Bei einer unmöglich zu überblickenden Datenmenge an wichtigen Informationen ist Verschlüsselung im Internet essenziell. Kryptographie, also quasi die Kunst der Verschlüsselung, ist nichts neues: Schon im Mittelalter wurden Briefe auf bestimmte Weise verändert, um sensible Nachrichten besser vor den falschen Augen zu schützen. Moderne Software macht sich diese vermeintlich simplen Konzepte zunutze, wenn auch in einem völlig neuen Maßstab, wie euch Kian Zomorodi erklärt.

Verschlüsselung – die Grundlagen

Das Grundkonzept, Nachrichten für Unbefugte unlesbar zu machen ist simpel. Eine Nachricht wird so verändert, dass sie nicht mehr für andere Lesbar ist, indem zum Beispiel die Buchstaben der Wörter ausgetauscht werden. Das Ergebnis dieses Verfahrens wird “Chiffre” genannt.  
Um aus der Chiffre wieder Klartext zu machen, benötigt man einen Schlüssel. 

Der muss irgendwie vom Sender zum Empfänger gelangen, um dort die Nachricht wieder entschlüsseln zu können. Und hier wirds interessant: hier greifen nämlich verschiedene Systeme, um diese Übertragung nicht nur möglich, sondern auch sicher zu machen.  

Symmetrische und asymmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung gibt es nur einen Schlüssel. Der wird sowohl für die Ver- als auch für die Entschlüsselung genutzt. Dadurch wird die Datenübertragung recht simpel und schnell. Der klare Nachteil ist, dass der Schlüssel, genau wie die Nachricht auch, vom Sender zum Empfänger gelangen muss, damit der die Nachricht lesen kann. Auf seinem Weg kann der Schlüssel dann theoretisch abgefangen und die verschlüsselte Nachricht gelesen werden.  

Das bekannteste und repräsentativste System was nach diesem Konzept funktioniert, ist die AES-Verschlüsselung (“Advanced Encryption Standard”). Hier wird die Chiffre algorithmisch immer wieder neu verändert, um es Datendieben möglichst schwer zu machen, Muster zu erkennen und die Nachricht möglicherweise auch ohne Schlüssel lesen zu können. Je häufiger die Chiffre verändert wird, desto sicherer wird das Ganze. 

Meistens wird hier ein Schlüssel verwendet, der 256-Bit lang ist. Dadurch ergeben sich 2²⁵⁶ mögliche Varianten von Schlüsseln. Aber auch das bringt wenig, wenn ein Dieb den richtigen Schlüssel abgefangen hat. 

Um dieses Problem zu umgehen, wurde die asymmetrische Verschlüsselung entwickelt. Hier werden zwei verschiedene Schlüssel verwendet. Der erste Schlüssel (auch “public key”) ist dafür da die Nachricht zu verschlüsseln und der Zweite (“private key”) sie wieder zu entschlüsseln. Das funktioniert über eine sogenannte “Falltürfunktion”. Mit ihr kann eine Nachricht selbst mit dem Schlüssel, der sie codiert hat, nicht mehr eindeutig gelesen werden. Nur der Empfänger hat den fehlenden Teil des Codes und kann die Nachricht lesen. 

Das kann man sich in etwa wie bei einem Briefkasten vorstellen: Jeder kann Briefe hineinwerfen, aber nur der Besitzer hat den Schlüssel den Briefkasten zu öffnen und die Briefe auch zu lesen. 
Das macht die Verschlüsselung deutlich sicherer, aber auch aufwendiger für die Computer.  

Moderne Messenger wie WhatsApp nutzen eine Kombi aus Beidem 

Hier wird zwischen Sender und Empfänger erst mit einem asymmetrischen Verfahren ein privater Sitzungsschlüssel ausgetauscht. Das seht ihr, wenn ihr mit einer neuen Person einen Chat startet und dort die Meldung erhaltet: “Nachrichten und Anrufe sind Ende-zu-Ende-verschlüsselt etc..”.  

Danach können mit symmetrischen Verfahren ganz einfach Nachrichten ausgetauscht werden, die nur Sender und Empfänger lesen können. Das bedeutet, dass nicht mal der Server von WhatsApp, über den eure Nachrichten laufen, mitlesen kann. Es gibt aber trotzdem einige Sicherheitslücken, auf die zu selten hingewiesen wird

Nicht alle Daten werden lückenlos verschlüsselt 

Wann, wie oft und mit wem kommunizierst wird häufig nicht mit verschlüsselt. Das hat Vorteile bei der Einsparung von Rechenleistung der Server, macht aber auch beispielsweise eine verbesserte Strafverfolgung der Polizei möglich. 

Die Backups der Chats auf WhatsApp sind auch nicht standardmäßig verschlüsselt, das kann man aber in den Einstellungen aktivieren. 

Social Engineering

Da die meisten modernen Verschlüsselungsprogramme wirklich verdammt sicher sind, haben sich Angreifer eine neue Schwachstelle gesucht: den Menschen. Es ist für die meisten Cyberkriminellen im Internet mittlerweile deutlich einfacher, die Personen direkt dazu zu bringen, persönliche Informationen preiszugeben.  

Phishing ist wohl die bekannteste Form von Social Engineering und beschreibt eine bestimmte Art der Täuschung, meistens über E-Mail oder Messenger. Dabei wird gezielt versucht, durch vermeintlich seriöse URL und Formulierungen, das Vertrauen der Betroffenen zu gewinnen, um an sensible Informationen zu gelangen  

Sinnvolle Alternative 

WhatsApp hat mit über 3 Milliarden Nutzer:innen jeden Monat eine enorme Marktdominanz in punkto Messengerdiensten. Damit hat das Unternehmen eine nicht ganz unkritische Vormachtstellung. Über deren Server läuft eine enorme Datenmenge, die theoretisch in vielen Fällen sogar lesbar ist. Durch die enorme Reichweite der Plattform ist sie begehrtes Ziel für Hacker und Betrüger – und ändert WhatsApp seine Nutzungsbestimmungen, muss man das mehr oder minder hinnehmen, wenn man weiterhin vernetzt bleiben möchte.  

Aber es gibt durchaus Alternativen zu WhatsApp, die viele der oben genannten Probleme angehen. Ein gutes Beispiel ist der Messengerdienst “Signal” aus den USA, der fast vollständig “open source” ist. Das heißt, dass der Quellcode von quasi jedem eingesehen und verbessert werden kann. 

Er wird von der gleichnamigen Stiftung finanziert und weiterentwickelt und kann somit keinerlei private Interessen vertreten wie bei einem Unternehmen. Sie nutzen dieselbe Verschlüsselungsmethode wie WhatsApp, was sie vergleichbar sicher macht.  

Zusätzlich arbeitet Signal nach dem “Zero-Knowledge-Prinzip” was bedeutet, dass nicht einmal der Server die Möglichkeit besitzt, irgendwelche Daten/ Nachrichten einzusehen oder zu sammeln. 

#Cyberscurity #Datenschutz #M94.5 #Messenger #München