In vielen deutschen Medien wird aktuell darüber berichtet, dass mehrerer Staaten (USA, Grossbritannien, Australien und wohl auch Deutschland) Messaging-Anbieter dazu auffordern, bei ihrem Dienst eine Hintertür für Behörden der Strafverfolgung/Gefahrenabwehr zu implementieren. Siehe hierzu:
- Chip Online - Verschlüsselte Chats: US-Behörden fordern Hintertür für den neuen Facebook Messenger
- Heise Online - Bericht: Facebook & Co müssen britischer Polizei Zugriff auf Nachrichten geben
- Spiegel Online - Regierungen fordern Zugang zu verschlüsselten Facebook-Nachrichten
- Zeit Online - Ausnahmsweise mal auf Facebook hören
Bei diesen Messaging-Diensten handelt es sich primär um die proprietären Produkte WhatsApp und Messenger (beide von WhatsApp/Facebook). Aber auch Skype (Microsoft), Threema (Threema) und weitere wären denkbar.
Diese Messaging-Dienste verfügen über eine Ende-zu-Ende-Verschlüsselung, welche verhindert, dass ausser den jeweiligen Kommunikationsteilnehmern eine weitere dritte Partei Zugriff auf den Kommunikationsinhalt (Chat, Dateien, Sprachnachrichten, Audio/Video-Anrufe) hat. Weder die jeweiligen Dienst-Anbieter noch Behörden der Strafverfolgung/Gefahrenabwehr sollen Zugriff auf diese Detail-Daten haben. Bisher soll es nur möglich sein, dass bei Vorlage einer richterlichen/gerichtlichen Anordnung der Dienst-Anbieter Metadaten wie Datum, Uhrzeit, Kommunikationsteilnehmer und Art der Kommunikation aushändigt, nicht jedoch deren Inhalt.
Ungeachtet des Grundes für das Bedürfnis der Behörden der Strafverfolgung/Gefahrenabwehr, Zugriff auf die unverschlüsselten Kommunikationsinhalte zu erhalten, ist eine solche Hintertür völlig überflüssig, denn:
- WhatsApp/Facebook, Skype und andere Anbieter proprietärer Messaging-Produkte sind nicht mit dritten Parteien gleichzusetzen. Letztere haben bei korrekter Implementation der Ende-zu-Ende-Verschlüsselung in der Tat keinen Zugriff auf die Kommunikationsinhalte. Demgegenüber hat ein entsprechender Dienstanbieter theoretisch Zugriff auf:
- die Apps der Kommunikationsteilnehmer und somit auf die unverschlüsselten Inhalte
- die Apps und somit auf den Session-Key, mit welchem die Kommunikation verschlüsselt wurde; dieser Session-Key kann theoretisch vom Dienstanbieter ausgelesen und an die zentralen Kommunikationsserver weitergeleitet werden, um dort die verschlüsselte Kommunikation zu entschlüsseln
- Ein Dienstanbieter, speziell bei proprietären Prdukten, könnte somit sein App derart programmieren, dass es sobald bei einem Benutzerprofil ein entsprechend geheimes Merkmal gesetzt ist, es neben der verschlüsselten Kommunikation parallel auch den zugehörigen Session-Key (verschlüsselt mit einem Key, den nur der Dinstanbieter kennt) an den zentralen Kommunikationsserver überträgt. Man müsste das komplette App (einige Megabytes) disassemblieren, um diese Hintertür zu entdecken.
- Wenn ein Dienstanbieter wie WhatsApp sagt (siehe: WhatsApp Sicherheit), die Ende-zu-Ende-Verschlüsselung verhindert, dass WhatsApp die Kommunikation abhören kann, ist das schlichtweg gelogen. Das ist nicht-technisch-fundiertes Juristen/Marketing-Blah-Blah. WhatsApp begründet dies damit, dass nur Sender und Empfänger die nötigen Schlüssel besitzen, um die Kommunikation entschlüsseln zu können. Dass aber eigentlich das WhatsApp App die Schlüssel besitzt, das WhatsApp App mit WhatsApp Servern kommuniziert und somit WhatsApp theoretisch ebenfalls in der Lage ist, in den Besitz dieser Schlüssel zu kommen, wird hierbei verschwiegen.
Eine Ende-zu-Ende-Verschlüsselung kann nicht verhindern, dass der Betreiber der Verschlüsselung keinen Zugriff auf die verschlüsselten Daten hat. Wie soll das gehen? Das funktioniert nur, wenn der Autor des Apps (das die Kommunikation verschlüsselt) und der Betreiber der zentralen Server (die die verschlüsselte Kommunikation weiterleiten) zwei unabhängige Parteien sind und der Autor entsprechendes Auslesen und Übertragen von geheimen Schlüsseln nicht zulässt. Korrekt wäre somit: "WhatsApp ist theoretisch technisch in der Lage auf die verschlüsselten Daten zuzugreifen, tut es aber nicht." Dies würde allerdings im Nachhinein nicht sehr vertrauenserweckend klingen. Bei Bedenken können User zu quelloffenen Messaging-Diensten wie Signal und Wire wechseln. - Theoretisch wäre so eine Hintertür aber auch bei quelloffenen Produkten möglich, allerdings wäre es dann für diese Dienstanbieter ein Selbstmord (Stichwort: "quelloffen"). Somit werden Staaten wie USA, Grossbritannien und Australien bei diesen mit ihrer Forderung auf Granit beissen.
- Andererseits: Ernsthafte Kriminelle, Verbrecher und Terroristen verwenden kein WhatsApp, Messenger, Skype etc. Entweder verwenden sie bereits quelloffene Messaging-Produkte, oder sie setzen eine zusätzliche Verschlüsselung ein, z.B. PGP/GPG für Chats und Dateien und eine externe Audio-Encryption-Box (via Kabel oder Bluetooth) für Sprachnachrichten und Audio-Anrufe. So eine Box würde dann auch normale Telefongespräche verschlüsseln. Denkbar sind auch andere Lösungen unter Einsatz des TOR Netzwerks. Oder SIP innerhalb eines VPN Netzwerks. Oder eine proprietäre Messaging-Lösung eines Service Providers für das organisierte Verbrechen. Oder, oder, oder …