Deutschland ist keine gute Jurisdiktion für Messenger

Auch die hiesigen Telekommunikationsdienste sind dazu verpflichtet, den Sicherheitsbehörden Daten preiszugeben, ohne dass sie ihre Nutzer darüber informieren dürfen. Ab einer bestimmten Größe müssen die Dienstleister zudem Überwachungsschnittstellen für die Sicherheitsbehörden bereithalten.

Stellenmarkt
  1. IT-Referent (w/m/d) Digitalisierung Fahrgastsicherheit / -service
    Kölner Verkehrs-Betriebe AG, Köln
  2. Biomedizinische*r KI-Wissenschaftler*in (m/w/d)
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
Detailsuche

Zwar ist es im Gesetz vorgesehen, dass die Betroffenen nach einer heimlichen Überwachungsmaßnahme von den entsprechenden Behörden informiert werden - in der Praxis findet das jedoch fast nicht statt.

Galten bisher nur Internet und Telefon als Telekommunikationsdienste, werden nach der Novelle des Telekommunikationsgesetzes (TKG) auch sogenannte Over-the-Top-Dienste wie Messenger oder E-Mail dazu gezählt - mitsamt der Überwachungsanforderungen.

Auch in Deutschland gibt es obendrein Gerichtsbeschlüsse, die Anbieter dazu verpflichten, ihre gute Datenschutz- und Sicherheitspraxis zu unterhöhlen. So wurde der E-Mail-Anbieter Posteo dazu gezwungen, IP-Adressen seiner Kunden auf Verlangen der Sicherheitsbehörden mitzuloggen. Dabei hatte Posteo die IP-Adressen bewusst serverseitig nicht erhoben. Eine Verfassungsbeschwerde des Anbieters wurde zurückgewiesen. Ein durchaus erstaunlicher Vorgang, da bisher nur bereits vorhandene Daten beauskunftet werden mussten.

Golem Karrierewelt
  1. Adobe Premiere Pro Aufbaukurs: virtueller Zwei-Tage-Workshop
    17./18.10.2022, Virtuell
  2. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    31.08.-02.09.2022, Virtuell
Weitere IT-Trainings

Ähnliches widerfuhr dem E-Mail-Anbieter Tutanota, der alle eingehenden E-Mails automatisch verschlüsselt. Tutanota musste nach einem entsprechenden Gerichtsbeschluss eine Software programmieren, welche die E-Mails auf Anfrage von Sicherheitsbehörden vor der Verschlüsselung ausleiten kann.

Vorbeugen gegen Überwachung

Die beiden Fälle zeigen, dass auch in Deutschland serverseitige Schutzmaßnahmen durch Sicherheitsbehörden und Gerichte ausgehebelt werden können. Doch der Fall Tutanota zeigt auch noch etwas anderes: Der Anbieter verschlüsselt alle E-Mails, die zwischen den Tutanota-Nutzern ausgetauscht werden, Ende-zu-Ende. Die E-Mails können auf dem Server nicht vor der Verschlüsselung oder nach dem Entschlüsseln abgefangen werden.

Das gilt auch für Signal: Da der Server nur verschlüsselte und metadatenreduzierte Daten erhält, wäre eine serverseitige Überwachungsschnittstelle wenig wirkungsvoll. Zudem sind Veränderungen im Code der App oder des Servers öffentlich einsehbar, da beide Open Source sind. Im Falle der App lässt sich über Reproducible Builds zudem feststellen, ob nur der veröffentlichte Code in der App steckt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Letztlich bietet also weniger der Standort, sondern vor allem die Technik einen Schutz. Findet die Verschlüsselung und Verschleierung der Daten primär an den Endpunkten statt, wird der Server nur noch zu einer Relaisstation, die unlesbare Daten verteilt. Dabei ist es bis zu einem gewissen Grad tatsächlich egal, in welchem Land oder in welchem Rechenzentrum die Server stehen.

Einschränkung der Ende-zu-Ende-Verschlüsselung ist eine Bedrohung - für alle sicheren Messenger

Deutlich bedrohlicher für Signal und letztlich alle Messengernutzer sind derweil die Pläne, die Ende-zu-Ende-Verschlüsselung in den Messengern einzuschränken. Entsprechende Initiativen werden von der Bundesregierung, der EU-Kommission und dem EU-Ministerrat vorangetrieben und zielen auf einen staatlichen Zugriff auf die Ende-zu-Ende-verschlüsselten Inhalte ab - was letztlich einer Abschaffung der Ende-zu-Ende-Verschlüsselung gleichkäme, schließt sie per Definition doch das Mitlesen durch Dritte aus.

Die Pläne finden sich bereits in einem Richtlinienentwurf der EU-Kommission wieder. Doch auch in den USA gibt es mit dem Earn IT Act ein ähnliches Gesetzesvorhaben, das die Nutzung von Ende-zu-Ende-Verschlüsselungen praktisch unmöglich machen könnte. Sollte es dazu kommen, könnte sich das kleine gemeinnützige Unternehmen Signal dazu gezwungen sehen, die USA zu verlassen, um den Dienst aufrechtzuerhalten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Signal: Ein sicherer Messenger aus NSA-Land?
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5


Intermotto12 17. Feb 2021

War bei mir am Anfang auch so. Man muss ja selbst aktiv werden - die App selbst hat...

mtr (golem.de) 01. Feb 2021

Hallo ahkluge, Danke für das Lob :-) Das steht letztlich in der Telekommunikations...

Keep The Focus 01. Feb 2021

selbst Signal, Matrix und Wire hat das

chefin 01. Feb 2021

Ein Hashwert kann aber auch mehrer Telefonummmern repräsentieren. Der Nummernschlüssel...



Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. Betrug: Wenn die Phishing-Mail wirklich von Paypal kommt
    Betrug
    Wenn die Phishing-Mail wirklich von Paypal kommt

    Die E-Mail stammt von Paypals Servern und weist auf eine unter Paypal.com einsehbare Transaktion hin. Doch hinter E-Mail und Hotline stecken Betrüger.

  2. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  3. Botnetz: Google blockiert Rekord-DDoS-Angriff
    Botnetz
    Google blockiert Rekord-DDoS-Angriff

    Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /