Zoom und die Verschlüsselung
Ende-zu-Ende zu Ende?
Seit Beginn der Coronakrise ist es ein leidiges Thema: Datenschutz und Verschlüsselung, insbesondere – aber nicht nur – im Firmenumfeld. Dass kriminelle Machenschaften damit auch im Verborgenen bleiben würden, reicht als Argument gegen das Sicherheitsfeature nicht aus, meint der Kolumnist.
Jeder Krieg und jede Krise haben ihre Gewinnler. Das ist auch bei Corona nicht anders. Schon Henry Ford wusste, dass Erfolg das Glück ist, zur richtigen Zeit die Fähigkeiten zu haben, die in dem Moment gefragt sind. Im lästigen Lockdown letztens waren das die drei „L“ Lieferdienste (Amazon), Liebe (Pornhub) und – Labern! Wenn wir uns nicht treffen dürfen, wollen wir uns umso mehr austauschen. Und zwar nicht über angestaubte Anwendungen wie Skype, die für die (Groß-)Elternbespaßung reserviert sind. Aber auch nicht über die Tools, mit denen wir unsere Urlaubs- (ach so, Entschuldigung, gibt es ja gerade noch nicht so richtig) oder Essensfotos teilen (WhatsApp, Instagram, Snap …).
In diese Lücke stößt Zoom, das noch 2016 am Rand des von den alten „Leaders“ Cisco und Microsoft belächelten „unteren rechten“ magischen Gartner-Quadranten herumkrepelte: „Visionär“, niedrige „Ability to execute“. Nun, mit Corona, explodiert das Interesse an Zoom und einigen anderen Diensten wie BlueJeans, LogMeIn und Google Meet (und natürlich auch an den schwerfälligen Platzhirschen Skype for Business und WebEx – und zwar von allen Seiten: Nutzer und IT-Leiter lechzen nach Vergleichsmatrizen der Features, IT-SiBes* und Datenschützer nach Compliance-Übersichten. Und Strafverfolgungsbehörden nach Überwachungs-, Fahndungs- und Metadaten. Die Debatte um Cryptowars, Onlinedurchsuchung und Quellen-TKÜ war gerade mal ein paar Jahre im Winterschlaf gewesen – nun ist sie voll wieder da, angeheizt nicht zuletzt auch durch die aktuelle Protestbewegung in den Vereinigten Staaten und die Sorge der LEOs (Law Enforcement Organizations/Officers) vor Kontrollverlust.
Und es hat Zoom gemacht
Dabei müssen die Anbieter mit dem Schutz von Geschäftsgeheimnissen werben, wollen sie namhafte Business-Kunden gewinnen. Insbesondere in der EU kommt noch das Thema Datenschutz hinzu. Da seit einigen Jahren viele kleine (Signal, Threema, Wire) und sogar einige große Messenger (iMessage, WhatsApp) Ende-zu-Ende-Verschlüsselung unterstützen, steht dies auch für die Videokonferenzlösungen auf der Wunschliste vieler Kunden. Doch die durchgängige Verschlüsselung aller Gesprächsinhalte ist gerade bei Gruppenkonversationen kompliziert und aufwendig.
Geht man wie etwa Threema keine Kompromisse in Sachen Security ein, so ist bei circa 100 Teilnehmern Schluss, und auch vorher schon leidet die Performance. Oder man geht den Weg von WhatsApp und weicht gewisse Sicherheitsgarantien auf, um größere Gruppen zu ermöglichen. Die Open-Source-Alternativen Jitsi oder BigBlueButton geben Ende-zu-Ende eh auf, sobald eine dritte Person in die Konversation einsteigt.
Technisch möglich ist Ende-zu-Ende (E2E) also, wenn auch mit Kompromissen behaftet. Doch nun hat die Debatte eine andere Wendung genommen: Der aufsteigende Stern Zoom hat auf seinem Weg nach oben in den Kommunikations-Olymp diverse Stars der Securityszene gecastet, um den angekratzten Ruf zu retten und einige Altlasten sowie konkrete Schwachstellen zu beheben.
Und so findet sich ein Alex Stamos, ehemaliger Sicherheitschef von Yahoo und Facebook und als Direktor des Stanford Internet Observatory geachtet für seinen Einsatz für digitale Bürgerrechte, einmal mehr in der Situation, ein Unternehmen für Securitykompromisse zu verteidigen. Safety-Probleme wie Onlinebelästigung, Hassrede und Drohungen seien die größere Gefahr – auch das Argument ist altbekannt, wenn es um die Legitimierung staatlicher Überwachungsbefugnisse geht.
Alles hat ein Ende
Eine Entscheidung des kalifornischen Unternehmens lässt jedoch aufhorchen: Es sollen lediglich zahlende Kunden in den Genuss einer Absicherung von vorne bis hinten kommen, während sich die Kostenlos-Kundschaft mit Transportverschlüsselung begnügen muss. Der Schachzug ist gleich in mehrerer Hinsicht unglücklich. Zum einen zeigt er, dass E2E technisch möglich ist. Der Entzug eines vitalen Sicherheitsfeatures rein aufgrund fehlender Kreditkarte zeugt von einem unsauberen Verständnis, worum es im Internet (und in der Demokratie) geht. Zum anderen wird von einigen hier die Mär wiederaufgewärmt, dass anonyme Nutzer kriminell seien. Ja, auf Zoom werden volksverhetzende und justiziable Inhalte verhandelt, wie in jedem sozialen Medium. Ja, es könnten hier Kinderpornos getauscht werden. Aber die meisten Missbrauchsfälle finden in Familien statt – setzen wir deswegen LKA-Mitarbeiter in jedes Wohnzimmer?
Andererseits ist das Argument, Profiverbrecher hätten eh bessere Tools, auch nicht völlig überzeugend. Denn Stamos hat recht: Auch auf Zoom und Co. sammeln sich schnell alle menschlichen Abgründe, und ein Anbieter darf, wenn er davon weiß, je nach Rechtsordnung gar nicht wegsehen. Das bedeutet aber, dass wir die Balance zwischen Safety und Security als Gesellschaft diskursiv finden müssen – den ausländischen Anbietern kann dies nicht allein überlassen werden. Zumal wenn wir einen Staatsbegriff im Sinn haben, der durchaus einmal autoritär ausschlagen kann.
Noch mal der übrigens antisemitische Publizist Henry Ford: „Das Geheimnis des Erfolges ist, den Standpunkt des Anderen zu verstehen.“ Wenn damit nicht gemeint sein soll, dass die Regierung unser aller Denken und Handeln ständig genau nachvollziehen muss, dann vielleicht, dass wir die Safety-„vs.“-Security-Debatte mit sehr viel Ehrlichkeit und Offenheit führen müssen. Ob bezahlt oder nicht. (ur@ix.de)
* IT-Sicherheitsbeauftragte