nichts, die alle deutschen Telekommunikationsanbieter qua Gesetz(öffnet im neuen Fenster) in ihre Dienste integrieren müssten, sagt Qabel-Geschäftsführer Peter Leppelt. Der Dienst bietet sie deshalb gleich öffentlich auf der Website an. Behörden können die durchlaufenden Daten dort - wie vom Gesetzgeber verlangt - jederzeit abfangen. Da sie aber ohnehin verschlüsselt sind, können sie nicht mitgelesen werden.
Quelloffen, aber kein Open Source
Wie auch das ebenfalls aus Deutschland stammende Projekt Trustner(öffnet im neuen Fenster) möchte Qabel den Einstieg in den sicheren Datenverkehr erleichtern. Bis jetzt scheitern viele etablierte Verschlüsselungstechniken wie etwa PGP(öffnet im neuen Fenster) an der Umsetzung: Programme und zusätzliche Passwörter müssen zunächst eingerichtet werden, und die jeweilige Software gibt es oft nicht für jedes Gerät.
Als Komplettpaket soll Qabel eines Tages die beliebtesten Online-Aktivitäten bündeln. Einmal eingerichtet, übernimmt das Programm im Hintergrund die Verschlüsselung, sodass die Nutzer im besten Fall nichts mehr davon mitbekommen. Einen ähnlichen Ansatz verfolgt Google mit seinen jüngsten Plänen(öffnet im neuen Fenster) in Sachen E-Mail-Verschlüsselung.
In der Praxis liegt es an den Drittentwicklern, diese Dienste für die Qabel-Plattform zu entwickeln. Das ist ausdrücklich erwünscht, auch wenn die Lizenz, unter der die Software steht, für Irritation sorgt. Auf der Website geben die Entwickler an, dass Qabel der Tradition von Open Source folge.
Tatsächlich aber steht die Software unter der modifizierten Qabel-Lizenz(öffnet im neuen Fenster) (QaPL): Der Code ist zwar einsehbar und kann überprüft und modifiziert werden, allerdings nur für nicht kommerzielle Anwendungen und nur, wenn es sich dabei nicht um Geheim- und Militärdienste handelt. Durch diese Einschränkungen ist Qabel streng genommen weder freie Software noch Open Source. Nach vielen Diskussionen habe man sich für diese Lizenz entschieden, schreibt eine Sprecherin in den Kommentaren(öffnet im neuen Fenster) von netzpolitik.org.
Je mehr Leute es nutzen, desto besser funktioniert's
Das größte Problem für Qabel aber dürfte nicht die Lizenz, sondern die Verbreitung sein. Wer sicher mit anderen Menschen kommunizieren möchte, landet unweigerlich bei dem bekannten Problem: Zu einer erfolgreichen Verschlüsselung gehören immer zwei. Sender und Empfänge müssen dieselbe Software nutzen. Sonst sind die Inhalte nicht lesbar.
Damit Qabel überhaupt eines Tages den Weg aus der Nische schafft, ist deshalb noch viel Überzeugungsarbeit nötig. Ausgerechnet das ist etwas, mit dem sich Sicherheitsprogramme und Verschlüsselungstechniken selbst ein Jahr nach den NSA-Enthüllungen(öffnet im neuen Fenster) noch immer schwertun.
Das Unternehmen hat das Patent verschenkt
Ca. 40 Menschen arbeiten zurzeit an dem Projekt. Da das nicht reicht, suchen die Gründer nach Finanzierungsmöglichkeiten. Eine Kampagne auf der Crowdfunding-Plattform Indiegogo(öffnet im neuen Fenster) soll zunächst 40.000 Euro für die Entwicklung einbringen und mittelfristig auch eine unabhängige Sicherheitsüberprüfung garantieren.
Einen bekannten Unterstützer hat Qabel bereits mit dem Berliner Verfassungsrichter und Anwalt Meinhard Starostik(öffnet im neuen Fenster) . 2007 hatte Starostik die Sammelklage gegen die Vorratsdatenspeicherung mit auf den Weg gebracht, die 2010 vor dem Bundesverfassungsgericht erfolgreich war und somit die Pläne der Bundesregierung blockierte.
Starostik ist es auch, der das Patent an Qabel treuhänderisch besitzt, bevor es in eine Genossenschaft übergeht. Die Gründer hatten Qabel zunächst als Patent angemeldet, es aber sogleich an Starostik als Außenstehenden übertragen. "Wir entmachten uns selbst, präventiv für den Fall, dass unsere Firma irgendwann einmal böse oder gierig wird" , sagt Geschäftsführer Leppelt.
Eines Tages soll es sowohl auf Linux und Windows als auch auf OS X sowie Android laufen - allerdings nicht auf iOS, womit Qabel also nicht für iPhones und iPads verfügbar sein wird. Das sei zwar "betriebswirtschaftlich unglücklich" , heißt es auf der Website. Aber da Apple sämtliche Angebote in seinem App-Store kontrolliert, müsste sich auch Qabel dem unterwerfen. Und das widerspricht der Idee einer unabhängigen Verschlüsselungssoftware.