In einem Kommentar zu einem jüngsten Cyber-Überwachungsskandal sagte ein Technologieführer, dass die Verschlüsselung Massenoperationen unmöglich gemacht habe und ihre Integrität um jeden Preis gewahrt werden sollte, aber er wies auch auf die Datenerfassungspraktiken von Big Tech als Hauptquelle für Datenschutzschwachstellen hin.
Für Andy Yen, CEO des verschlüsselten Mailing-Dienstes ProtonMail, haben die Pegasus-Vorwürfe die Notwendigkeit gezeigt, verschlüsselte Nachrichten vollständig zu sichern, und lehnten die Forderung politischer Entscheidungsträger in Europa und den Vereinigten Staaten ab, aus Gründen der öffentlichen Sicherheit einen außergewöhnlichen Zugang zu gewähren.
„In puncto Sicherheit und Datenschutz ist es sehr wichtig, dass wir konsequent sehr hohe Standards einhalten und die Verschlüsselung nicht künstlich schwächen oder Hintertüren schaffen. Die Geschichte hat immer wieder gezeigt, dass die falschen Leute sie aus den falschen Gründen benutzen, wenn man Schwächen wie diese schafft“, sagte Yen gegenüber EURACTIV.
Wechselndes Schlachtfeld
Grundsätzlich sind Kommunikationsdienste mit Ende-zu-Ende-Verschlüsselung für Dritte nicht zugänglich, da die Nachricht nur vom Sender und vom Empfänger entziffert werden kann.
Diese Technologie macht es den Dienstanbietern somit unmöglich, auf den Inhalt der Kommunikation zuzugreifen, denn „der beste Weg, um Daten zu schützen, besteht darin, sie gar nicht erst zu haben“, so Yen.
Infolgedessen, so Yen, habe die Verschlüsselung das Schlachtfeld der Cybersicherheit von der Kommunikation auf die Geräte verlagert. Aus diesem Grund soll Spyware wie Pegasus die Kontrolle über Mobiltelefone übernehmen, wodurch Hacker an einem der beiden „Enden“ auf die entschlüsselten Informationen zugreifen können.
„Vor zehn Jahren gab es keine Notwendigkeit für Programme wie Pegasus, weil alle gewünschten Informationen nicht verschlüsselt waren. Bestimmte Regierungen könnten große Technologieunternehmen zwingen, diese Daten herauszugeben“, fügte Yen hinzu.
Für den Tech-Unternehmer zeigt die Hacking-Software, dass Verschlüsselung kein Allheilmittel ist, sondern durch andere Sicherheitspraktiken ergänzt werden muss. Nichtsdestotrotz stellte er fest, dass verschlüsselte Technologien eine Massenüberwachung unmöglich gemacht haben.
„Sie sind nicht in der Lage, Tausenden oder sogar Millionen von Menschen das anzutun. Das sind sehr gezielte Angriffe“, sagte er.
Sicherheit nach Gerät
Nichtsdestotrotz sagte Yen, dass die Gerätehersteller mehr tun müssen, um sicherzustellen, dass Geräte unter dem Gesichtspunkt „Privatsphäre und Sicherheit“ entwickelt werden. Das gilt sogar für Apple, das den Datenschutz zu einem der Hauptmerkmale seiner Corporate Identity gemacht hat und aus diesem Grund herausgehoben wurde, dass es die Erwartungen nicht erfüllt.
Ivan Krstić, Head of Security Engineering and Architecture bei Apple, sagte: „Angriffe wie die beschriebenen sind sehr ausgeklügelt, ihre Entwicklung kostet Millionen Dollar, ist oft nur kurz haltbar und wird verwendet, um bestimmte Personen anzugreifen. Das bedeutet zwar, dass sie für die überwältigende Mehrheit unserer Benutzer keine Bedrohung darstellen, aber wir arbeiten weiterhin unermüdlich daran, alle unsere Kunden zu verteidigen.“
Für Yen hat Apple zwar immer noch ein anderes Geschäftsmodell als Google, aber seine Werbeeinnahmen sind durch seinen App Store und andere Dienste bereits sehr bedeutend. Apples neue Datenschutzrichtlinie soll auch das Werbegeschäft ankurbeln.
„Apples Definition von Datenschutz lautet im Grunde: Niemand außer uns hat Zugriff auf Ihre Daten. Ich würde argumentieren, dass die wahre Definition von Privatsphäre und Sicherheit darin besteht, dass niemand Zugang zu meinen Daten und meiner Privatsphäre hat, Punkt“, sagte Yen.
Widersprüchliche Prioritäten
Yen räumte ein, dass Cybersicherheit ständige Investitionen erfordert, da sich Bedrohungen in einem ständigen „Wettrüsten“ ständig ändern. Er stellte jedoch fest, dass Big Tech zwar nicht über die Ressourcen fehle, um in Datenschutz und Sicherheit zu investieren, aber nicht die finanziellen Anreize dafür.
„Wenn Ihr Geschäftsmodell auf dem Mining, Sammeln und letztendlich der Nutzung von Daten beruht, müssen Sie Ihre Software so gestalten, dass sie von Natur aus anfälliger ist“, so Yen.
Er verwies auf das wiederkehrende Argument von sozialen Netzwerken wie Facebook und LinkedIn, das Datenschutzverletzungen rechtfertigt, wonach die Daten bereits öffentlich auf der Plattform verfügbar seien. „Sie sind Plattformen für den Datenaustausch. Datenlecks sind kein Fehler, sondern ein Feature“, fügte er hinzu.
Der CEO von ProtonMail räumte zwar ein, dass es per Definition keine hundertprozentige Sicherheit gibt, betonte jedoch, dass viele Technologieunternehmen diesen zusätzlichen Schritt nicht unternehmen, da die Priorisierung von Werbung und Datenerfassung manchmal grundlegend im Widerspruch zu Datenschutz und Sicherheit stehen kann.
„Diese Unternehmen werden behaupten, dass sie Daten sammeln und gleichzeitig Ihre Privatsphäre und Sicherheit schützen. Aber es gibt immer Kompromisse.“
„Verfolgen sie den sichereren Ansatz oder wählen sie den profitableren Ansatz für ihre Werbetreibenden? Ich würde argumentieren, dass sie in den meisten Fällen wahrscheinlich die Notwendigkeit der Werbung über die praktischen Bedürfnisse der tatsächlichen Nutzer stellen“, schloss er.
[Edited by Zoran Radosavljevic]