Wuala, Stackfield, Threema & Boxcryptor:
Verschlüsselung als Impfstoff gegen Überwachung

Verschiedene Onlinedienste aus Deutschland und der Schweiz wollen Nutzern mittels clientseitiger Verschlüsselung dabei helfen, sich gegen digitale Überwachung zu schützen.

Seit Jahren kritisieren einige User die an Endanwender gerichteten sozialen Netzwerke und Onlineplattformen, weil sie zu viele Nutzerdaten zum Zwecke der Werbevermarktung sammeln und damit die Privatsphäre der User gefährden würden. Aus diesen Bedenken resultierte der Ruf nach dezentralen Plattformen, bei denen Anwender Herr oder Frau über ihre Daten sind und selbst entscheiden, wann und in welcher Form Dritte auf diese Zugriff haben. Allerdings hielt sich die Zahl derjenigen User, die zu einem derartigen Schluss kam, stets in Grenzen, weswegen selbst medienwirksam angeschobene Projekte zum Etablieren einer dezentralen Struktur, wie Diaspora, kläglich scheiterten.

Doch mit dem Bekanntwerden weitreichender staatlicher Überwachungsinitiativen wie PRISM und Tempora erreicht die Frage nach dem Schutz persönlicher Daten schlagartig auch Gewicht für all diejenigen Netzbürger, die sich an dem Tauschgeschäft “Daten gegen Gratisdienste” nicht stören und deshalb bisher wenig Grund hatten, die tonangebenden Cloudservices wie Facebook oder Google anzuzweifeln. Nun geht es nicht mehr länger nur um wertegesteuerte, individuell unterschiedlich beantwortete Fragen – etwa ob anhand der Analyse von persönlichen Daten relevanter gestaltete Anzeigen einen Fluch oder Segen darstellen – sondern um die Bewahrung persönlicher Grundrechte. Selbst die sorglosesten Personen müssen jetzt darüber nachdenken, ob die staatliche Totalüberwachung ihrer kompletten Netzaktivität mit unvorhersehbaren Konsequenzen für die Zukunft noch ihrer Vorstellung des Freiheitsbegriffs entspricht. Egal ob sie glauben, etwas zu verbergen zu haben oder nicht.

Clientseitige Verschlüsselung als praktikabler Schutz

Da es nun nicht mehr allein um den rechtlich per Geschäftsbedingungen legitimierten Zugriff auf Anwenderdaten durch kommerzielle Webfirmen geht, sondern um das heimliche Abhören durch Unbefugte – entweder über einen erzwungenen Seitenzugang zu den Servern, oder im Stile von Tempora durch geheimes Anzapfen von Kommunikationsleitungen und Analysieren der darüber verschickten Datenpakete – sind die von Usern verschmähten dezentrale Serverstrukturen nicht mehr eindeutig das beste Mittel, um die Integrität und Daten der Anwender zu schützen. Stattdessen versprechen Anbieter, die eine clientseitige Verschlüsselung von Userdaten erlauben, einen pratikablen Schutz vor der allzu leichten Auskundschaftung durch Behörden. Bekannte Onlineservices verschlüsseln Nutzerdaten zwar während der Übertragung auf ihre Server mittels TLS/SSL, sind aber stets in der Lage, einzelne in ihren Rechenzentren lagernde Informationen einzusehen. Gleiches gilt für Dritte wie etwa Hacker, Sicherheitsbehörden oder Geheimdienste, die sich per Gerichtsbeschluss, geheimer Kooperation (PRISM) oder widerrechtlichem Eindringen Zugang zu den Servern verschaffen.

Bei der clientseitigen Verschlüsselung dagegen werden sämtliche Daten lokal auf dem jeweiligen Endgerät verschlüsselt. Das hat zur Folge, dass die Betreiber von Servern, auf denen solche Dateien abgelegt werden, diese nicht einsehen können. Ihnen fehlt der entsprechende Schlüssel, der nur dem Endanwender bekannt ist beziehungsweise auf dessen Endgerät lagert. In diesem Szenario können Sicherheitsbehörden und Geheimdienste noch so sehr Druck ausüben und Server oder Datenleitungen anzapfen: Die Daten selbst bleiben ihnen erst einmal verborgen. Zwar könnten sie versuchen, diese selbst zu entschüsseln, und es ist davon auszugehen, dass die notwendigen Kenntnisse und Rechenleistungen existieren. Doch dies kostet Zeit und erschwert spionierenden Organisationen das Belauschen zumindest ein Stückweit.

Wuala, Stackfield, Threema und Boxcryptor weisen den Weg

Einer der Pioniere im Bereich von clientseitiger Verschlüsselung ist der Schweizer Dropbox-Konkurrent Wuala, der gerade in seinem Unternehmensblog die Gelegenheit nutzt, abermals auf seine hohen Sicherheitsstandards hinzuweisen. Dieser Tage geht zudem mit Stackfield ein aus München stammender Kollaborationsdienst für Business- und Privatnutzer an den Start, der ebenfalls eine clientseitige Encryption einsetzt (unser Bericht). Weder die Macher des Dienstes noch Dritte haben Einblick in die Konversationen und Datentransfers, die über Stackfield abgewickelt werden. Ein weiterer Aspirant in diesem jetzt Morgenluft schnuppernden Segment heißt Threema. Bei der wie Wuala aus der Schweiz stammenden App für iOS und Android handelt es sich um einen WhatsApp-Konkurrenten mit clientseitiger Verschlüsselung. WhatsApp partizipierte zwar gemäß der bisherigen Leaks nicht am NSA-Überwachungsprogramm, ist mit 250 Millionen aktiven Usern und einer wachsenden Bedeutung als Tool für politische Aktivisten aber höchst attraktiv für Ermittler. Wer partout keine clientseitige Verschlüsselung anbietende Cloudspeicherdienste wie Dropbox, Google Drive, Box oder SkyDrive einsetzen will, der kann sich mit der Software des bayerischen Startups Boxcryptor behelfen. Diese fungiert sozusagen als Nachrüstungskit, um die bei den genannten Services zu speichernde Dateien direkt auf Endgeräten zu verschlüsseln.

Abstriche für Anbieter und Nutzer

Die lokale Verschlüsselung bringt im Vergleich zur Verfahren, bei denen allein die Datenübertragung verschlüsselt wird, einige Nachteile mit sich. Für Anbieter verringern sich die Möglichkeiten, die Nutzerdaten zu Werbezwecken oder zur Erweiterung der Funktionalität zu analyisieren und auszuwerten, was sich negativ auf die Wahrnehmung des Geschäftspotenzials auswirkt. Auch nehmen die technischen Herausforderungen und Komplikationen zu, was das Tempo der Bearbeitung von Feature-Requests verlangsamen kann. Wuala benötigte genau aus diesem Grund deutlich länger als die geringere Sicherheitsstandards ansetzenden Wettbewerber, um mobile Apps auf den Markt zu bringen. User zahlen für das gute Gewissen, sich sicherer im Netz zu bewegen, mit Abstrichen in Sachen Nutzerkomfort und Funktionsvielfalt. So erschwert etwa die clientseitige Encryption das Teilen von Dateien mit anderen.

Diese Faktoren haben dazu geführt, dass sich das Verschlüsselungsverfahren bislang nicht im größeren Stil durchsetzen konnte. Zu vage und unwahrscheinlich erschienen den meisten Usern die Bedrohungsszenarien, die sich durch den Einsatz der clientseitigen Encryption verhindern lassen. Es ist zu befürchten, dass selbst die momentanen Enthüllungen von Whistleblower Edward Snowden daran nichts ändern werden. Zudem garantiert freilich auch die beschriebene Verschlüsselung keinen absoluten Schutz. Diesen darf man im Web grundsätzlich nicht erwarten. Dennoch erscheint es im Angesicht des sich zuspitzenden Spannungsverhältnisses zwischen Bürgerrechten und Sicherheitsbedürfnissen im digitalen Zeitalter angemessen, als Nutzer Maßnahmen zu ergreifen, um sich vor allzu großer staatlicher Willkür zu schützen. Die massiven Überwachungsprogramme belegen, dass man nicht länger paranoid sein muss, um zu einem solchen Schluss zu kommen. /mw

(Foto: “Security Camera” von Shutterstock)

 

Martin Weigert

Martin Weigert ist der leitende Redakteur von netzwertig.com.

Mehr lesen

Trend-Thema Verschlüsselung: Wie es Boxcryptor seit den Snowden-Enthüllungen erging

30.9.2013, 0 KommentareTrend-Thema Verschlüsselung:
Wie es Boxcryptor seit den Snowden-Enthüllungen erging

Auch wenn vielen Bürger das Interesse fehlt, sich intensiv mit dem Überwachungsskandal zu befassen - Verschlüsselungssoftware steht stärker im Rampenlicht als je zuvor. Die Gründer von Boxcryptor berichten, welche Folgen dies hat.

Verschlüsselung in der Cloud: BoxCryptor veröffentlicht Chrome-Erweiterung für Google Drive und Dropbox

13.12.2012, 1 KommentareVerschlüsselung in der Cloud:
BoxCryptor veröffentlicht Chrome-Erweiterung für Google Drive und Dropbox

Bisher mussten Nutzer die kostenfreie BoxCryptor-Software installieren, um Ordner bei Dropbox oder Google Drive zu verschlüsseln. Jetzt hat das Startup aus Augsburg eine sehr nützliche Erweiterung für Chrome veröffentlicht.

11.6.2012, 2 KommentareLinkwertig:
Filesharing, Twitter, studiVZ, BoxCryptor

Hyperland sinniert über den Sinn und Unsinn von Studien, das Web sinniert über den Sinn und Unsinn vom Twitter-Logo und mehr.

Benutzerfreundliche Datensicherheit im Netz: Der Traum von der perfekten Security-Lösung für die Masse

25.11.2013, 5 KommentareBenutzerfreundliche Datensicherheit im Netz:
Der Traum von der perfekten Security-Lösung für die Masse

Die meisten User wollen sie, nur wenige bekommen sie: Sicherheit im Netz. Anbieter, die Security und den Schutz der Privatsphäre mit einer hohen Benutzerfreundlichkeit kombinieren, sehen ihre Chance.

Ohne Sorge im Netz: Secucloud verspricht einzigartige Sicherheit für Privatnutzer und Firmen

5.11.2013, 5 KommentareOhne Sorge im Netz:
Secucloud verspricht einzigartige Sicherheit für Privatnutzer und Firmen

Das aus Hamburg stammende Startup Secucloud will den Zugriff auf das Netz für Privatpersonen und kleine Firmen sicherer machen. Dazu lagert es entsprechende Prozesse mit Hilfe eines speziellen Routers und einer VPN-Verbindung in die Cloud aus.

Trend-Thema Verschlüsselung: Wie es Boxcryptor seit den Snowden-Enthüllungen erging

30.9.2013, 0 KommentareTrend-Thema Verschlüsselung:
Wie es Boxcryptor seit den Snowden-Enthüllungen erging

Auch wenn vielen Bürger das Interesse fehlt, sich intensiv mit dem Überwachungsskandal zu befassen - Verschlüsselungssoftware steht stärker im Rampenlicht als je zuvor. Die Gründer von Boxcryptor berichten, welche Folgen dies hat.

18.6.2013, 19 KommentareGutes Timing:
Stackfield präsentiert eine verschlüsselte Kollaborationsplattform

Das Münchner Startup Stackfield hat eine Kollaborationsplattform für Geschäftskunden und Privatanwender entwickelt, bei der Daten clientseitig verschlüsselt werden. Weder die Macher noch Dritte sind in der Lage, auf Informationen und Konversationen zuzugreifen.

Nutzerzahlen versiebenfacht: Threema hat 2,8 Millionen Nutzer

2.5.2014, 5 KommentareNutzerzahlen versiebenfacht:
Threema hat 2,8 Millionen Nutzer

Der verschlüsselte Schweizer Messenger Threema hat seine Nutzerzahlen seit Februar auf 2,8 Millionen versiebenfachen können. Jeder User verschickt und empfängt im Durchschnitt 18 Nachrichten pro Tag.

Chat-Apps mit höheren Sicherheitsstandards: Threema und Telegram erobern weltweit die Downloadcharts

24.2.2014, 21 KommentareChat-Apps mit höheren Sicherheitsstandards:
Threema und Telegram erobern weltweit die Downloadcharts

Die höheren Sicherheitsstandards folgenden Chat-Apps Threema und Telegram profitieren von der Aufregung über Facebooks WhatsApp-Übernahme: Beide konnten in vielne Dutzend Ländern die Spitzenplätze der iOS- und Android-Downloadcharts erobern.

Fragmentierung: Die Chancen für verschlüsselte Smartphone-Messenger stehen schlecht

24.7.2013, 7 KommentareFragmentierung:
Die Chancen für verschlüsselte Smartphone-Messenger stehen schlecht

Verschlüsselte Smartphone-Messenger schießen wie Pilze aus dem Boden. Doch ihre Erfolgschancen sind nicht gut.

Internetüberwachung: Die Freiheit, das Gesetz übertreten zu dürfen

6.8.2014, 5 KommentareInternetüberwachung:
Die Freiheit, das Gesetz übertreten zu dürfen

Behörden und Internetdienste arbeiten eng zusammen, wenn es um den Kampf gegen Kinderpornografie geht. Was, wenn eines Tages alle Straftaten, auch Bagatellen, auf diesem Weg ans Licht kommen? Ist das noch Freiheit?

Linkwertig: Das Jahr Eins nach Snowden

10.6.2014, 1 KommentareLinkwertig:
Das Jahr Eins nach Snowden

Anlässlich des Jahrestages der ersten Enthüllungen von Edward Snowden ein kleines Special.

Sehens- und hörenswert von der #rp14: Sascha Lobos Rede zur Lage der (Internet-)Nation und Überwachung

7.5.2014, 5 KommentareSehens- und hörenswert von der #rp14:
Sascha Lobos Rede zur Lage der (Internet-)Nation und Überwachung

In einem äußerst sehens- und hörenswerten Vortrag thematisierte Sascha Lobo auf der re:publica in Berlin die leider sehr bedenkliche Lage des Internets.

Berliner Security-Startup im Rausch: ZenMate debütiert mobile Apps, erreicht 5 Millionen Nutzer, steht vor Kapitalspritze

29.8.2014, 1 KommentareBerliner Security-Startup im Rausch:
ZenMate debütiert mobile Apps, erreicht 5 Millionen Nutzer, steht vor Kapitalspritze

ZenMate bietet Usern eine unkomplizierte Lösung, um sich mit erhöhter Sicherheit und Anonymität im Netz zu bewegen. Ab jetzt steht der bisher nur für Chrome und Opera angebotene Service als App für iOS und Android bereit. Auch sonst läuft es gut für die Berliner.

SIMSme: Deutsche Post launcht Messenger – Details, Konkurrenz & Zukunft

13.8.2014, 8 KommentareSIMSme:
Deutsche Post launcht Messenger – Details, Konkurrenz & Zukunft

Auch die Deutsche Post will im boomenden Messenger-Markt mitmischen. Die neue, für iOS und Android angebotene App SIMSme soll mit dem Thema Datensicherheit punkten. Schlecht macht sie das nicht.

Krypto-Messenger: In kleinen Schritten Richtung Mainstream

3.7.2014, 1 KommentareKrypto-Messenger:
In kleinen Schritten Richtung Mainstream

Immer mehr Smartphone-Messenger mit Ende-zu-Ende-Verschlüsselung tauchen auf. Viele haben keine Chance. Dennoch wird ein Durchbruch einzelner Protagonisten wahrscheinlicher. Parallel fangen Investoren an, sich für das Thema zu interessieren.

Linkwertig: Digg, Wuala, Conway, Startups

16.7.2012, 0 KommentareLinkwertig:
Digg, Wuala, Conway, Startups

Betaworks übernimmt Digg für $500.000, Wuala offeriert jetzt auch eine Lösung für Unternehmen und mehr.

Aktionismus und Tatendrang: Google Drive versetzt eine  ganze Branche in Bewegung

25.4.2012, 8 KommentareAktionismus und Tatendrang:
Google Drive versetzt eine ganze Branche in Bewegung

Das Debüt von Google Drive war lange Zeit absehbar. Trotzdem gelingt es dem Internetkonzern, innerhalb weniger Tage eine ganze Branche in Bewegung zu versetzen.

Unbegrenzter Cloudspeicher mit hoher Sicherheitsstufe: Bitcasa nimmt Formen an

27.2.2012, 22 KommentareUnbegrenzter Cloudspeicher mit hoher Sicherheitsstufe:
Bitcasa nimmt Formen an

Mit dem Versprechen von ungrenztem Cloudspeicher bei gleichzeitig besonders starker Verschlüsselung sorgte Bitcasa im Herbst für Aufsehen. Nach und nach weitet der US-Dienst seine geschlossene Beta-Phase aus.

12 Kommentare

  1. Für “Encryption” gibt es auch ein deutsches Wort, das nicht ganz so Kacke klingt…

  2. Vielen Dank für den Artikel. Es sollte wirklich noch lauter “getrommelt” werden, damit dies in die Köpfe der Nutzer geht… Gut, dass ihr mit dem Artikel bei Rivva relativ weit oben steht.
    Ich bin seit 2 Jahren zahlender Wuala Kunde, allerdings kein IT-Security-Spezialist. Es geht also hauptsächlich um Vertrauen in den Dienst und der ist durch den unmittelbaren Einfluss von Seagate auf Wuala nicht unbedingt gestiegen… Darüber hinaus muss man (ggü. Dropbox) Abstriche im Komfort hinnehmen, insbesondere die Mac Integration ist noch sehr verbesserungsbedürftig. Dies ist jedoch aus meiner Sicht zu verschmerzen.
    Threema habe ich erst seit ein paar Tagen im Einsatz und im ersten Eindruck gibt es keine spürbaren Unterschiede ggü. WhatsApp. Hier hapert es nur an der Verbreitung…

  3. Es tut mir leid, aber in die Kirche der Verschlüsselung trete ich nicht ein. Ich vor einem Jahr mal bei einem Kunden von mir den ich schon über 10 Jahre nicht mehr betreue. Damals habe ich in Cobol geschrieben und mir immer ein Hintertürchen aufgelassen, das Hintertürchen gab es in völlig neuer Systemumgebung immer noch, ich hätte tun und lassen können was ich wollte. Hab ich natürlich nicht.

    Aber so arbeiten Programmierer nun einmal und irgendwer wird den Nationalstaaten schon diese Zugänge verkaufen, gerade zu den Verschlüsselungsprogammen und das Ganze kehrt sich ins Gegenteil um.

    Politiker, Militärs aber vor allem die Schlapphüte sind strunzdoof. Für die ist eine Verschlüsselung ein Indiz das etwas vorliegt und das macht sie an. Sike werden also viel schärfer überwachen.

    Anders ist das mit dem Rest der Menschheit, der schmeisst die einfach mit Daten zu. Da können sie automatisch nur nach Wortkombinationen suchen und da die Maschinen da Unmengen an Mist auswerfen, kommt schnell der Zeitpunkt wo ein Mensch auf den Knopf drückt und euch für ungefährlich erklärt und das System euch einfach überliest.

    Abgehört und ausgepäht werden wir so oder so.

    • Das ist schrecklich! Weder ich noch andere mir bekannte Entwickler haben jemals Hintertüren in die Programme integriert die wir geschrieben haben. Das ist sicher nicht die die Art wie ein normaler Programmierer arbeitet.

      Sie sind leider ein schwarzes Schaf dieser Zunft und hoffentlich eines der wenigen. Geben wird es schwarze Schafe immer, genau wie es diese Art von Denken wohl immer geben wird, schließlich ist auch die Stasi, Tempora und Prism von Menschen erdacht. Aber die Mehrheit der Menschen kann deswegen nicht unter Generalverdacht gestellt werden.
      Und solange Verschlüsselung der einzige Weg für diese Mehrheit ist um privates zu schützen, muss diese eingesetzt werden!

    • Ach Martin, erzählen Sie doch keine Märchen. In den meisten Programmen sind versteckte debugging-Programmteile eingebaute die uns vor Ort die Fehlersuche erleichtern sollen, das sind Hintertüren, ob sie die so nennen wollen oder nicht und das wird auch bei der vielgelobten Verschlüsselungssoftware nicht anders sein.

      Immer da wo viel Geld oder die Interessen von Nationalstaaten im Spiel sind gibt es keine Sicherheit, egal was sie sagen.

      Vermutlich setzen sie auch Adblocker ein um sich denen auszuliefern. Nein mein Freund, hören sie auf sich selbst und die anderen zu belügen. Sehen wir der Wahrheit ins Auge und lachen den Überwachern ins Gesicht. Sie können uns nicht alle einsperren und wenn wir nur ein wenig solidarisch sind, können sie uns mal kreuzweise.

  4. Boxcryptor ist ein guter Tipp für alle,die weiterhin Clouddienste nutzen. Wohl auch besser für “Verschlüssler” und Cloudanbieter
    verschiedene Firmen zu wählen.
    Aber mal sehen,wie lange es dauert,bis Gesetze erlassen werden,die das Einbauen von “Hintertüren” etwa in VPN Software
    vorsehen. Wirklich sicher ist dann wirklich nur noch die Benutzung von Programmen wie Tor.

  5. Was mir Sorgen macht:
    Ein Webdienst kann vom Staat verpflichtet werden, Dateien preiszugeben. Wieso sollte ein Anbieter von Verschlüsselungssoftware nicht verpflichtet werden, eine Backdoor einzubauen. Wird ein Tool wie Boxcryptor irgendwann von der großen Masse angenommen, gehen NSA und Co. zu deren Devs genauso wie zu den Dropbox-Admins. Backdoor ist Backdoor.

    In meinen Augen ist das Risiko zur Zeit ausreichend gering, und Boxcryptor und Co. für Privatnutzer ausreichend sicher. Aber der richtige Weg wäre meiner Ansicht nach die Vereinfachung freier, etablierter Software. GnuPG, Truecrypt etc. sind sehr sicher, aber zu komplex für die Masse. Und würden da irgendwann Backdoors bekannt werden, könnten unabhängige Devs Schadensbegrenzung betreiben und die letzte Version vor der Backdoor forken.

    • Guter Einwand. Ein Mittel wäre für Anbieter noch, wegzuziehen, wenn sie zu einer Backdoor gezwungen werden sollen. Ist natürlich nicht immer praktikabel.

    • Nur ein kleiner Hinweis: Als deutsches Unternehmen (mit Sitz in der Werner-von-Siemens-Str. 6, 86159 Augsburg) gibt es kein Gesetz das uns zum Einbau einer Backdoor zwingen könnte – schon gleich gar kein US-Gesetz. Unabhängig davon, dass wir derartiges niemals mit unseren moralischen Vorstellungen vereinbaren könnten.

    • Wobei natürlich nicht ausgeschlossen ist, dass soetwas nicht in Zukunft auch vom deutschen Gesetzgeber eingefordert wird.

    • Soweit ich weiß, wird auch in Staaten wie der USA zu Backdoors gedrängt, in dem man Behörden wie der NSA Kompetenzen gibt, um “Sicherheitsmaßnahmen” zu erzwingen. Es muss keine Backdoor-Pflicht im Gesetzbuch stehen, nur Zwang zur Kooperation mit den Behörden in “begründeten” Fällen.

      Ich denke, Boxcryptor und Co. sind für die üblichen use cases der meisten Nutzer locker ausreichend. So etwas zu knacken (gehen wir mal davon aus, dass keine Backdoor drin ist), ist schwierig genug. Zu unsicher für Snowden, aber sicher genug für mich. Trotzdem sind Lösungen wie Boxcryptor nicht optimal. Liegt nicht am Anbieter, sondern an der grundlegenden Struktur “closed source in Unternehmerhand).

      @Martin: Gibt es solche Umzüge aus politischen Gründen denn in der Web-Szene? Habe mal Umzüge von D nach UK und von Schweden nach D mitbekommen, aber ein Umzug auf die Kokosnussinseln oder so? Wie wahrscheinlich wäre denn Google auf den Bahamas? Weniger Steuern + weitgehende Freiheit, zu speichern und zu löschen was man will, sind eigentlich doch recht starke Argumente.

      Mir würde es auf den Wecker gehen, mit meinem Cloud-Dienst in den USA zu hocken. Zig Arbeitsstunden gehen für Anfragen der Behörden drauf, und jeder klar denkende Mensch weiß sowieso, wie unmoralisch die Kooperation in diesem Fall eigentlich ist. Bin gespannt, ob sich das Verhalten der Politik auf die Menge der Startup-Gründungen im jeweiligen Land auswirken wird.

  6. Ich denke es müsste mehr Firmen wie Threema geben um Druck auf andere Messenger-Anbieter auszuüben damit ein umdenken stattfindet im Bezug auf Sicherheitsstandards.

vgwort