Manfred Kloiber: Letztes Jahr sorgte der österreichische Datenschutz-Aktivist Max Schrems für ordentlich Schrecken. Er klagte erfolgreich vor dem Europäischen Gerichtshof gegen Facebook. Sein Hauptargument: Die von Facebook gespeicherten persönlichen Daten über ihn seien nicht vor dem Zugriff vor US-Behörden wie der NSA sicher. Damit fiel das Datenschutz-Abkommen Safe-Harbor zwischen USA und der EU. Doch wirklich praktische Folgen scheint es für Facebook nicht zu geben, denn Milliarden Nutzer tummeln sich weiter in dem sozialen Netzwerk. Aber warum eigentlich ist die Kommunikation auf Facebook nicht sicher, Keywan Tonekaboni?
Keywan Tonekaboni: Zwar ist die Verbindung zwischen mir und Facebook verschlüsselt, aber nur auf dem Transportweg. Die Daten, die ich eingebe, die Nachrichten, die ich schreibe, die werden innerhalb von Facebook unverschlüsselt verarbeitet und gespeichert. Auf diese Daten kann Facebook dann zugreifen, um mir passende Werbung anzuzeigen oder zu errechnen, welche Beiträge anderer Nutzer mich interessieren könnten. Aber ebenso kann auch ein Geheimdienst wie die NSA auf die Daten zugreifen, ganz gleich ob legal oder heimlich, mit oder ohne der Zustimmung von Facebook. Und um das auszuschließen, müssten die Nachrichten untereinander verschlüsselt sein. Das aber ist gar nicht ganz so einfach, denn meine Freunde sollen ja trotzdem meine Beiträge sehen und lesen können. Und zudem sind soziale Netzwerke ja deshalb so beliebt, da man dort so unkompliziert kommunizieren kann.
Genau diese Sicherheitslücke wäre doch eigentlich eine super Chance für die Konkurrenz, mit einem sicheren Produkt zu punkten. Doch im großen Stil ist weit und breit in dieser Qualität nichts zu finden. Allein ein paar kleine Independent-Projekte haben sich ansatzweise mit dem Problem beschäftigt. Zum Beispiel Whispeer:
Beitrag: Whispeer - Ein soziales Netzwerk mit Ende-zu-Ende Verschlüsselung
Zwei Laptops stehen auf einem alten Esszimmertisch. Zusammen mit Freunden hat Nils Kenneweg ein soziales Netzwerk entwickelt. Der 21-jährige Informatik-Student demonstriert Whispeer: "So, wenn ich jetzt auf Kommentare klicke, ich kann auch drunter schreiben, und Du siehst auch schon, Zack, der Kommentar steht bei Dir auch schon." - "Kann ich dich irgendwie..." "Nee, taggen geht noch nicht" – "Ist das ok, wenn ich das schreibe?", "Ja, wenn Du jetzt senden machst, dann steht es da unten."
Whispeer, das steht für flüstern oder tuscheln, unter Gleichgesinnten, den Peers eben. Wie bei anderen Plattformen auch kann man in Whispeer Freunde hinzufügen, Posts schreiben, Bilder hochladen und chatten. So weit, so gut. Doch im Unterschied zu Facebook, Google+ und Co. werden alle Nachrichten und Daten konsequent verschlüsselt. Und zwar nicht nur auf dem Weg vom Nutzer zum Server oder umgekehrt.
Nils Kenneweg: "Whispeer unterscheidet sich in dem Punkt, dass es Ende-zu-Ende verschlüsselt ist. Das heißt, wenn man eine Nachricht schreibt oder auch einen Beitrag schreibt, dann können den wirklich nur die Leute lesen, die man als Empfänger angegeben hat. Wir als Server-Betreiber können nicht mitlesen und auch irgendjemand anders der sich auf unseren Server hackt kann nicht mitlesen."
Passwort-basierte Verschlüsselung
Damit Ende-zu-Ende-Verschlüsselung funktioniert, müssen die Nachrichten bereits im Browser der Nutzer verschlüsselt werden. Whispeer arbeitet hier mit einer Passwort-basierten Verschlüsselung. Registriert man sich, wird anhand des gewählten Passwortes ein Schlüssel erzeugt - und zwar im Browser und nicht auf dem Whispeer-Server. Anschließend werden zusätzlich die für die Kommunikation benötigten Schlüssel erzeugt und mit dem Passwort-Schlüssel erneut verschlüsselt. So sind sie gegen unbefugten Zugriff gesichert. Erst dann werden diese privaten Schlüssel auf dem Server abgelegt.
Das ist so, als würde man einen wichtigen Schlüsselbund in einem Tresor verwahren. Bei der erneuten Anmeldung wird der Schlüsseltresor heruntergeladen und mit dem Passwort geöffnet. Anschließend können dann die Bilder, Nachrichten und Posts mit Hilfe der Schlüssel gelesen werden. Der Vorteil: Der Nutzer muss sich nicht weiter um seine Schlüssel kümmern.
"Sicherheit ist ja immer so ein Bereich. Wenn man die maximal mögliche Sicherheit haben will, dann muss man mit Sicherheit auch Sachen an seinem Verhalten verändern. Aber man kann schon viel mehr Sicherheit machen als aktuell üblich ist, ohne das man viel Einschränkungen hinnehmen muss."
Das erreicht Whispeer dadurch, dass es die Verschlüsselung weitestgehend vor den Nutzern versteckt. Die müssen sich lediglich mit ihrem Passwort anmelden. Daher sollte das Passwort auch so stark sein, dass es nicht erraten werden kann. Auf der anderen Seite darf man es aber auch nicht vergessen.
"Die größte Einschränkung die dem Nutzer auch wirklich bewusst sein sollte ist, wenn er sein Passwort verliert, dann kommt niemand mehr an die Daten, auch wir nicht."
Weitere Schutzmechanismen
Auch wenn die Kommunikation verschlüsselt ist, bleibt eine Frage: Ist mein digitales Gegenüber wirklich die Person, mit der ich tuscheln möchte. Oder hat sich jemand nur mit dem Namen einen Account gemacht? Um sich davor zu schützen, gibt es einen zusätzlichen Mechanismus, wie Nils Kenneweg erklärt: "Und dafür kann man sich im realen Leben treffen und dann scannt man QR-Code jeweils und in dem QR-Code steht dann drin, dass das jetzt wirklich diese Person ist."
Dazu kann man den eigenen Laptop-Monitor vor die Webcam des Anderen halten. Laptop-Liebe nennt Nils Kenneweg diese Prozedur. Anschließend, wenn die Identität des Freundes bestätigt ist, wird dessen Profilbild grün umrahmt. Die Überprüfung soll aber in Zukunft vereinfacht werden.
"Langfristig planen wir eine Art Web of Trust, so das man Nutzer nicht mehr unbedingt verifizieren muss, sondern wenn man ein Nutzer verifiziert hat, und der auch einen Nutzer verifiziert hat, man dies auch sehen kann."
Noch lang nicht reichen die Nutzerzahlen bei dem jungen Projekt an die von Facebook & Co. heran. Derzeit sind die Macher auf der Suche nach Investoren, um das zu ändern. Aber auch wenn Whispeer nicht erfolgreich sein sollte, so zeigt es zumindest, wie man Sicherheit und Komfort in Einklang bringen kann.