Datenschutz: Was Nutzer bei der Suche nach einem sicheren Anbieter beachten sollten
Tresorit-Gründer und Kryptographie-Experte Istvan Lam zeigt, wie sich, auch ohne in die technischen Details einzutauchen zu müssen, mithilfe einer einfachen Liste ein auf Datenschutz optimierter Anbieter finden lässt.
In den vergangenen Monaten überschlugen sich wöchentlich die Nachrichten zu aufregenden, aber auch sehr widersprüchlichen Entwicklungen in Sachen Datenschutz. Das Thema nimmt weltweit rasant an Fahrt auf: Apple prozessiert gegen das FBI, als Datenkraken geltende Dienste wie WhatsApp sind nun verschlüsselt, der Safe-Harbor-Nachfolger Privacy Shield ist auf dem Weg, die EU-Datenschutzreform wurde frisch beschlossen und gleichzeitig führen weltweit immer mehr Länder verschärfte Gesetze für eine breitere geheimdienstliche Überwachung ein. Bewegen wir uns also vorwärts oder rückwärts? Sind unsere Daten nun sicherer oder nicht? Um dieses Problem zu lösen, schlägt der Tresorit-Gründer und Kryptographie-Experte Istvan Lam eine einfache Liste vor, mit der man unkompliziert auf Nummer sicher gehen kann: “Wenn man weiß, worauf man achten muss, ist es selbst für technische Laien ganz einfach, den richtigen, auf Datenschutz optimierten Anbieter zu finden.”
Das Problem kann ganzheitlich von drei Seiten betrachtet und angegangen werden: technologisch, rechtlich und physisch. “Praktisch bedeutet das, die sicherste Lösung bleibt noch immer eine Kombination aus Ende-zu-Ende-Verschlüsselung von vertrauenswürdigen europäischen Anbietern mit Servern in Europa. Auf diese Weise können Nutzer sicher sein, dass es nicht nur um einzelne Features geht, sondern der gesamte Service dafür designt wurde, ihre Privatsphäre zu sichern”, erklärt Sicherheitsexperte Istvan Lam. “Es gibt bereits einige großartige Beispiele für Anbieter, die diesen Standards entsprechen: Etwa der E-Mail-Anbieter ProtonMail und die Messenger-App Threema. Genau wie diese Dienste geht auch Tresorit Sicherheit von allen drei Seiten an.”
Checkliste für mehr Datenschutz und Privatsphäre
Die folgende Checkliste kann helfen, schnell einen geeigneten Anbieter zu finden, ohne sich tief in das Kleingedruckte und die komplizierten technischen Details jedes Produkts graben zu müssen. Dies hilft auch dabei zu verstehen, warum die neue Verschlüsselung bei WhatsApp von Sicherheitsexperten begrüßt, aber noch immer nicht als ausreichend für den Datenschutz der Nutzer gesehen wird.
1. Technologisch: Der Anbieter sollte sogenannte “Zero-Knowledge”-Technologie beziehungsweise “Ende-zu-Ende-Verschlüsselung” nutzen. “Diese Begriffe stehen für eine besonders starke Verschlüsselung, die nur auf dem Endgerät des Nutzers entschlüsselt werden kann. Behörden, Hacker und auch Mitarbeiter des Onlinedienstes haben damit keine Möglichkeit, den Inhalt der Dateien oder der Kommunikation zu sehen.”
2. Rechtlich: Die Metadaten des Nutzers (das sind notwendige Zusatzdaten wie etwa die E-Mail-Adresse, Konto- oder Standortinformationen) sollten zudem von strengen Gesetzen geschützt werden. Einige Länder wie etwa Deutschland, Schweiz, Neuseeland und Island gelten als solche Länder. “Sie können das ganz einfach auf der Kontaktseite oder im Impressum des Anbieters recherchieren”, erklärt Lam. Operiert ein Unternehmen zum Beispiel nach Schweizer Recht, sind diese Daten vor Zweckentfremdung und Weitergabe an Dritte – selbst an ausländische Geheimdienste – geschützt.
3. Physisch: Auch der Standort der Server des Anbieters kann die Sicherheit der Daten vor fremden Zugriffen und physischen Angriffen stärker beeinflussen als gedacht. “Ganz besonders wenn die ersten beiden Kriterien nicht erfüllt sind”, betont der Experte. Achten Sie auf Dienste mit europäischen Rechenzentren, die den hohen EU- oder Schweizer Sicherheitsstandards entsprechen und damit Serverausfällen und Datenverlust (etwa durch Erdbeben) sehr gut vorbeugen.
Oft werden zudem quelloffene Anbieter, die der Internetcommunity Einblick in den Quellcode erlauben, als besonders sicher betrachtet. “Das ist jedoch ein zweischneidiges Schwert und keine Garantie für Sicherheit, auf die sich Laien verlassen können”, sagt Istvan Lam. “Sehr populäre Plattformen werden tatsächlich von vielen Fachleuten kritisch geprüft und dadurch auch sicherer”.
Aber das gilt nicht für alle. “Im Schnitt”, so der Experte, “werden Änderungen in quelloffenem Code nur von ein oder zwei Personen kontrolliert” – eine gute Softwarefirma hat standardmäßig mehr hauseigene Prüfungen. Heartbleed zum Beispiel blieb von der ausgesprochen großen OpenSSL-Community zwei Jahre lang unentdeckt.
Fazit:
Open-Source ist als Entscheidungshilfe für Laien nicht in jedem Fall geeignet. Folgt man aber den drei Kriterien für technologische, rechtliche und physische Sicherheit, lichtet sich der Wald der Onlineanbieter schnell und Nutzer können sich darauf verlassen, dass der gewünschte Anbieter zu den Klassenbesten in Sachen Datenschutz gehört.
Zusätzlich ist es natürlich auch wichtig, dass Nutzer auch auf andere einfache Details achten, die Hinweise darauf geben können, wie ernst der Anbieter den Datenschutz seiner Nutzer nimmt: Wird sich um Transparenz bemüht? Ist das Geschäftsmodell des Anbieters nachvollziehbar? Wenn Nutzer nach persönlichen Daten gefragt werden, wird plausibel erklärt, wofür diese Daten gebraucht werden? “Die richtigen Antworten auf diese Fragen sind eine sehr subjektive Sache – aber Nutzer sollten generell nie aufhören, zu hinterfragen, ob sie die Antworten des Anbieters überzeugend finden oder nicht”, so Istvan Lam.
Der Autor: Istvan Lam ist Mitbegründer und CEO des 2011 gegründeten Unternehmens Tresorit. Der Cloud-Dienst wurde 2013 gelauncht. Anfang 2016 wurde Istvan Lam für seine zukunftsweisende Arbeit in die Forbes-Liste “30 under 30” aufgenommen.
