Warum Gesetze zur Ende-zu-Ende-Verschlüsselung uns alle angehen
Autoren/Redakteur: Tim Mackey, Principal Security Strategist, Synopsys Cybersecurity Research Center (CyRC) und Gunnar Braun, Technical Account Manager bei Synopsys/gg
Verschlüsselungstechnologien sind so etwas wie das sprichwörtliche zweischneidige Schwert. Wenn Sie einen beliebigen Passanten fragen, ob er seine persönlichen Daten vor neugierigen Blicken schützen will, wird er vermutlich mit „Ja“ antworten. Wenn Sie anschließend fragen, wie man das am besten erreicht, wird man höchstwahrscheinlich irgendetwas von „Verschlüsselung“ zu hören bekommen.
Diese unmittelbare Verknüpfung hängt unter anderem mit der Entwicklung des Internets zusammen. In der Anfangszeit gab es noch keine Webseiten-Verschlüsselung. Kein Schloss-Symbol, keine grüne Adressleiste. Als der Öffentlichkeit klar wurde, dass Kreditkarteninformationen bei Online-Käufen im Klartext übermittelt werden, sahen Unternehmen sich zunehmend gezwungen, ihre Transaktionen zu verschlüsseln. Firmen, die frühzeitig handelten, veröffentlichten entsprechende FAQ-Seiten zum Thema HTTPS, um die Vorteile der Technologie zu erläutern. Die Entwicklung ist seither so erfolgreich verlaufen, dass man kaum noch auf eine Webseite stößt, die ihren Datenverkehr nicht verschlüsselt. Aus der Ausnahme ist die Regel geworden.
Nichts von alledem ist allerdings eine „Ende-zu-Ende-Verschlüsselung“. Auch wenn die Kommunikation zwischen Browser oder App und der Website Verschlüsselungstechnologien verwendet, bedeutet das nicht, dass die Daten nach der Übertragung an die Webseite ebenfalls verschlüsselt sind. Anders ausgedrückt: Auch wenn Kreditkarteninformationen im Internet verschlüsselt sind, heißt das nicht, dass sie nicht von Mitarbeitern an der Website im Klartext gelesen werden können. Gibt es dort ein schwarzes Schaf, lassen sich die Daten genauso einfach auslesen als hätte man sie gleich telefonisch weitergegeben. Es ist wieder einmal das schwächste Glied der Kette, das es Hackern ermöglicht, an die betreffenden Daten zu gelangen und weitreichenden Schaden zu verursachen.
Wir sind uns wohl alle einig, dass es richtig ist, persönliche Daten wie Gesundheitsdaten und Kreditkarteninformationen zu schützen. Wir können uns auch darauf einigen, dass es heutzutage weltweit viel zu häufig zu Datenschutzverletzungen kommt. Das ist auch dem Gesetzgeber nicht entgangen. Diese Datenschutzverletzungen haben in der Folge zu einer ganzen Reihe von Gesetzen geführt, die Unternehmen zwingen sollen, Verbraucherinformationen besser zu schützen. Rechtsvorschriften mit klangvollen Namen wie DSGVO, PIPEDA und jüngst CCPA, ein kalifornisches Gesetz, das am 1. Juli 2020 in Kraft getreten ist.
Als Reaktion auf diese Gesetze prüfen Unternehmen intensiv, wie Daten nun gehandhabt werden müssen. Einige Firmen schränken den Umfang der von ihnen gesammelten Daten ein. Andere prüfen, wie lange sie Daten aufbewahren und wer drauf zugreifen kann. Jede dieser Maßnahmen ist ein Schritt in Richtung von mehr Datensicherheit. Das heiße Eisen der Kryptodebatte ist jedoch das Konzept der Ende-zu-Ende-Verschlüsselung. Der Grundgedanke dieser Methode ist es, sicherzustellen, dass alle Lücken, in denen Daten im Klartext vorliegen könnten, geschlossen werden.
