Kommentar: Datenschutz und -sicherheit - Open Source wird überbewertet

Bild: © fotodo / Fotolia.com

Bild: © fotodo / Fotolia.com

Die Situation im Jahr 2013 - dem Jahr in dem Edward Snowden die bisher größte globale Überwachungs- und Spionageaffäre ausgelöste - war hinsichtlich Datenschutz und -sicherheit äußerst unbefriedigend. Nicht nur, weil die Geheimdienste hemmungslos Daten abschöpften, sondern auch weil die Dienstanbieter es weitestgehend zuließen. Damit ist nicht nur die bereitwillige Kooperation gemeint, sondern auch die verbreitete technische Unzulänglichkeit der damaligen Infrastruktur. Verschlüsselte Text- und Videokommunikation war die Ausnahme, ebenso wie HTTPS und weitere Sicherheitsmaßnahmen. Sicherheit hatte schlicht kaum jemanden interessiert.

In diesen Bereichen hat sich seitdem viel getan. Eventuell ist das die größte Leistung der NSA-Veröffentlichungen. Bis dahin war Überwachung ein abstraktes Risiko, dessen reale Existenz vor allem Nerdgruppen interessierte. Seitdem zweifelt niemand mehr die real existierende, massenhafte Überwachung von Bürgern westlicher freiheitlicher Gesellschaften durch ihre eigenen Sicherheitsinstitutionen an.

Direkt nach dem Aufkommen der Affäre forderten Portale wie PRISM-Break eine verstärkte Hinwendung zu Open Source als einzig Lösung der Überwachungsproblematik. Diese Sichtweise fand sich aber auch in den Mainstream-Medien wie bei ZEIT ONLINE. Ursächlich dafür war mutmaßlich, dass bis dahin nur diese Szene den Themen Überwachung und Verschlüsselung hinreichend Aufmerksamkeit geschenkt hatte und daher technisch vorbereitet war.

Seit bekanntwerden der großen Programme wie PRISM oder Tempora haben jedoch auch viele Institutionen, IT-Firmen und Dienstanbieter in die Sicherheit investiert - eben weil dies von den Kunden und Anwendern zunehmend nachgefragt wird. Dazu gehören sowohl Initiativen zur verbesserten Sicherheit in der allgemeinen Infrastruktur des Internets, was vor allem auf Dienstanbieterseite erfolgen kann, wie auch die Absicherung großer bekannter Dienste selbst.

Initiativen wie Let's Encrypt, offizieller Start im Jahr 2015, haben sich zum Ziel gesetzt verschlüsselte HTTPS Verbindungen im Internet zum Normalfall zu machen - eine bisher sehr erfolgversprechend verlaufende Aktion. Die großen E-Mail Dienstleister in Deutschland haben mit ihrer Kampagne "E-Mail made in Germany" bei aller Kritik auch einige Maßnahmen umgesetzt von denen nun Millionen Kunden profitieren. Dazu gehören z.B. eine verschlüsselte Datenübertragung bzw. Transportverschlüsselung.

Im Bereich der verbreiteten Dienste hat die standardmäßige Verschlüsselung von Nachrichten des Dienstanbieters WhatsApp sicherlich die größten Sicherheitsgewinne für die digital tätige Menschheit gebracht. Eine Milliarde Menschen nutzen den Dienst täglich, dagegen sieht jeder Konkurrent ziemlich klein aus. Der Skype-Besitzer Microsoft scheint nun unter Zugzwang geraten zu sein und experimentiert ebenfalls mit einer Verschlüsselung für seinen - bisher als unsicher geltenden - Messenger. Das gleiche gilt auch für den Facebook Messenger seit 2016. Neben der Kommunikation ist die verbreitete Nutzung von Cloudspeichern ein verbreitetes Sicherheitsproblem. Verschlüsselung von Daten ist der Cloud ist jedoch erst ein Thema seit das Start-Up Boxcryptor dies massentauglich gemacht hat.

Im Bereich der Betriebssysteme hat die standardmäßige Verfügbarkeit einer sicheren und einfach einzusetzenden Vollverschlüsselung, sowohl im mobilen, wie auch im klassischen Desktopbereich die Datensicherheit deutlich verbessert. Die Verschlüsselung des iPhones ist sogar schon ein bisschen älter als die Überwachungsaffäre, ist jedoch seitdem durch einen verlängerten PIN deutlich sicherer geworden. Google wiederum entwickelte eine transparente Verschlüsselung für das Linux-Dateisystem ext4, die für Android zum tragen kommt und unhandliche Lösungen auf LUKS-Basis ablöst. Im Desktopbereich verbessert Apple kontinuierlich seine FileVault-Lösung, zuletzt mit einer nativen Verschlüsselung von APFS (siehe: macOS mit FileVault verschlüsseln), während Microsoft BitLocker nun bereits im Rahmen einer Pro-Lizenz zugänglich macht.

Die Open Source-Szene rezipiert diese Entwicklung kaum, das gleiche gilt für engagierte Datenschützer, die weiterhin Open Source als heiligen Gral des Datenschutzes predigen. Immer wieder wird hervorgehoben, dass nur Open Source vollständige Sicherheit biete und auf freie Alternativen zu den bisherigen Diensten hingewiesen. XMPP mit OTR, OpenPGP für Mails, Linux mit LUKS sind die Schlagworte, die man verbreitet. Alles Lösungen und Dienste, deren Komfort sich seit 2013 nicht im mindesten verbessert hat und woran scheinbar auch niemand arbeitet. Viele Linux-Distributionen sind von Haus aus unsicherer als ihre proprietären Pendants - wenngleich natürlich die Freiheit zu mehr Sicherheit besteht. Hinzu kommt das unablässige propagieren irgendwelcher Nischen-Dienste ohne nennenswerte Reichweite. Hinzu kommt eine schon fast krankhafte Affinität zu Open Source Diensten, selbst wenn diese unsicherer sind als ihre proprietären Gegenstücke - der verbreitete Einsatz von Telegram im Open Source-Bereich sei hier beispielhaft gennant.

Natürlich ist unstrittig, dass nur ein offener Quellcode Schutz vor versteckten Hintertüren und ähnlichem bietet. Viele der oben genannten Dienste sind zudem hinsichtlich des Datenschutzes problematisch, selbst wenn sie die eigentliche Kommunikation adäquat schützen. Hinzu kommt, dass viele der genannten Dienste auf Open Source Bausteine wie z.B. das Signal-Protokoll oder EncFS zurückgreifen um eben jene Sicherheitsfunktionen umzusetzen.

Trotzdem täte die vernetzte Open Source und Datenschutz-Szene gut daran anzuerkennen, dass die großen IT-Konzerne und ihre proprietären Dienste mehr für Datenschutz und -sicherheit der Internetanwender getan haben, als die hunderten kleinen Open Source Initiativen, die  überall als reine Lehre angepriesen werden. Viele dieser Projekte sind schlicht gescheitert und ihr Bewerben führt letztlich bei den Menschen zu frustrierter Abkehr von Datenschutzbemühungen insgesamt. Open Source wird in diesem Bereich überbewertet, man kann sich auch mit proprietären Diensten - wenngleich natürlich nicht mehr jedem - gut schützen. Man sollte nur nicht aufhören zu hinterfragen.

Kyrindorx
Firmen und Dienstleistungen sollen und können am Datenschutz arbeiten. Sofern aber closed Source keine Einsicht bietet in Verfahren, Sicherung von Daten und Forscher Verschlüsselungen knacken oder Schwächen aufdecken, ist das Ganze fraglich. Weiterhin haben Dienste in den USA den Patriot Act, Freedom Act und Wegfall der "Safe Harbor Vereinbarung". Somit ist Datenschutz in den USA und Daten die in den USA gespeichert werden, auch zu hinterfragen. Nicht jedes Open Source Projekt ist ein Stützpfeiler für Datenschutz und Sicherheit , da stimme ich zu. Jedoch sind Projekte wie OpenSSL, OpenVPN, Tor uva. incl. der offenen Cipher Algorithmen ein richtiger und wichtiger Bestandteil. Hier schafft Wissenschaft, Forschung, Mathematik und Transparenz eine Basis des Vertrauens. Dies sind für mich größere Eckpfeiler zur Datensicherheit, als die Bemühungen von Unternehmen die staatlichen Gesetzen unterworfen sind und Vertrauen vor Kontrolle geht.

In deinem Artikel steckt leider zuviel Propaganda.


Cruiz
Niemand bestreitet, dass es zentrale Open Source Projekte gibt, die wichtig für Datenschutz- und sicherheit sind.

Rein aus Endanwendersicht haben die Veränderungen bei den proprietären Diensten aber viel mehr bewirkt, als der x.te super-privacy Messenger, den die Open Source Szene versucht zu pushen.

Prokov94
Ich stimme hier zu, es ist leider wahr, das es viele open source projekte gibt, aber zu wenig entwickler, oder es ist falsch verteilt, da gibt es selfhosted Lösungen und dann frage ich mich warum es von deinen Kategorie nur 2 gibt wovon eine schwer zu bedienen und die andere innerhalb eines Jahres keine Veränderungen/Updates erfahren hat.
Ich denke in den Unternehmen, sollte man die Entwickler zwangsverpflichten sich einem Open Source Projekt zuzuwenden, für das man in einer Woche 1-3h seiner Zeit abgibt, ist natürlich einfach daher gesagt, aber es ist leider so. Ich würde die Projekte auch finanziell unterstützen, aber was bringt es wenn ich 200€ spende, aber nach ein paar Monaten die Entwicklung eingestellt wird? Da ist der Kosten/Nutzenfaktor zu zu hoch und daran scheitern dann neben der Anzahl der verfügbaren Entwickler mit dem notwendigen Wissen, auch die finanziellen Möglichkeiten-

Worb
Bezeichnend sind auch die Anfeindungen, die die Signal-Entwickler aus der Szene einstecken mussten, weil sie –
trotz Open Source – nicht die reine Lehre vertreten, sondern an reale Nutzungsszenarien anschließen wollen (Telefonnumern, Arbeit mit Whatsapp). Dabei hat gerade ihre Zusammenarbeit mit Whatsapp auf einen Schlag mehr für private Verschlüsselung bewegt als Jahrzehnte von wirkungslosen PGP-Predigten.

Ironix
Vertrauen nur mit OSS
Was nutzt mir die beste Closed-Source-Lösung mit Supadupa-Verschlüsselung wenn ich nicht weiß was wie verschlüsselt wird und was mit dem Schlüssel passiert. Ich habe einfach kein vertrauen in solche Sachen. Das ist reine Augenwischerei und Privacywashing. Die Unternehmen setzen das nicht wg. des Wohls der Nutzer um. Ich würde mir wünschen wenn OSS-Teams/Gruppen/Projekte mehr zusammenarbeiten würden um gute Software auch noch benutzerfreundlicher zu machen und Medien und Politik sich mehr für OSS einsetzen bzw. publik machen würden.
Cruiz
Zitat :
Was nutzt mir die beste Closed-Source-Lösung mit Supadupa-Verschlüsselung wenn ich nicht weiß was wie verschlüsselt wird und was mit dem Schlüssel passiert.

Meines Wissens nach wurde bisher weder LUKS (dm-crypt), noch eCryptFS einem Audit unterzogen. Streng genommen glaubst du also nur zu wissen, dass diese Lösung sicher ist. Die Illusion den Quellcode prüfen zu können erzeugt ein Gefühl von Sicherheit. Die ganze Geschichte rund um EncFS zeigt, dass das auch Augenwischerei sein kann.

Ironix
SW-Audit
Keine Frage, solange es Software gibt, wird es auch Bugs geben. Bei OSS kann ich wenigstens einen Audit machen (z.B. EU-FOSSA) und da ist es prinzipiell schwerer Hintertüren zu verstecken. Bei Closed-Source hilft nur die Hoffnung, dass MS/Apfel/Google/FB .... nur unser Bestes wollen.
Cruiz
Wir hatten in den vergangenen Jahren zu viele Fälle bei denen selbst kritische Open Source Projekte überhaupt nicht kontrolliert wurden, als das ich dem noch vorbehaltlos zustimmen würde. Der krasse Entwicklermangel torpediert meiner Meinung nach viel zu oft die Vorteile von Open Source. Einfach weil die Ressourcen für eine Mehr-Augen-Überprüfung fehlen.

Natürlich ist Closed Source nicht die Lösung aller Probleme. Faktisch haben die Absicherungsbestrebungen der großen Konzerne seit 2013 aber viel mehr Menschen erreicht als die ach so perfekten Werkzeuge der Open Source Gemeinde.

Das Signal Protokoll ist z.B. inzwischen eines der am weitesten verbreiteten Verschlüssungslösungen für Messenger - aber sicher nicht wegen des Erfolgs des Signal Messengers selbst. Wenn die Entwickler von Signal sich hier nicht flexibel gezeigt hätten würde Open Source da gar keine Rolle spielen. Genau diese Flexibilität fehlt aber sonst oft.

Ironix
Motto : Mach es besser, nicht verkehrt :)
Dem ersten Absatz von dir kann ich voll zustimmen. Bei wichtigen und kritischen OSS-Projekten muss man viel mehr investieren und sie besser unterstützen bzw. darauf "Acht" geben. Hoffentlich ist das bei Linux- , Mozilla- und anderen Foundations angekommen.
Wenn man mehr Datenschutz und Sicherheit will dann ist Closed-Source nicht die Lösung.
Die WhatsApp-Verschlüsselung fußt auf dem Versprechen, das auch so umgesetzt zu haben, dass kein anderer die verschlüsselten Nachrichten mitlesen kann. Nichtmal Facebook selbst. Nur weiß ich, dass aufgrund von US-Gesetzen die das gar nicht halten können.
Wenn das aber einem egal ist, dann kann er sich auch über die "Verschlüsselung" freuen.

Cruiz
Es ist ein, vor allem in der Open Source Szene, weit verbreiteter Irrtum zu glauben, man könne Closed Source Software gar nicht testen oder auf Sicherheitslücken prüfen. Man muss dafür nicht unbedingt in den Quellcode schauen.

Was glaubst du denn wie die ganzen Sicherheitslücken sonst gefunden werden?

Worb
Das ist falsch. E2E-Verschlüsselung ist auch nach US-Recht nicht illegal. Entsprechende Vorstösse ("Verschlüsselung hilft den Terroristen!") gibt es zwar dort und auch z.B. im UK in der Politik, aber (noch) keine Gesetze.
Ironix
Gesetze
@Cruiz
Du wirst auch zugeben müssen, dass es schon was anderes ist wenn man beim Debuggen jede Zeile Sourcecode analysieren kann als eine Blackbox zu untersuchen. Vor allem ist vieles nur durch De-compilieren möglich was aber laut den AGBs und Nutzungsbedingungen untersagt ist, so dass man sich quasi strafbar macht.

@Worb
E2E-Verschlüsselung ist an sich nicht verboten solange sie darauf zugriff haben. Dann ist es aber mMn auch kein richtiges E2E.
z.B.
https://www.focus.de/digital/computer/hotmail-outlook-skype-microsoft-erlaubt-nsa-zugriff-auf-kundendaten_aid_1041478.html

Cruiz
Zitat :
Du wirst auch zugeben müssen, dass es schon was anderes ist wenn man beim Debuggen jede Zeile Sourcecode analysieren kann als eine Blackbox zu untersuchen
.
Hab ich nicht bestritten. Ich sagte, dass Open Source überbewertet wird.

Zitat :
E2E-Verschlüsselung ist an sich nicht verboten solange sie darauf zugriff haben. Dann ist es aber mMn auch kein richtiges E2E.

Das ist Quatsch, Focus Online ist schon aus Gründen der Qualität kein Beleg und der Artikel älter als die meisten hier diskutierten Produkte und Verschlüsselungen.

Worb
Richterlich angeordneter Zugriff auf Kundendaten hat absolut nichts mit E2E-Verschlüsselung zu tun, vor allem macht er sie nicht weniger wirksam.
Ironix
Früher und heute
Cruiz sagte :
Das ist Quatsch, Focus Online ist schon aus Gründen der Qualität kein Beleg und der Artikel älter als die meisten hier diskutierten Produkte und Verschlüsselungen.


Die Info findest du überall sonst auch (Guardian, Heise ...).

Ja, das stimmt. Die Info ist aus dem Jahr 2013.
Ich denke, heute ist es viel schlimmer und weiter ausgebaut da die sw-PRODUKTE mehr Daten produzieren.
Welchen Anlass hast du zu glauben, dass es jetzt nicht mehr so ist bzw. dass sich was geändert hat.
Gesetzeslage ist unverändert und wegen Closed-Source auch nicht überprüfbar.

Cruiz
Nein, weil der Artikel nicht das aussagt, was du herausliest. Im Artikel geht es um E-Mail Kommunikation, die per se unverschlüsselt erfolgt. Diese können auch deutsche Behörden unter Einhaltung des Rechtsweges beschlagnahmen/einsehen. Siehe z.B. die Transparenzberichte von Posteo.

Dort steht nicht geschrieben, dass Ende-zu-Ende verschlüsselte Kommunikation verboten wäre oder der Anbieter diese für die Ermittlungsbehörden schwächen müssten.

Diese Forderung mag es zwar geben aber erstens ist das bisher nur eine Forderung und zweitens wäre Open Source Software davon ebenso betroffen. Nur weil der Code offen liegt, muss man sich trotzdem an Gesetze halten ;-)

Chris
Sobald man mit Kryptographie in Berührung kommt, stolpert man schnell über https://de.wikipedia.org/wiki/Kerckhoffs’_Prinzip. Zu dem Thema finde ich auch noch https://www.schneier.com/crypto-gram/archives/2002/0515.html#1 gut.

In letzterem wird auch genannt, dass es immer ein Trade-Off zwischen offenlegen und geschlossen halten ist – aus technischer Sicht macht bei Endanwenderprogramme für Verschlüsselungsalgorithmen proprietär halten IMO aber wenig Sinn. Man kann im Prinzip nur einen Sicherheitsgewinn erhalten, wenn der Code offen ist. Das Audits durchgeführt werden müssen, ist dann halt noch der nächste Schritt. Bei OSS scheitert es für Audits IMO häufig am Geld. Unabhängig von OSS oder nicht musst du den Entwicklern vertrauen.

Ich stelle gerade vielmehr die Hypothese auf, dass Endanwender bessere UX haben wollen, das durch Unternehmen umgesetzt wird und du deswegen davon mehr mitbekommst. Intern können sie ja auch wieder OSS nutzen. ;)

Cruiz
Ich wollte nie Open Source seine Qualitäten absprechen und habe dies meiner Meinung nach auch nicht getan.

Ich habe nur im Wesentlichen drei Dinge behauptet und versucht argumentativ zu belegen:
  • Proprietäre Programme sind viel sicherer geworden.
  • Sie erreichen viel mehr Menschen als so manche heilige OSS-Kuh ohne reale Nutzer.
  • Die OSS/Datenschutz-Szene (hier gibt es große Schnittmengen) sollte das mal anerkennen und nicht immer auf die reine Lösung Open Source verweisen.

Chris
Zitat :
Proprietäre Programme sind viel sicherer geworden.


Würde ich so nicht unterschreiben. Bei den Endkunden oder Unternehmen hat sich scheinbar das Bedürfnis verändert, ja. Wie sicher die daraus resultierenden Maßnahmen sind, wird bei proprietärer Software teils (durch Audits o.ä.) überprüft – Beliebige können sich aber nicht den Quelltext anschauen. Wobei ich letzteres auch für unwahrscheinlich halte. Dessen muss man sich IMO bewusst sein und kann es je nach Situation in Kauf nehmen.

Zitat :
Sie erreichen viel mehr Menschen als so manche heilige OSS-Kuh ohne reale Nutzer.


Ja, da stimme ich dir zu. Kann man sich wieder streiten, ob es nicht am Geld/Marketing fehlt.

Zitat :
Die OSS/Datenschutz-Szene (hier gibt es große Schnittmengen) sollte das mal anerkennen und nicht immer auf die reine Lösung Open Source verweisen.


Ich würde da noch weiter gehen: Es brauch erstmal kontinuierlich, gute Audits und im Idealfall OSS. OSS ohne Audits o.ä. bringt wenig.

1000 Buchstaben übrig


Über

[Mer]Curius bietet Informationen zur technischen Dimension des Datenschutz im digitalen Bereich. Neben permanent aktualisierten Artikeln zu Betriebssystemen, Verschlüsselung und Kommunikationsabsicherung werden im Blog aktuelle Trends präsentiert und kommentiert.

Top