Deutschland ist keine gute Jurisdiktion für Messenger

Auch die hiesigen Telekommunikationsdienste sind dazu verpflichtet, den Sicherheitsbehörden Daten preiszugeben, ohne dass sie ihre Nutzer darüber informieren dürfen. Ab einer bestimmten Größe müssen die Dienstleister zudem Überwachungsschnittstellen für die Sicherheitsbehörden bereithalten.

Zwar ist es im Gesetz vorgesehen, dass die Betroffenen nach einer heimlichen Überwachungsmaßnahme von den entsprechenden Behörden informiert werden - in der Praxis findet das jedoch fast nicht statt.

Galten bisher nur Internet und Telefon als Telekommunikationsdienste, werden nach der Novelle des Telekommunikationsgesetzes (TKG) auch sogenannte Over-the-Top-Dienste wie Messenger oder E-Mail dazu gezählt - mitsamt der Überwachungsanforderungen.

Auch in Deutschland gibt es obendrein Gerichtsbeschlüsse, die Anbieter dazu verpflichten, ihre gute Datenschutz- und Sicherheitspraxis zu unterhöhlen. So wurde der E-Mail-Anbieter Posteo dazu gezwungen, IP-Adressen seiner Kunden auf Verlangen der Sicherheitsbehörden mitzuloggen. Dabei hatte Posteo die IP-Adressen bewusst serverseitig nicht erhoben. Eine Verfassungsbeschwerde des Anbieters wurde zurückgewiesen. Ein durchaus erstaunlicher Vorgang, da bisher nur bereits vorhandene Daten beauskunftet werden mussten.

Ähnliches widerfuhr dem E-Mail-Anbieter Tutanota, der alle eingehenden E-Mails automatisch verschlüsselt. Tutanota musste nach einem entsprechenden Gerichtsbeschluss eine Software programmieren, welche die E-Mails auf Anfrage von Sicherheitsbehörden vor der Verschlüsselung ausleiten kann.

Vorbeugen gegen Überwachung

Die beiden Fälle zeigen, dass auch in Deutschland serverseitige Schutzmaßnahmen durch Sicherheitsbehörden und Gerichte ausgehebelt werden können. Doch der Fall Tutanota zeigt auch noch etwas anderes: Der Anbieter verschlüsselt alle E-Mails, die zwischen den Tutanota-Nutzern ausgetauscht werden, Ende-zu-Ende. Die E-Mails können auf dem Server nicht vor der Verschlüsselung oder nach dem Entschlüsseln abgefangen werden.

Das gilt auch für Signal: Da der Server nur verschlüsselte und metadatenreduzierte Daten erhält, wäre eine serverseitige Überwachungsschnittstelle wenig wirkungsvoll. Zudem sind Veränderungen im Code der App oder des Servers öffentlich einsehbar, da beide Open Source sind. Im Falle der App lässt sich über Reproducible Builds zudem feststellen, ob nur der veröffentlichte Code in der App steckt.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Letztlich bietet also weniger der Standort, sondern vor allem die Technik einen Schutz. Findet die Verschlüsselung und Verschleierung der Daten primär an den Endpunkten statt, wird der Server nur noch zu einer Relaisstation, die unlesbare Daten verteilt. Dabei ist es bis zu einem gewissen Grad tatsächlich egal, in welchem Land oder in welchem Rechenzentrum die Server stehen.

Einschränkung der Ende-zu-Ende-Verschlüsselung ist eine Bedrohung - für alle sicheren Messenger

Deutlich bedrohlicher für Signal und letztlich alle Messengernutzer sind derweil die Pläne, die Ende-zu-Ende-Verschlüsselung in den Messengern einzuschränken. Entsprechende Initiativen werden von der Bundesregierung, der EU-Kommission und dem EU-Ministerrat vorangetrieben und zielen auf einen staatlichen Zugriff auf die Ende-zu-Ende-verschlüsselten Inhalte ab - was letztlich einer Abschaffung der Ende-zu-Ende-Verschlüsselung gleichkäme, schließt sie per Definition doch das Mitlesen durch Dritte aus.

Die Pläne finden sich bereits in einem Richtlinienentwurf der EU-Kommission wieder. Doch auch in den USA gibt es mit dem Earn IT Act ein ähnliches Gesetzesvorhaben, das die Nutzung von Ende-zu-Ende-Verschlüsselungen praktisch unmöglich machen könnte. Sollte es dazu kommen, könnte sich das kleine gemeinnützige Unternehmen Signal dazu gezwungen sehen, die USA zu verlassen, um den Dienst aufrechtzuerhalten.