Deutschland ist keine gute Jurisdiktion für Messenger
Auch die hiesigen Telekommunikationsdienste sind dazu verpflichtet, den Sicherheitsbehörden Daten preiszugeben, ohne dass sie ihre Nutzer darüber informieren dürfen. Ab einer bestimmten Größe müssen die Dienstleister zudem Überwachungsschnittstellen für die Sicherheitsbehörden bereithalten.
Zwar ist es im Gesetz vorgesehen, dass die Betroffenen nach einer heimlichen Überwachungsmaßnahme von den entsprechenden Behörden informiert werden - in der Praxis findet das jedoch fast nicht statt.
Galten bisher nur Internet und Telefon als Telekommunikationsdienste, werden nach der Novelle des Telekommunikationsgesetzes (TKG) auch sogenannte Over-the-Top-Dienste wie Messenger oder E-Mail dazu gezählt - mitsamt der Überwachungsanforderungen.
Auch in Deutschland gibt es obendrein Gerichtsbeschlüsse, die Anbieter dazu verpflichten, ihre gute Datenschutz- und Sicherheitspraxis zu unterhöhlen. So wurde der E-Mail-Anbieter Posteo dazu gezwungen, IP-Adressen seiner Kunden auf Verlangen der Sicherheitsbehörden mitzuloggen. Dabei hatte Posteo die IP-Adressen bewusst serverseitig nicht erhoben. Eine Verfassungsbeschwerde des Anbieters wurde zurückgewiesen. Ein durchaus erstaunlicher Vorgang, da bisher nur bereits vorhandene Daten beauskunftet werden mussten.
Ähnliches widerfuhr dem E-Mail-Anbieter Tutanota, der alle eingehenden E-Mails automatisch verschlüsselt. Tutanota musste nach einem entsprechenden Gerichtsbeschluss eine Software programmieren, welche die E-Mails auf Anfrage von Sicherheitsbehörden vor der Verschlüsselung ausleiten kann.
Vorbeugen gegen Überwachung
Die beiden Fälle zeigen, dass auch in Deutschland serverseitige Schutzmaßnahmen durch Sicherheitsbehörden und Gerichte ausgehebelt werden können. Doch der Fall Tutanota zeigt auch noch etwas anderes. Der Anbieter verschlüsselt alle E-Mails, die zwischen den Tutanota-Nutzern ausgetauscht werden, Ende-zu-Ende. Die E-Mails können auf dem Server nicht vor der Verschlüsselung oder nach dem Entschlüsseln abgefangen werden.
Entsprechend wäre es bei Signal schwierig, eine serverseitige Überwachungsschnittstelle einzubauen, wenn der Server von der App ohnehin nur verschlüsselte und metadatenreduzierte Daten erhält. Veränderungen an App und Server sind zudem öffentlich einsehbar, da beide Open Source sind. Im Falle der App lässt sich über Reproducible Builds zudem feststellen, dass auch nur der veröffentlichte Code in der App steckt.
Letztlich bietet also weniger der Standort, sondern vor allem die Technik einen Schutz. Findet die Verschlüsselung und Verschleierung der Daten primär an den Endpunkten statt, wird der Server nur noch zu einer Relaisstation, die unlesbare Daten verteilt. Dabei ist es bis zu einem gewissen Grad tatsächlich egal, in welchem Land oder in welchem Rechenzentrum die Server stehen.
Einschränkung der Ende-zu-Ende-Verschlüsselung ist eine Bedrohung - für alle sicheren Messenger
Deutlich bedrohlicher für Signal und letztlich alle Messengernutzer sind derweil die Pläne, die Ende-zu-Ende-Verschlüsselung in den Messengern einzuschränken. Entsprechende Initiativen werden von der Bundesregierung, der EU-Kommission und dem EU-Ministerrat vorangetrieben und zielen auf einen staatlichen Zugriff auf die Ende-zu-Ende-verschlüsselten Inhalte ab - was letztlich einer Abschaffung der Ende-zu-Ende-Verschlüsselung gleichkäme, schließt sie per Definition doch das Mitlesen durch Dritte aus.
Die Pläne finden sich bereits in einem Richtlinienentwurf der EU-Kommission wieder. Doch auch in den USA gibt es mit dem Earn IT Act ein ähnliches Gesetzesvorhaben, das die Nutzung von Ende-zu-Ende-Verschlüsselungen praktisch unmöglich machen könnte. Sollte es dazu kommen, müsse das kleine gemeinnützige Unternehmen Signal wohl die USA verlassen, um den Dienst weiter aufrechtzuerhalten, erklärte das Signal-Team im April letzten Jahres.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Signal: Ein sicherer Messenger aus NSA-Land? |
War bei mir am Anfang auch so. Man muss ja selbst aktiv werden - die App selbst hat...
Hallo ahkluge, Danke für das Lob :-) Das steht letztlich in der Telekommunikations...
selbst Signal, Matrix und Wire hat das
Ein Hashwert kann aber auch mehrer Telefonummmern repräsentieren. Der Nummernschlüssel...
Was bedeutet Schwachstelle? Nehmen wir mal an, die machen es clever. Dann werden alle...
Kommentieren