Schlagwort: Ende-zu-Ende-Verschlüsselung

WhatsApp klagt gegen indische Regierung

27. Mai 2021

Nachdem WhatsApp jüngst mit seinen neuen Nutzungsbedingungen für Aufmerksamkeit gesorgt hatte und von Datenschützern für diese kritisiert wurde, tritt nun WhatsApp selbst verteidigend für ihren Datenschutz auf.

So hat WhatsApp beim obersten Gericht Delhi Klage gegen eine Vorgabe der neuen IT-Regelungen der indischen Regierung eingereicht. Diese Regelungen wurden bereits im Februar diesen Jahres vom indischen Ministerium für Elektronik und Informationstechnologie (MeitY) veröffentlicht und sind diese Tage in Kraft getreten. Die von WhatsApp konkret kritisierte Regelung sieht vor, dass Anbieter von Messengerdiensten, auf Anfrage einer Behörde oder auf richterlichen Beschluss hin, die Rückverfolgung von Nachrichten gewähren müssen. So soll ermittelt werden, wer der ursprüngliche Verfasser einer Information ist. Die indische Regierung begründet dies damit, dass dies der „Prävention, Aufdeckung, Untersuchung, Verfolgung oder Bestrafung“ von verschiedenen Straftaten diene. Als solche gelten u.a. die Verbreitung von Material über sexuellen Kindesmissbrauch, Angriffe auf die Staatssicherheit, Souveränität und Integrität Indiens oder die Störung der öffentlichen Ordnung. Auch ist eine Regelung gegeben, die besagt, dass Netzwerke bei gerichtlicher Aufforderung dazu, Inhalte innerhalb von 36 Stunden löschen müssen.

WhatsApp wehrt sich nun gegen diese Vorgaben mit der Begründung, sie würden Nachrichten Ende-zu-Ende verschlüsseln und könnten die Identifikation einer Einzelperson nicht leisten. Würde die Verschlüsselung aufgebrochen, wären sowohl Absender als auch Empfänger betroffen. Die Regelung verlange praktisch, einen Fingerabdruck von jeder einzelnen auf WhatsApp gesendeten Nachricht zu speichern. Dadurch würde eine Verletzung von Datenschutzrechten der Betroffenen stattfinden. Auch das Recht auf Privatsphäre sei betroffen, somit sei die Regelung verfassungswidrig.

Immer wieder betont WhatsApp, dass es Nachrichten selbst nicht speichere und keine Einsicht in Nutzerdaten habe. Trotzdem steht der Konzern häufig selbst wegen seines Umgangs mit Daten in der Kritik, sodass die Streitigkeit mit der indischen Regierung auch für das Image von WhatsApp nicht uninteressant sein dürfte.

Entschließungen der 100. Datenschutzkonferenz veröffentlicht

10. Dezember 2020

Bereits am 25. und 26. November 2020 hatten sich die Datenschutzbehörden des Bundes und der Länder (DSK) zu ihrer 100. Sitzung zusammengefunden. Dabei berieten und äußerten sich die obersten Datenschützer zu zahlreichen aktuellen Themen: Nutzung von MS Office 365, Fragen der Datenverarbeitung im Rahmen der Covid-19-Pandemie, Ende-zu-Ende-Verschlüsselung, Umsetzung der ePrivacy-Richtlinie und Zentralisierung der Datenschutz-Aufsicht (alle Entschließungen können hier eingesehen werden).

Nutzung von MS Office 365 zulässig?

Die DSK stellte ihre Ergebnisse zur Untersuchung von Windows 10 in der “Enterprise”-Version vor. Dabei wurde festgestellt, dass es zu Übermittlungen von Telemetriedaten kommen kann. Um diese zu verhindern und eine zulässige Nutzung zu ermöglichen, sollte – so die DSK – die Telemetriestufe “Security” genutzt und mittels vertraglicher, technischer oder organisatorischer Maßnahmen (z.B. durch eine Filterung der Internetzugriffe von Windows-10-Systemen über eine entsprechende Infrastruktur) sichergestellt werden, dass keine Übermittlung von Telemetriedaten erfolgt.

Im Hinblick auf MS Office 365 kündigte die DSK an, weiterhin im Gespräch mit Microsoft bleiben zu wollen. Hier wurden demnach keine neuen Ergebnisse vorgestellt.

Umsetzung der ePrivacy-Richtlinie angemahnt

Die DSK hat den Gesetzgeber zudem dazu angemahnt, endlich die Vorgaben der sog. ePrivacy-Richtlinie vollständig und ordnungsgemäß in deutsches Recht umzusetzen. Vor dem Hintergrund des BGH-Urteils zur Verwendung von Cookie-Bannern (wir berichteten) sei die Unsicherheit der Webseiten-Betreiber groß, welche rechtlichen Regelungen bei der Verarbeitung nicht-personenbezogener Daten denn nun gelten. Insofern sei der Gesetzgeber dazu verpflichtet, die Vorgaben der ePrivacy-Richtlinie nunmehr vollständig, ordnungsgemäß und im Einklang mit der DSGVO umzusetzen.

Gegen Aufweichung der Ende-zu-Ende-Verschlüsselung

Kritisch äußerte sich die DSK auch zu Vorschlägen des Rates der Europäischen Union, welche die Aufweichung der Ende-zu-Ende-Verschlüsselung im Rahmen vertraulicher privater Kommunikation betreffen. Nach diesen Vorschlägen sollte den Sicherheitsbehörden und Geheimdiensten der Zugriff auf verschlüsselte Kommunikation in Messengerdiensten und anderen Kommunikationsmitteln vereinfacht werden. Die DSK wendet gegen dieses Vorhaben insbesondere ein, dass dies durch Kriminelle und Terroristen leicht umgangen werden könnte, im Gegenteil aber die Digitalisierung in Wirtschaft und Verwaltung beeinträchtigen könne und auch das Vertrauen der Bürger in sichere Kommunikationsmittel gefährde.

Zentralisierung der Datenschutzaufsicht kontraproduktiv

Schließlich äußerte die DSK auch Bedenken gegenüber Forderungen, die Datenschutzaufsicht im nicht-öffentlichen Bereich zu zentralisieren. Diese sei kontraproduktiv, denn eine Zentralisierung führe zu einer Entfernung von den Unternehmen und Bürgern. Auch genießen die Aufsichtsbehörden ein hohes fachliches Ansehen. Statt eine solche Debatte zu führen, sollte die bessere personelle Ausstattung vorangetrieben werden, sodass alle Behörden ihre Aufgaben vollumfänglich erfüllen können.

WhatsApp-Verschlüsselung hat Hintertür zu Facebook

17. Januar 2017

Die Begeisterung der WhatsApp-Nutzer war groß, als der Branchenprimus der Messenger verkündete, die Kommunikation der Nutzer Ende-zu-Ende zu verschlüsseln. Galt dies doch seit dem Launch der App als größtes Sicherheitsmanko. Wie sich nun rausstellt, hat diese Verschlüsselung wohl trotzdem seine Grenzen. Und diese liegen erwartungsgemäß in der Konzerneinbindung begründet. Demnach kann die Konzernschwester Facebook bei Bedarf seit Beginn der Verschlüsselung im April 2016 Nachrichten der WhatsApp-Nutzer in Reinschrift mitlesen. Dies ergaben Recherchen des britischen Guardian. Entwickler der App dementierten dies umgehend.

WhatsApp: Ende-zu-Ende-Verschlüsselung wird eingeführt

24. November 2014

Der Instant Messaging Dienst WhatsApp wird Medienberichten zufolge eine Ende-zu Ende Verschlüsselung einführen, so dass die Daten auf dem Verkehrsweg zwischen Sender und Empfänger und nicht nur auf dem Verkehrsweg vom Sender zum WhatsApp-Server verschlüsselt werden. Die neueste Version soll ein Protokoll von TextSecure nutzen, das als offene Software frei verfügbar ist. Noch bestehe die Schwäche, dass die Verschlüsselung nicht bei Gruppenchats sowie Foto- und Videofunktionen funktioniert. Man plane jedoch, dies für die kommenden Versionen zu ermöglichen.

Die Einführung von Verschlüsselungstechnologie wird die sichere Kommunikation über WhatsApp sicherlich nachhaltig verbessern können. Zusätzlich ist wahrscheinlich, dass der Dienst, der in der Vergangenheit eher wegen Sicherheitspannen und unzureichender Allgemeiner Geschäftsbedingungen in die Schlagzeilen gekommen ist, weiter an Popularität gewinnen wird.

Kategorien: Allgemein
Schlagwörter: ,

De Maizière: Gegen Verpflichtung zur Ende-zu-Ende-Verschlüsselung

26. Juni 2014

Bundesinnenminister Thomas de Maizière hat sich auf der diesjährigen DuD-Konferenz Medienberichten zufolge dagegen ausgesprochen, eine Ende- zu-Ende-Verschlüsselung von E-Mails staatlich vorzuschreiben. Wenn 95 Prozent der Bundesbürger vertrauliche Mails und Dokumente nicht verschlüsseln, müsse man daran was ändern. Dies aber könne und wolle man nicht staatlich verordnen. Stattdessen setze man auf die Selbstorganisation von Wirtschaft und Gesellschaft, so de Maizière. Er betonte überdies, dass man den Datenschutz und die IT-Sicherheit in Deutschland weiter verstärken wolle, u.a. durch die Vorschläge für ein IT-Sicherheitsgesetz, die bald vorgestellt würden. Außerdem wolle er die EU-Gespräche zum Datenschutz voranbringen. Vorteilhaft sei unter anderem die vorgesehene Öffnungsklausel, damit Deutschland bei Bedarf auf nationaler Ebene auch strengere Datenschutzregeln festschreiben könnte.

Verschlüsselung leicht gemacht?

18. Juni 2014

Die Firma Praemandatum aus Hannover stellte am vergangenen Mittwoch eine Alpha-Version für Entwickler ihrer neuen Verschlüsselungsplattform“Quabel“ vor, einer quelloffenen und kostenfreien Software, mit der beispielsweise ein sicheres Verschicken von Mails, das Teilen von Fotos und Chatten möglich sein soll.

Ihre Erfinder nennen die Software ein “schlüsselfertiges Ökosystem mit echtem Datenschutz”. Qabel soll die Verschlüsselung von Daten salonfähig machen und somit Schutz vor den Einblicken von Geheimdiensten und Internetprovidern bieten. Einmal auf dem Rechner installiert, soll Qabel unauffällig im Hintergrund werkeln und nach Möglichkeit alle Daten, die das Gerät verlassen, verschlüsseln, so ein Bericht von Spiegel Online. Die erste Entwicklerversion enthält bis dato eine Adressbuch-, Chat- und Filesharing-Funktion. Als nächstes sind ein E-Mail-Programm und ein Kalender geplant. Für die nicht kommerzielle Nutzung wird Qabel kostenlos sein, für zusätzliche Funktionen, wie das Hosting auf dem eigenen Server, fallen allerdings Kosten an.

Weder für die Qabel-Anbieter noch für die Internetprovider wird es eine Möglichkeit geben, die Daten auf dem Transportweg mitzulesen. Denn Qabel nutzt eine vollständige Ende-zu-Ende-Verschlüsselung: Alle Daten werden auf dem Rechner des Senders verschlüsselt und können erst vom Empfänger wieder entschlüsselt werden.

Allerdings dürfte das größte Problem für Qabel jedoch die Verbreitung der Software sein. Wer sicher mit anderen Menschen kommunizieren möchte, landet unweigerlich bei dem bekannten Problem: Zu einer erfolgreichen Verschlüsselung ist es erforderlich, dass Sender und Empfänge müssen dieselbe Software nutzen, andernfalls sind die Inhalte nicht lesbar. Wie auch ZEIT-Online feststellt, muss Qabel also noch viel Überzeugungsarbeit leiste, um eines Tages den Weg aus der Nische zu schaffen.

87. DSK: Mehr Verschlüsselung gefordert

1. April 2014

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK), die am 27. und 28. März 2014 in Hamburg stattgefunden hat, fordert  – nicht zuletzt wegen der als enttäuschend eingestuften rechtlichen und politischen Reaktion auf das Ausspähen der Kommunikation durch Nachrichtendienste – alle staatlichen und gesellschaftlichen Akteure auf, die Grundrechte der Bürgerinnen und Bürger durch technische und organisatorische Maßnahmen wirksam zu schützen. Die Unversehrtheit der freien und geheimen Kommunikation müsse wieder hergestellt werden. Dies erfordere vor allem die Bereitstellung einer von jeder Person einfach nutzbaren Verschlüsselungsinfrastruktur, die insbesondere bei der Kommunikation zwischen Bürger und Verwaltung vorgehalten werden müsse.  Neben der standardisierten Verschlüsselung beim Transport von Daten wäre auch der Einsatz von Mechanismen der Ende-zu-Ende-Verschlüsselung zwingend. Außerdem sollten die Angebote zur anonymen Kommunikation sowie die Vertrauenswürdigkeit von Hard- und Software durch Einsatz von Zertifizierungsverfahren ausgebaut werden. Diese Maßnahmen erfordern nicht nur eine Sensibilisierung und Aufklärung der Nutzerinnen und Nutzer durch eine Bildungsoffensive, sondern müssen auch durch eine ausreichende Finanzierung ermöglicht werden.

„Wir haben es selbst in der Hand, durch die Schaffung einer sicheren IT-Infrastruktur die Hürden für eine massenhafte anlasslose Überwachung unserer Kommunikation durch die Nachrichtendienste wesentlich zu erhöhen. Gerade wenn die politische Kraft nicht ausreicht, den Schutz der Grundrechte auf internationaler Ebene wiederherzustellen, ist die Errichtung technisch organisatorischer Schutzmaßnahmen alternativlos.“, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und amtierender Vorsitzender der Datenschutzkonferenz Caspar.

Weitere Themen der Konferenz waren die biometrische Gesichtserkennung durch Internetdienste, die polizeiliche Öffentlichkeitsfahndung mit Hilfe sozialer Netzwerke, der Beschäftigtendatenschutz und der Entwurf einer Europäischen Datenschutzgrundverordnung.