Kommentar: Datenschutz und -sicherheit – Open Source wird überbewertet

Symbolbild "Cloud Computing"

Die Situation im Jahr 2013 – dem Jahr in dem Edward Snowden die bisher größte globale Überwachungs- und Spionageaffäre ausgelöste – war hinsichtlich Datenschutz und -sicherheit äußerst unbefriedigend. Nicht nur, weil die Geheimdienste hemmungslos Daten abschöpften, sondern auch weil die Dienstanbieter es weitestgehend zuließen. Damit ist nicht nur die bereitwillige Kooperation gemeint, sondern auch die verbreitete technische Unzulänglichkeit der damaligen Infrastruktur. Verschlüsselte Text- und Videokommunikation war die Ausnahme, ebenso wie HTTPS und weitere Sicherheitsmaßnahmen. Sicherheit hatte schlicht kaum jemanden interessiert.

In diesen Bereichen hat sich seitdem viel getan. Eventuell ist das die größte Leistung der NSA-Veröffentlichungen. Bis dahin war Überwachung ein abstraktes Risiko, dessen reale Existenz vor allem Nerdgruppen interessierte. Seitdem zweifelt niemand mehr die real existierende, massenhafte Überwachung von Bürgern westlicher freiheitlicher Gesellschaften durch ihre eigenen Sicherheitsinstitutionen an.

Direkt nach dem Aufkommen der Affäre forderten Portale wie PRISM-Break eine verstärkte Hinwendung zu Open Source als einzig Lösung der Überwachungsproblematik. Diese Sichtweise fand sich aber auch in den Mainstream-Medien wie bei ZEIT ONLINE. Ursächlich dafür war mutmaßlich, dass bis dahin nur diese Szene den Themen Überwachung und Verschlüsselung hinreichend Aufmerksamkeit geschenkt hatte und daher technisch vorbereitet war.

Seit bekanntwerden der großen Programme wie PRISM oder Tempora haben jedoch auch viele Institutionen, IT-Firmen und Dienstanbieter in die Sicherheit investiert – eben weil dies von den Kunden und Anwendern zunehmend nachgefragt wird. Dazu gehören sowohl Initiativen zur verbesserten Sicherheit in der allgemeinen Infrastruktur des Internets, was vor allem auf Dienstanbieterseite erfolgen kann, wie auch die Absicherung großer bekannter Dienste selbst.

Initiativen wie Let’s Encrypt, offizieller Start im Jahr 2015, haben sich zum Ziel gesetzt verschlüsselte HTTPS Verbindungen im Internet zum Normalfall zu machen – eine bisher sehr erfolgversprechend verlaufende Aktion. Die großen E-Mail Dienstleister in Deutschland haben mit ihrer Kampagne „E-Mail made in Germany“ bei aller Kritik auch einige Maßnahmen umgesetzt von denen nun Millionen Kunden profitieren. Dazu gehören z. B. eine verschlüsselte Datenübertragung bzw. Transportverschlüsselung.

Im Bereich der verbreiteten Dienste hat die standardmäßige Verschlüsselung von Nachrichten des Dienstanbieters WhatsApp sicherlich die größten Sicherheitsgewinne für die digital tätige Menschheit gebracht. Eine Milliarde Menschen nutzen den Dienst täglich, dagegen sieht jeder Konkurrent ziemlich klein aus. Der Skype-Besitzer Microsoft scheint nun unter Zugzwang geraten zu sein und experimentiert ebenfalls mit einer Verschlüsselung für seinen – bisher als unsicher geltenden – Messenger. Das gleiche gilt auch für den Facebook Messenger seit 2016. Neben der Kommunikation ist die verbreitete Nutzung von Cloudspeichern ein verbreitetes Sicherheitsproblem. Verschlüsselung von Daten ist der Cloud ist jedoch erst ein Thema seit das Start-Up Boxcryptor dies massentauglich gemacht hat.

Im Bereich der Betriebssysteme hat die standardmäßige Verfügbarkeit einer sicheren und einfach einzusetzenden Vollverschlüsselung, sowohl im mobilen, wie auch im klassischen Desktopbereich die Datensicherheit deutlich verbessert. Die Verschlüsselung des iPhones ist sogar schon ein bisschen älter als die Überwachungsaffäre und Apple hat diese seitdem durch einen verlängerten PIN nochmal verbessert. Google wiederum entwickelte eine transparente Verschlüsselung für das Linux-Dateisystem ext4, die für Android zum tragen kommt und unhandliche Lösungen auf LUKS-Basis ablöst. Im Desktopbereich verbessert Apple kontinuierlich seine FileVault-Lösung, zuletzt mit einer nativen Verschlüsselung von APFS (siehe: macOS mit FileVault verschlüsseln), während Microsoft BitLocker nun bereits im Rahmen einer Pro-Lizenz zugänglich macht.

Die Open Source-Szene rezipiert diese Entwicklung kaum, das gleiche gilt für engagierte Datenschützer, die weiterhin Open Source als heiligen Gral des Datenschutzes predigen. Immer wieder wird hervorgehoben, dass nur Open Source vollständige Sicherheit biete und auf freie Alternativen zu den bisherigen Diensten hingewiesen. XMPP mit OTR, OpenPGP für Mails, Linux mit LUKS sind die Schlagworte, die man verbreitet. Alles Lösungen und Dienste, deren Komfort sich seit 2013 nicht im mindesten verbessert hat und woran scheinbar auch niemand arbeitet. Viele Linux-Distributionen sind von Haus aus unsicherer als ihre proprietären Pendants – wenngleich natürlich die Freiheit zu mehr Sicherheit besteht. Hinzu kommt das unablässige propagieren irgendwelcher Nischen-Dienste ohne nennenswerte Reichweite. Auf die Spitze treibt diese Entwicklung eine schon fast verrückte Affinität zu Open Source Diensten, selbst wenn diese unsicherer sind, als ihre proprietären Gegenstücke – der verbreitete Einsatz von Telegram im Open Source-Bereich sei hier beispielhaft gennant.

Natürlich ist unstrittig, dass nur ein offener Quellcode Schutz vor versteckten Hintertüren und ähnlichem bietet. Viele der oben genannten Dienste sind zudem hinsichtlich des Datenschutzes problematisch, selbst wenn sie die eigentliche Kommunikation adäquat schützen. Hinzu kommt, dass viele der genannten Dienste auf Open Source Bausteine wie z. B. das Signal-Protokoll oder EncFS zurückgreifen um eben jene Sicherheitsfunktionen umzusetzen.

Trotzdem täte die vernetzte Open Source und Datenschutz-Szene gut daran anzuerkennen, dass die großen IT-Konzerne und ihre proprietären Dienste mehr für Datenschutz und -sicherheit der Internetanwender getan haben, als die hunderten kleinen Open Source Initiativen, die überall als reine Lehre angepriesen werden. Viele dieser Projekte sind schlicht gescheitert und ihr Bewerben führt letztlich bei den Menschen zu frustrierter Abkehr von Datenschutzbemühungen insgesamt. Open Source wird in diesem Bereich überbewertet, man kann sich auch mit proprietären Diensten – wenngleich natürlich nicht mehr jedem – gut schützen. Man sollte nur nicht aufhören zu hinterfragen.

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel