Kommentar: Warum Google uns echte Verschlüsselung verweigert
Warum haben wir eigentlich immer noch keine einfach zu nutzende Ende-zu-Ende-Verschlüsselung? Die Standardantwort lautet: Viel zu kompliziert! Doch das ist Unsinn; Apple zeigt längst, wie einfach das sein kann.
Jürgen Schmidt - 19.05.2014
Die technischen Herausforderungen für echte Ende-zu-Ende-Verschlüsselung sind seit vielen Jahren gelöst; im Prinzip könnte man das einfach machen. Damit wäre sicher gestellt, dass nicht mehr Hinz und Kunz unsere private und auch geschäftliche Kommunikation ganz einfach mitlesen können.
Trotzdem mailen, chatten und telefonieren wir immer noch fast immer im Klartext. Das ist dann zwar transportgesichert (SSL/TLS), aber zumindest der Dienstanbieter kann alles mitlesen – und tut das häufig auch. Damit kommen natürlich auch diverse andere interessierte Parteien, die sich dazu bei ihm einklinken, an den Inhalt der vertraulichen Nachrichten.
An dieser Stelle höre ich immer, Ende-zu-Ende-Verschlüsselung sei immer noch viel zu kompliziert. Allein Schlüssel zu erzeugen, ganz zu schweigen vom Überprüfen und Signieren; das können und wollen Endanwender nicht. Tatsächlich werde ich meine Schwester wohl nie dazu bringen, PGP zu benutzen. Trotzdem ist das Argument schlicht falsch.
Denn es gibt bereits Ende-zu-Ende-Verschlüsselung, die so einfach ist, dass sie viele Millionen Anwender einsetzen und das nicht einmal wissen: Apples iMessage verschlüsselt jede Nachricht mit einem Schlüssel, den nur der Empfänger hat. Nicht Apple, nicht der Netzbetreiber und auch nicht die NSA. Und der Clou dabei: Dank Apples durchdachtem Design ist iMessage kein bisschen komplizierter als herkömmliche SMS. Jeder iPhone-Besitzer benutzt es einfach und muss dabei keine Gedanken auf die Verschlüsselung verschwenden. Die ist einfach da.
Und wer diese iMessage-Nachrichten mitlesen will, muss tatsächlich diese Verschlüsselung angreifen. Das gilt auch für Apple selbst oder jemand, der dort mit einem National Security Letter vor der Tür steht. Das bedeutet konkret: Es genügt nicht, dass sich Apple oder die NSA in den passenden Server einklinken, um dort den Klartext mit zu schreiben, wie das bei Google, Skype und fast allen anderen Diensten der Fall wäre. Statt dessen müsste Apple aktiv in die Kommunikation eingreifen und gefälschte Schlüssel verteilen.
Natürlich werden Experten einwenden, dass auch Apple nicht der reinen Lehre genügt und der Anwender selbst keine Kontrolle über seine Schlüssel hat. Insbesondere ist das System nicht dagegen abgesichert, dass Apple selbst irgendwann als "Man in the Middle" falsche Schlüssel verteilt. Aber das sind Details, die am eigentlichen Kern der Sache vorbei gehen. Man könnte das ohne großen Aufwand verbessern. (Die Arroganz mit der Apple Forderungen nach solchen Erweiterungen ignoriert, ist typisch und vielleicht die andere Seite der Medaille, dass Apple wie keine andere Firma einfach zu benutzende Produkte erschaffen kann). Entscheidend hingegen ist: Apple ist der einzige große Hersteller und Dienstanbieter, der solche Ende-zu-Ende-Verschlüsselung überhaupt anbietet.
Die eigentliche Frage ist also: Warum enthält Googles Android von Haus aus kein "gMessage" mit ähnlicher Funktion sondern speist uns mit Hangouts ohne richtige Verschlüsselung ab? Ich bezweifle stark, dass bei Google niemand auf diese Idee gekommen ist oder dass der technologische Vorreiter in so vielen Bereichen das nicht mindestens genauso elegant wie Apple umsetzen könnte; Moxie Marlinspike zeigt mit TextSecure schließlich schon jetzt, wie das ungefähr aussehen könnte. Es gibt nur eine plausible Erklärung dafür, dass Google in dieser Beziehung nichts zu bieten hat:
Einfach zu nutzende Ende-zu-Ende-Verschlüsselung ist unerwünscht.
Es gibt starkes politisches Interesse, die Kommunikation aller Internet-Nutzer jederzeit ohne großen Aufwand mitlesen zu können. Wir können nur spekulieren, wie groß da der Druck ist, den Politiker und Behörden auf den Konzern ausüben. Doch viel schwerer wiegt wohl Googles ur-eigenes, wirtschaftliches Interesse: Mit funktionierender Ende-zu-Ende-Verschlüsselung würde Google sein eigenes Geschäftsmodell torpedieren. Das beruht nämlich darauf, dass der Konzern unsere Daten mitlesen und auswerten kann – unter anderem, um uns dann die passende Werbung zu präsentieren. Das gilt natürlich genauso für Facebook; man kann also WhatsApp als Hoffnungsträger schon mal abschreiben.
Apple hingegen verdient sein Geld nach wie vor mit dem Verkauf von Geräten und Provisionen beim Geschäft mit Apps und Inhalten. Und sie verdienen dabei offensichtlich so gut, dass sie sich – anders als Google und Facebook – den Luxus leisten können, uns unsere Privatsphäre zu lassen.
Was heißt das jetzt für uns? Sicher nicht, dass wir alle Apple-Produkte kaufen sollten. Dazu gibt es viel zu viele Dinge, die man an Apple aus gutem Grund ablehnen kann. Aber wir dürfen uns nicht mehr mit wolkigen Versprechen zur Achtung unserer Privatsphäre und dem Schutz unserer geschäftlichen Kommunikation abspeisen lassen. Richtige und vor allem einfache Ende-zu-Ende-Verschlüsselung für jedermann wäre machbar – wir müssen sie nur endlich einfordern.