Im Sommer 2013 ist der NSA-Skandal über die Welt hereingebrochen und hat das Vertrauen der Internetnutzer in die großen IT-Firmen nachhaltig erschüttert. Mit neuen und einfachen Verschlüsselungsmechanismen zum Schutz der Nutzerdaten wollen Apple, Google oder Facebook nun, etwa eineinhalb Jahre nach Prism, dieses Vertrauen zurückgewinnen. Doch wie gut funktioniert Kryptografie für die Massen?
Vertrauen durch Verschlüsselung
Es ist fast eineinhalb Jahre vergangen, seit Whistleblower Edward Snowden damit begann, mit kooperierenden Journalisten die Überwachungsaffäre rund um NSA und das britische GCHQ aufzudecken. Einige Monate später zeigte eine Studie der Cloud Security Alliance, der u.a. Microsoft, Google, Cisco, PayPal oder Amazon angehören, dass der Skandal der US-Internetindustrie in den nächsten drei Jahren 35 bis 45 Milliarden US-Dollar kosten würde, weil Privat- wie Businesskunden das Vertrauen in Cloud-Services verlieren würden. Seither bemühen sich die IT-Riesen dieser Welt, dieses Vertrauen wiederzugewinnen – und das Mittel dazu heißt Verschlüsselung.
Apple, das auf den Powerpoint-Folien interner NSA-Dokumente genauso auftauchte wie Google oder Facebook, hat sich “Privacy” groß auf die Fahnen geschrieben. “We sell great products. We don’t build a profile based on your email content or web browsing habits to sell to advertisers”, ließ Apple-Chef Tim Cook die Öffentlichkeit wissen. “We don’t monetize the information you store on your iPhone or in iCloud. And we don’t read your email or your messages to get information to market to you.” iMessages, FaceTime-Videotelefonate, Fotos, Kalendereinträge, Dokumente oder Kontaktadressen – diese und andere Daten würden so stark mit dem Passwort des Nutzers verschlüsselt werden, dass Apple die Daten nicht einmal dann rausrücken könne, wenn die US-Regierung das verlange, so Cook in einem TV-Interview. Eine eigene Webseite informiert Apple-Kunden darüber, wie sie ihre Daten auf iPhones und Macs besser schützen können.
Apple basht Google, Facebook basht Apple
Apple ließ es sich bei der Gelegenheit nicht nehmen, einige Seitenhiebe gegen Google und Facebook zu landen. Anders als “andere Firmen” würde man keine E-Mails lesen oder Daten über das Surf-Verhalten an Werber verkaufen. Eric Schmidt, Vorstandsvorsitzender bei Google, konterte kürzlich und meinte, bei Apple hätte man da etwas falsch verstanden, weil man seit jeher einen viel besseren Datenschutz als viele andere Unternehmen, inklusive Apple, anbieten würde. Zudem hat Google bei der neuesten Version seines mobilen Betriebssystems Android, Lollipop 5.0, die Verschlüsselung der Daten vom ersten Aufdrehen weg aktiviert.
Auch Facebook-Gründer Mark Zuckerberg reagierte auf Tim Cook, der in seinem offenen Brief unter anderem schrieb: “When an online service is free, you’re not the customer. You’re the product” und damit wohl auch Facbook meinte. Zuckerberg bezeichnete das wiederum als “lächerlich” und verteidigte gegenüber dem Time Magazine sein werbefinanziertes Social Network: “Our mission is to connect every person in the world. You don’t do that by having a service people pay for.” Apple solle lieber seine Produkte billiger machen, wenn sie wirklich nah am Kunden sein wollten.
Crypto, aber mit Lücken
Während sich die Chefs der IT-Riesen gegenseitig den Schwarzen Peter zuschieben, arbeiten ihre Programmierer intensiv neuen Möglichkeiten zur Verschlüsselung von Nutzerdaten. Die Facebook-Tochter WhatsApp etwa hat kürzlich die Open-Source-Software TextSecure der Non-Profit-Organisation Open Whisper Systems integriert, um Textnachrichten, die zwischen Android-Geräten verschickt werden, zu verschlüsseln – weitere Betriebssysteme (v.a. iOS) und Content-Arten (Foto, Video, Voice) sollen folgen.
Weiters haben sich die Bürgerrechtsorganisation EFF, die Mozilla Foundation (Firefox), das CDN-Netzwerk Akamai (Kunden sind u.a. Apple und Facebook) und Netzwerkausrüster Cisco zusammengetan, um die “Let´s Encrypt“-Initiative zu starten. Das Ziel ist, ab Mitte 2015 jeder Webseite zu ermöglichen, einfach und kostenlos auf das sichere Hypertext-Übertragungsprotokoll HTTPS aufzurüsten. Das soll verhindern oder zumindest erschweren, dass Spione die Datenübertragung abhören.
Vom Saulus zum Paulus
Jene IT-Riesen, die in der Prä-Snowden-Ära noch unter stetiger Kritik standen, die Daten ihrer Nutzer kompromisslos auszuwerten, spielen sich nun als die großen Beschützer eben dieser Daten auf, die es gegen die bösen staatlichen Überwacher zu beschützen gilt. Dass Apple und Google ihre mobilen Betriebssysteme so stark absichern, schmeckt wiederum dem FBI nicht. FBI-Direktor James Comey sagte kürzlich, dass man die beiden Hersteller von mobilen Betriebssystemen per Gesetz zum Entschlüsseln zwingen könne. Außerdem sei Verschlüsselung für unbescholtene Bürger gefährlich, weil sie so nicht beweisen könnten, unschuldig zu sein. Weiter merkt The Economist in einer aktuellen Story an, dass Daten, die man in Cloud-Diensten wie Dropbox oder Google Drive ablegt, nicht mit eine vom User gewählten Schlüssel, sondern mit Schlüsseln der Unternehmen chiffriert werden – und Behörden könnten diesen Schlüssel sehr wohl anfordern. Fakt ist: Google, Apple oder Facebook werden von Quartal zu Quartal mit immer behördlichen Anfragen zu Nutzerdaten konfrontiert und müssen diese oft auch herausrücken.
Insgesamt bleibt es trotz der Anstrengungen von Google, Apple oder Facebook noch abzuwarten, ob sie die besten Hüter unserer Daten sein werden. Zusätzlich wird nach wie vor notwendig sein, auch auf rechtlicher Ebene etwas für Datenschutz und Privatsphäre zu tun – aber das ist eine andere Geschichte.