{"id":17121,"date":"2020-09-17T11:50:00","date_gmt":"2020-09-17T09:50:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=17121"},"modified":"2020-09-14T08:58:20","modified_gmt":"2020-09-14T06:58:20","slug":"warum-gesetze-zur-ende-zu-ende-verschluesselung-uns-alle-angehen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=17121","title":{"rendered":"Warum Gesetze zur Ende-zu-Ende-Verschl\u00fcsselung uns alle angehen"},"content":{"rendered":"\n

Autoren\/Redakteur: Tim Mackey, Principal Security Strategist, Synopsys Cybersecurity Research Center (CyRC) und Gunnar Braun, Technical Account Manager bei\u00a0Synopsys<\/a>\/gg<\/p>\n\n\n\n

Verschl\u00fcsselungstechnologien sind so etwas wie das sprichw\u00f6rtliche zweischneidige Schwert. Wenn Sie einen beliebigen Passanten fragen, ob er seine pers\u00f6nlichen Daten vor neugierigen Blicken sch\u00fctzen will, wird er vermutlich mit \u201eJa\u201c antworten. Wenn Sie anschlie\u00dfend fragen, wie man das am besten erreicht, wird man h\u00f6chstwahrscheinlich irgendetwas von \u201eVerschl\u00fcsselung\u201c zu h\u00f6ren bekommen.<\/p>\n\n\n\n

\"\"
Bild: Synopsys<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Diese unmittelbare Verkn\u00fcpfung h\u00e4ngt unter anderem mit der Entwicklung des Internets zusammen. In der Anfangszeit gab es noch keine Webseiten-Verschl\u00fcsselung. Kein Schloss-Symbol, keine gr\u00fcne Adressleiste. Als der \u00d6ffentlichkeit klar wurde, dass Kreditkarteninformationen bei Online-K\u00e4ufen im Klartext \u00fcbermittelt werden, sahen Unternehmen sich zunehmend gezwungen, ihre Transaktionen zu verschl\u00fcsseln. Firmen, die fr\u00fchzeitig handelten, ver\u00f6ffentlichten entsprechende FAQ-Seiten zum Thema HTTPS, um die Vorteile der Technologie zu erl\u00e4utern. Die Entwicklung ist seither so erfolgreich verlaufen, dass man kaum noch auf eine Webseite st\u00f6\u00dft, die ihren Datenverkehr nicht verschl\u00fcsselt. Aus der Ausnahme ist die Regel geworden.<\/p>\n\n\n\n

Nichts von alledem ist allerdings eine \u201eEnde-zu-Ende-Verschl\u00fcsselung\u201c. Auch wenn die Kommunikation zwischen Browser oder App und der Website Verschl\u00fcsselungstechnologien verwendet, bedeutet das nicht, dass die Daten nach der \u00dcbertragung an die Webseite ebenfalls verschl\u00fcsselt sind. Anders ausgedr\u00fcckt: Auch wenn Kreditkarteninformationen im Internet verschl\u00fcsselt sind, hei\u00dft das nicht, dass sie nicht von Mitarbeitern an der Website im Klartext gelesen werden k\u00f6nnen. Gibt es dort ein schwarzes Schaf, lassen sich die Daten genauso einfach auslesen als h\u00e4tte man sie gleich telefonisch weitergegeben. Es ist wieder einmal das schw\u00e4chste Glied der Kette, das es Hackern erm\u00f6glicht, an die betreffenden Daten zu gelangen und weitreichenden Schaden zu verursachen.<\/p>\n\n\n\n

\"\"
Bild: Synopsys<\/figcaption><\/figure>\n\n\n\n

Wir sind uns wohl alle einig, dass es richtig ist, pers\u00f6nliche Daten wie Gesundheitsdaten und Kreditkarteninformationen zu sch\u00fctzen. Wir k\u00f6nnen uns auch darauf einigen, dass es heutzutage weltweit viel zu h\u00e4ufig zu Datenschutzverletzungen kommt. Das ist auch dem Gesetzgeber nicht entgangen. Diese Datenschutzverletzungen haben in der Folge zu einer ganzen Reihe von Gesetzen gef\u00fchrt, die Unternehmen zwingen sollen, Verbraucherinformationen besser zu sch\u00fctzen. Rechtsvorschriften mit klangvollen Namen wie DSGVO, PIPEDA und j\u00fcngst CCPA, ein kalifornisches Gesetz, das am 1. Juli 2020 in Kraft getreten ist.<\/p>\n\n\n\n

Als Reaktion auf diese Gesetze pr\u00fcfen Unternehmen intensiv, wie Daten nun gehandhabt werden m\u00fcssen. Einige Firmen schr\u00e4nken den Umfang der von ihnen gesammelten Daten ein. Andere pr\u00fcfen, wie lange sie Daten aufbewahren und wer drauf zugreifen kann. Jede dieser Ma\u00dfnahmen ist ein Schritt in Richtung von mehr Datensicherheit. Das hei\u00dfe Eisen der Kryptodebatte ist jedoch das Konzept der Ende-zu-Ende-Verschl\u00fcsselung. Der Grundgedanke dieser Methode ist es, sicherzustellen, dass alle L\u00fccken, in denen Daten im Klartext vorliegen k\u00f6nnten, geschlossen werden.<\/p>\n\n\n\n\n\n\n\n

Dieses Konzept ist besonders wichtig, wenn wir von Gespr\u00e4chen, Chats und Videostreams zwischen zwei Personen sprechen. Letztlich sind wir uns einig: Wir m\u00fcssen davon ausgehen k\u00f6nnen, dass ein Gespr\u00e4ch mit unserem Arzt per Videokonferenz oder App privat ist und bleibt \u2013 also niemand mith\u00f6rt.<\/p>\n\n\n\n

Das gleiche erwarten wir etwa bei Video\u00fcbertragungen \u00fcber ein Babyphone oder bei einem privaten Online-Gespr\u00e4ch mit dem Ehepartner oder der Familie. Dieselbe Erwartungshaltung haben wir bei Gespr\u00e4chen in Gruppen, genauso wie bei gesch\u00e4ftlichen Transaktionen und Telefonkonferenzen. Ohne Technologien wie Ende-zu-Ende-Verschl\u00fcsselung besteht die Gefahr, dass jemand die Daten abf\u00e4ngt und einsehen kann. Eine Situation, die wir bei verschiedenen Hackerangriffen auf die innere Sicherheit in der j\u00fcngsten Vergangenheit bereits erlebt haben.<\/p>\n\n\n\n

\"\"
Bild: Synopsys<\/figcaption><\/figure>\n\n\n\n

Wenn wir uns also alle einig sind, dass unsere Daten gesch\u00fctzt werden m\u00fcssen und man sich auch auf Regierungsebene \u00fcber die Notwendigkeit des Datenschutzes im Klaren ist, warum werden dann Gesetzesentw\u00fcrfe vorgelegt, die sich gegen eine starke und l\u00fcckenlose Ende-zu-Ende-Verschl\u00fcsselung richten? Die Antwort ist einfach. Terroristen, Straft\u00e4ter gerade im Bereich sexueller Missbrauch, rechtsextreme T\u00e4ter, Verbrecherbanden und andere Kriminelle nutzen Verschl\u00fcsselungstechnologien zur Verschleierung ihrer Aktivit\u00e4ten.<\/p>\n\n\n\n

Aus diesem Grund m\u00f6chte das deutsche Innenministerium den Sicherheitsbeh\u00f6rden einen Zugang zu Ende-zu-Ende-verschl\u00fcsselten Chats und Telefonaten erm\u00f6glichen. Wie die Tagesschau j\u00fcngst berichtete, verf\u00fcgt das Bundeskriminalamt (BKA) bereits, Zitat \u201e\u00fcber eine Methode, die es erm\u00f6glichen kann, Text, Video-, Bild- und Sprachkurznachrichten aus einem WhatsApp-Konto in Echtzeit nachzuvollziehen.\u201c Dar\u00fcber hinaus sollen die Anbieter von Messengerdienste wie WhatsApp oder Telegram dazu verpflichtet werden, auf richterliche Anordnung hin unverschl\u00fcsselte Mitschnitte herauszugeben. Aber dazu m\u00fcssen die betreffenden Dienste die Ende-zu-Ende-Verschl\u00fcsselung aufbrechen und damit praktisch aushebeln \u2013 denn genau solche L\u00fccken sollen ja durch Ende-zu-Ende-Verschl\u00fcsselung verhindert werden.<\/p>\n\n\n\n

Auf Regierungsebene gilt es also eine Balance zu schaffen zwischen den Vorteilen der Verschl\u00fcsselungstechnologie f\u00fcr die Gesellschaft und dem potenziellen Missbrauch. Was in der politischen Debatte nicht in Vergessenheit geraten darf, ist die Tatsache, dass jede Form von Hintert\u00fcr bei der Verschl\u00fcsselung von Daten gleichbedeutend damit ist, den Schl\u00fcssel zum Haus unter die Fu\u00dfmatte vor der verschlossenen T\u00fcr zu legen. Irgendwann wird jemand den Schl\u00fcssel finden und freien Zugang zum Haus haben, um dort zu tun, was immer er will.<\/p>\n\n\n\n

Das Aufsp\u00fcren und Ausnutzen unzul\u00e4nglicher Sicherheitsvorkehrungen, ist genau das, was Cyber-Angreifer tun. Sobald eine neue Softwareschwachstelle bekannt wird, versuchen Cyberkriminelle sie ausnutzen. Das f\u00fchrt allzu oft dazu, dass sich die Angreifer in den Besitz von Millionen vertraulicher Benutzerdaten mit einem erheblichen Marktwert bringen. Diese Gruppen sind leider \u00e4u\u00dferst versiert darin, die sprichw\u00f6rtliche Nadel im Heuhaufen zu finden.<\/p>\n\n\n\n

Um wieder auf das Thema der Gesetzgebung und Verschl\u00fcsselungstechnologie zur\u00fcckzukommen: Wir alle sollten uns bewusst sein, dass eine Schw\u00e4chung der digitalen Sicherheit, selbst mit den besten Absichten, die Sicherheitslage des gesamten Unternehmens gef\u00e4hrdet \u2013 einschlie\u00dflich s\u00e4mtlicher sensibler Benutzerdaten, die es verarbeitet und aufbewahrt. Gut ausger\u00fcstete Cyber-Angreifer werden immer Schw\u00e4chen in der Implementierung solch \u00f6ffentlich bekannter Hintert\u00fcren finden. Wenn es darum geht, diese gewinnbringend zum eigenen Vorteil zu nutzen, spielen Angreifer dann nach ihren eigenen Regeln.<\/p>\n\n\n\n

Es gen\u00fcgt ein Blick auf Statistiken zum Thema Datensicherheit, um zu erkennen, dass bereits eine einzelne Datenschutzverletzung die \u00d6ffentlichkeit st\u00e4rker in Mitleidenschaft ziehen kann als jegliche andere kriminelle Einzelhandlung. Zwar werden zahlreiche kriminelle Aktivit\u00e4ten dank sogenannter Staatstrojaner seitens der Strafverfolgungsbeh\u00f6rden vereitelt. Aber kriminelle Gruppen machen sich den technologischen Fortschritt ihrerseits zunutze, um noch effektiver vorzugehen. Eine L\u00f6sung, die eine bestimmte kriminelle Handlung vereitelt, sollte also nicht gleichzeitig das Potenzial f\u00fcr andere Straftaten, wie beispielsweise Verst\u00f6\u00dfe gegen den Verbraucherdatenschutz, erh\u00f6hen.<\/p>\n\n\n\n

Die Software-Entwicklung bem\u00fcht sich, wie jede Form des Ingenieurwesens, Probleme zu l\u00f6sen. Ein wichtiger Grundsatz dabei ist es, mit der Problemstellung und nicht der gew\u00fcnschten L\u00f6sung zu beginnen. Wenn die Problemstellung so umfangreich ist, dass sie nicht in implementierbare Teile zerlegt werden kann, dann ist das eigentliche Problem im aktuellen Zustand noch nicht l\u00f6sbar.<\/p>\n\n\n\n

Genau darin besteht die gr\u00f6\u00dfte Herausforderung f\u00fcr den Gesetzgebe, der versucht eine technologische L\u00f6sung f\u00fcr ein gesellschaftliches Problem zu definieren. Ein Problem, das durch die Dynamik des technologischen Fortschritts immer komplexer wird.<\/p>\n","protected":false},"excerpt":{"rendered":"

Verschl\u00fcsselungstechnologien sind so etwas wie das sprichw\u00f6rtliche zweischneidige Schwert. Wenn Sie einen beliebigen Passanten fragen, ob er seine pers\u00f6nlichen Daten vor neugierigen Blicken sch\u00fctzen will, wird er vermutlich mit \u201eJa\u201c antworten. Wenn Sie anschlie\u00dfend fragen, wie man das am besten erreicht, wird man h\u00f6chstwahrscheinlich irgendetwas von \u201eVerschl\u00fcsselung\u201c zu h\u00f6ren bekommen.<\/p>\n","protected":false},"author":1,"featured_media":17122,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8],"tags":[14075,9408,8998,5375,14074,14073],"class_list":["post-17121","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","tag-ccpa","tag-dsgvo","tag-gesetz","tag-https","tag-pipeda","tag-synopsys"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17121","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=17121"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17121\/revisions"}],"predecessor-version":[{"id":17128,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/17121\/revisions\/17128"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/17122"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=17121"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=17121"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=17121"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}