Bereits mit der Einführung des Apple iPhone Betriebssystems iOS 8 im September 2014 kündigte das kalifornische Unternehmen eine umfassende Verschlüsselung seiner Smartphones an, die – einmal verschlüsselt – gar Apple selbst nicht wieder entschlüsseln könne. 1http://www.zeit.de/digital/mobil/2014-09/apple-ios8-sicherheit-polizei Erst kürzlich erhielt diese appleeigene Standardverschlüsselung große mediale Aufmerksamkeit, als anfangs selbst das FBI an einer Überwindung dieser Verschlüsselung scheiterte und nur unter hohem Aufwand und Personaleinsatz die Verschlüsselung letztendlich und wohl nur für den konkreten Einzelfall doch noch umgehen konnte.

Auch der beliebte Instant Messaging Dienst WhatsApp, der 2014 vom sozialen Netzwerk Facebook gekauft wurde 2http://www.heise.de/newsticker/meldung/Facebook-kauft-WhatsApp-2118920.html, war lange Zeit zwar relativ ungeschützt und daher unsicher 3http://www.heise.de/security/meldung/WhatsApp-Accounts-fast-ungeschuetzt-1708132.html. Doch legte man auch hier – IT-sicherheitstechnisch – mittlerweile nach und implementierte eine standardmäßige sog. Ende-zu-Ende-Verschlüsselung, die bei ersten Belastungstests von IT-Experten bereits überzeugen konnte. 4http://www.heise.de/security/artikel/Test-Hinter-den-Kulissen-der-WhatsApp-Verschluesselung-3165567.html

Fraglich ist aber, ob diese von Werk an eingebauten Verschlüsselungsmaßnahmen konventionelle Kryptographie ersetzen können. Gerade beim Transfer von sensiblen Informationen, wie etwa Geschäftsgeheimnissen, spielt eine starke und strikte Kryptographie eine herausragende Rolle. Dem Kerngedanken von Kryptographie nach muss dabei jeglicher Unberechtigter von einem Mitlesen der Nachrichteninhalte ausgeschlossen werden können. Insofern müssen die Kommunikationspartner im ausschließlichen Besitz des Entschlüsselungsschlüssels sein. Problematisch sind dabei sog. Backdoors, also Schlupflöcher im Programmcode, die einen Zugriff durch Unberechtigte ermöglichen können. Dass eine Kryptographie-Software keine solcher Backdoors enthält, ist aber nur beim Vorliegen sog. Open Source–Software, also bei Software, deren Quelltext frei einsehbar ist, nachvollziehbar und transparent. Bei Closed Source–Software dagegen bleiben Beteuerungen der Anbieter, eben keine Backdoors einzubauen, unüberprüfbar. Vor diesem Hintergrund bleibt es daher fraglich, ob den integrierten Verschlüsselungsverfahren von WhatsApp & Co. 5dass die Apps von WhatsApp Closed Software sind, vgl. ...continue ein ebenso großes Vertrauen geschenkt werden kann, wie dies seit Jahrzehnten etwa bereits der state-of-the-art-Verschlüsselungssoftware GPG 6https://www.gnupg.org zugesprochen wird. Jedenfalls Apple hat mittlerweile Teile seiner Kryptographie der Öffentlichkeit bekannt gegeben und einen Schritt zu mehr Vertrauen in die unternehmenseigene Verschlüsselungstechnik gemacht. 7https://developer.apple.com/cryptography/

Das Misstrauen von closed-source-Kryptographie könnte gerade auch dann in der Zukunft eine noch erheblichere Rolle spielen, wenn die derzeit debattierten Anti-Crypto Gesetzgebungsvorhaben, wie etwa in den USA 8vgl. https://www.datenschutz-praxis.de/fachnews/us-gesetzentwurf-verbot-verschluesselung/, tatsächlich verabschiedet werden sollten. Denn dann könnten undurchlässige und strikte Kryptographie-Verfahren in einigen Ländern gar verboten sein, was Apple, WhatsApp & Co. zu einem Brechen ihrer Kryptographie per Backdoors und ähnlicher Maßnahmen verpflichten könnte.

Letztendlich kann aber wohl nur einer strikten und ungebrochenen sowie quelloffenen und frei verfügbaren Kryptographie-Software umfassendes Vertrauen geschenkt werden. Gerade bei der Kommunikation von Geschäftsgeheimnissen oder beim Austausch sensibler Daten ist das ausschließliche Vertrauen auf closed-source built-in-Crypto daher womöglich unzureichend. Unternehmen, die sensible Daten austauschen und daher eine garantiert Backdoor-freie Kryptographie verwenden möchten, sind demnach weiterhin auf zusätzliche Software, die in quelloffener Form transparent überprüfbar ist, angewiesen.

Referenzen   [ + ]

1. http://www.zeit.de/digital/mobil/2014-09/apple-ios8-sicherheit-polizei
2. http://www.heise.de/newsticker/meldung/Facebook-kauft-WhatsApp-2118920.html
3. http://www.heise.de/security/meldung/WhatsApp-Accounts-fast-ungeschuetzt-1708132.html
4. http://www.heise.de/security/artikel/Test-Hinter-den-Kulissen-der-WhatsApp-Verschluesselung-3165567.html
5. dass die Apps von WhatsApp Closed Software sind, vgl. http://www.heise.de/security/artikel/Der-WhatsApp-Verschluesselung-auf-die-Finger-geschaut-2629020.html
6. https://www.gnupg.org
7. https://developer.apple.com/cryptography/
8. vgl. https://www.datenschutz-praxis.de/fachnews/us-gesetzentwurf-verbot-verschluesselung/