Ende-zu-Ende-Verschlüsselung – sicher im Netz

Ende-zu-Ende-VerschlüsselungZwar haben wir hier in Deutschland das Recht auf informationelle Selbstbestimmung, auch haben wir haben wir weitreichende Datenschutzbestimmungen, jedoch nützt das alles gar nichts, wenn man Menschen und Organisationen mit krimineller Motivation den Diebstahl der eigenen Daten zu leicht macht. Für unsere Rechte interessieren sich die “Datendiebe” – salopp gesagt – nämlich eher mal gar nicht.

Also ist es an uns, den Endnutzern, unsere Daten zu schützen und zu sichern, denn selbst wenn wir unseren Daten in die Cloud, also aus unseren Händen geben, können wir durch gezielte Verschlüsselung immer noch unseren Teil dazu beitragen, dass wir auch weiterhin die Einzigen sind, die unsere Daten (inhaltlich) kennen.

Zwar stellen viele Webseiten und Webdienste (wie z.B. Mailprovider) auf verschlüsselte Verbindungen wie SSL um, jedoch ist dies nur die halbe Miete. Um das zu verstehen, sollte man den Unterschied zwischen einer Punkt-zu-Punkt-/Transportverschlüsselung und einer Ende-zu-Ende-Verschlüsselung kennen.

Punkt-zu-Punkt- und Ende-zu-Ende-Verschlüsselung

Wirbt ein Anbieter damit, dass er eine “besonders sicherere SSL-Verbindung” verwendet, so heißt dies erst einmal nur, dass die Verbindung vom Endnutzer zum Server des Anbieters verschlüsselt ist. Was mit den Daten dann auf Anbieterseite geschieht, ob, und wenn ja, wie, diese dort verschlüsselt werden, ist bei dieser Aussage völlig unklar.

Bei dieser Verschlüsselung handelt es sich um eine Punkt-zu-Punkt-Verschlüsselung (auch Point-to-Point oder P2P-Verschlüsselung genannt). Der “Startpunkt” ist der Computer des Endnutzers und der “Endpunkt” ist der erste Server mit dem der Endnutzer kommuniziert.

Für den Endnutzer ist diese Art der Verschlüsselung relativ bequem, da er sich im Normalfall weder über den Schlüsselaustausch noch um Ver- oder Entschlüsselung kümmern muss. Ob der Server die Daten auch weiterhin verschlüsselt behandelt ist jedoch nicht klar. Bekommt ein Angreifer nun Zugriff auf den Server des Dienstanbieters, kann er gegebenenfalls die Daten auslesen, da sie zwar verschlüsselt übertragen, aber nicht verschlüsselt abgespeichert wurden.

Abhilfe schafft hier nur eine Ende-zu-Ende-Verschlüsselung. Hierbei werden die Daten proaktiv auf Endnutzer-Seite mit einem Schlüssel verschlüsselt, den nur der Endnutzer kennt. Ob diese Daten nun zusätzlich über eine gesicherte Verbindung (wie zum Beispiel SSL) übertragen werden ist fast irrelevant, da der Dienstbetreiber den ursprünglichen Schlüssel nicht kennt und die Daten somit auch nicht entschlüsseln kann.

Gelangt es nun einem Angreifer die Server des Dienstanbieters zu übernehmen, wird er lediglich verschlüsselte Daten vorfinden, mit denen er im Normalfall nichts anfangen kann. (Ich schreibe “im Normalfall”, da es je nach verwendeter Verschlüsselungsmethode, vorhandener Rechenleistung und gegebener Zeit theoretisch möglich ist, die Daten zu entschlüsseln, ohne den Schlüssel zu kennen. In der Praxis sind dies jedoch eher “Glückstreffer”, sofern eine zeitgemäße Verschlüsselungstechnik eingesetzt wird.)

Vor- und Nachteile der Ende-zu-Ende-Verschlüsselung

Wie sieht nun der Einsatz von Ende-zu-Ende-Verschlüsselung in der Praxis aus? Leider muss man sagen, dass die größere Sicherheit in den meisten Fällen mit Komforteinbußen und Aufwand bezahlt wird.

Zum einen muss für jeden Kommunikationskanal/für jede Anwendung die Verschlüsselung eingerichtet werden und zum anderen fallen Features wie Online-Suche weg.

Lagere ich meine Daten verschlüsselt in der Cloud, kann ich schließlich nicht im Webbrowser, sprich online, in diesen Dateien suchen. Hierzu müsste ich die Daten auf dem Speicher des Cloudanbieters entschlüsseln und damit wäre der ganze Aufwand der Ende-zu-Ende-Verschlüsselung obsolet. Dafür kann ich hingegen gewiss sein, dass nur ich Zugriff auf meine Daten habe.

Es ist also immer abzuwägen, für welche Daten eine Verschlüsselung Sinn macht und wie sensibel ich diese handhaben möchte.

Ende-zu-Ende-Verschlüsselung in der Praxis

Für Telefonie gibt es zum Beispiel verschiedene Smartphone-Apps, die die Sprachübertragung verschlüsseln. Um die Sprachpakete verschlüsseln zu können, ist jedoch die Verwendung von IP-Telefonie nötig, sodass die Gespräche nur über eine bestehende Internetverbindung geführt werden können.

Ist kein mobiles Internet oder WLAN verfügbar, so kann auch nicht verschlüsselt telefoniert werden. Mit RedPhone habe ich bereits eine passende App hier im Blog vorgestellt.

Für das Messaging ergeben sich wiederum einige Möglichkeiten. Entweder man nutzt Messenger wie Threema oder Telegram, die eine Ende-zu-Ende-Verschlüsselung von Haus aus mitbringen oder man setzt auf eine Standardlösung wie Jabber und erweitert es um ein Verschlüsselungsplugin wie zum Beispiel OTR.

Für E-Mails sieht es ähnlich aus. Auch hier ist im Normalfall ein Plugin nötig, das den Mailclient der Wahl um die Verschlüsselungskomponente erweitert. Beispiel hierfür sind “Enigmail OpenPGP” für Thunderbird oder “Gpg4Win” für Outlook. Wer Webmailer wie Google Mail nutzt, hat bisher den Schwarzen Peter gezogen. Zwar arbeitet Google bereits an einem browser-basierten Plugin, hat aber noch keine Endlösung.

Hinzukommt, dass der Empfänger jeweils auch ein geeignetes Plugin sowie den öffentlichen Schlüssel des Senders benötigt, um die Nachrichten entschlüssen zu können.

Fazit

Verschlüsselung zum Schutz der Daten bzw. Informationen ist gut und wichtig. Leider ist es immer noch so, dass ein nahezu ganzheitlicher Schutz über alle Medien und Kanäle hinweg ziemlich viel Aufwand bedeutet. Jeder Dienst, jeder Kanal benötigt sein eigenes Plugin, seine eigenen Keys und seine eigenen Einstellungen. Das kann im Ernstfall viel Zeit und Nerven kosten. Besonders wenn die IT-Affinität des Endnutzers nicht allzu hoch ist.

Einen interessanten Ansatz, wenn auch eher für den geschäftlichen Einsatz konzipiert, bietet hier zum Beispiel Stackfield. Die Firma bietet mit ihrem Service eine Plattform, die mehrere Dienste (Mail, Cloud-Speicher, Messaging und Termin-/Projektplanung) auf ihrer Plattform vereint. Dabei werden sämtliche Daten Ende-zu-Ende verschlüsselt. Hierdurch verringert sich der Einrichtungsaufwand enorm.

Für Firmen ist ein solcher Dienst sicherlich sinnvoll. In meinem privaten Umfeld sehe ich die Plattform jedoch noch nicht, da ich dazu meine Kontakte dazu bewegen müsste, von z.B. Facebook auf Stackfield umzusteigen. Und wenn nicht einmal der Umstieg von Whatsapp zu Threema klappt, wie soll dann ein solcher Umstieg nur gelingen…

 

Das Artikelbild steht unter CC-Lizenz und stammt von Yuri Samoilov.

Ende zu Ende Verschlüsselung sicher im NetzÜber den Autor: Dieser Artikel, sowie 363 andere Artikel auf code-bude.net, wurden von Raffael geschrieben. – Seit 2011 blogge ich hier über Programmierung, meine Software, schreibe Tutorials und versuche mein Wissen, so gut es geht, mit meinen Lesern zu teilen. Zudem schreibe ich auf derwirtschaftsinformatiker.de über Themen meines Studiums.  //    •  • Facebook  • Twitter


3 Kommentare

  1. Renésays:

    Ich teile die Meinung meines Vorredners. Alle Bereiche sollten nicht verschlüsselt sein. Aber gerade im Bereich der E-Mail-Verschlüsselung halte ich eine solche Vorgehensweise für sinnvoll. Und, wenn man selbst nicht so bewandert ist, sollte man bestimmte Prozesse im Bereich der IT-Sicherheit auslagern. Es gibt hier genug Anbieter, die einen dabei wirklich zuverlässig unterstützen. Insofern hat es wirklich jeder selbst in der Hand, wie weit er sich vor Gefahren aus dem Internet schützen bzw. absichern möchte.

  2. Mit dem MELODICA Knopf bzw. IFPS-Konzept ist Ende-zu-Ende Verschlüsselung ganz einfach:
    http://goldbug.sourceforge.net/goldbug-manual_DE.html

  3. Kids-Inhousesays:

    Hallo!

    Also ich finde, alle User sollten sich in aller erster Linie Linie einmal darüber klar werden, was unsere digitale Welt eigentlich bedeutet. Unsere Daten sind “immer und überall” und nahezu jede Verschlüsselung bedeutet Umstände, die kaum jemand will. Ist man sich bewusst darüber, dass bestimmte Daten, die ich wo auch immer veröffentliche mit genug krimineller Energie auch zugänglich sind, muss ich mir eben überlegen, ob ich derart sensible Daten eben veröffentlichen muss oder diese so ablege, dass zumindest ein theoretischer “öffentlicher” Zugang besteht. Meiner Meinung nach, entsteht immer so eine große Aufregung, wenn “wieder einmal Daten geknackt oder verloren gegangen sind”, weil sich die meisten User gar nicht im Klaren darüber sind, was es eigentlich bedeutet, Daten, z. B. Beispiel in einer Cloud zu speichern. Diese wird von Menschen verwaltet, von MENSCHEN! Zuerstmal müssen alle dessen bewusst werden, dann klappt’s mauch besser mit dem Datenschutz!

Hinterlasse einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Sie dient nur dem Spamschutz.