Manche Internetdienstleister werben damit, dass die Daten der Kunden auf ihren Servern "End-zu-Ende-verschlüsselt" sind.
1. Beispiel: Eine End-zu-End verschlüsselte Cloud.
Du möchtest eine Datei von deinem Laptop in die end-zu-end-verschlüsselte Cloud hochladen, bei der du dich registriert hast.
Bevor die Datei hochgeladen wird, wird sie auf deinem Gerät automatisch verschlüsselt. Dies geschieht meist automatisch im Hintergrund. Du bekommst diesen Vorgang gar nicht mit.
Um die verschlüsselte Datei wieder lesen zu können, benötigt man einen sogenannten Schlüssel. dies ist ein einmaliger Code, der für dich zufällig auf deinem Laptop generiert wurde. Nur mit diesem einmaligen Code können deine verschlüsselten Dateien wieder entschlüsselt werden.
Wird die Datei nun auf den Server hochgelanden, bleibt der Schlüssel auf deinem Gerät. D.h., selbst die Betreiber der Cloud können die Datei nicht entschlüsseln, da sie nicht über den notwendigen Schlüssel verfügen.
Lädts du die Datei wieder auf deinen Laptop herunter, wird sie auf deinem Gerät wieder entschlüsselt, da der Schlüssel dazu ja hier vorhanden ist. Nur du kannst sie also auf deinem Gerät öffnen und schließen.
Bei vielen Cloud-Anbietern geschieht dies automatisch im Hintergrund. Je nach Anbieter wirst du im Umgang wirst du keinen Unterschied zwischen verschlüsselten und unverschlüsselten Anbietern bemerken.
2. Beispiel: Ein end-zu-end-verschlüsselter Messenger.
Etwas komplizierter wird es, wenn ich eine Nachricht über einen Messenger verschicke. Dann wird ein zweigeteilter Schlüssel gebildet. Sowohl der Empfänger der Nachricht, als auch der Versender besitzen jeweils einen Schlüssel um die Nachricht zu entschlüsseln.
Verschicke ich eine Nachricht über den Messenger, wird sie auf meinem Gerät, zum Beispiel meinem Smartphone, vor dem Abschicken verschlüsselt. Auch hier bleibt der Schlüssel auf meinem Gerät.
Auf dem Weg durch das Internet ist die Nachricht also durchgehend verschlüsselt. Niemand, der sie abfängt, kann sie ohne den Schlüssel lesen.
Kommt die Nachricht beim Empfänger an, hat dieser auf seinem Gerät ebenfalls einen Schlüssel, mit dem er sie entschlüsseln und lesen kann. Nur Sender und Empfänger besitzen hier also jeweils einen dazu notwendigen Schlüssel und deswegen können nur sie die Nachricht lesen.
Der wichtige Unterschied zwischen Verschlüsselung und End-Zu-End Verschlüsselung ist:
- Mit End-zu-End-Verschlüsselung bleiben die Schlüssel auf den Endgeräten der User. Nur diese können die Daten ent- und verschlüsseln.
- Ohne End-zu-End-Verschlüsselung wird die Nachricht erst auf dem Server des Anbieters verschlüsselt. Der Schlüssel liegt also auf dem Server. Der Anbieter könnte also theoretisch jede Nachricht entschlüsseln, und Hacker, die auf dem Server eindringen, könnten theoretisch zu jeder gespeicherten Datei oder Nachricht den passenden Schlüssel suchen und diese entschlüsseln, was aber, je nach Konfiguration des Servers, ein nicht unerheblicher Aufwand ist. Ohne End-zu-End-Verschlüsselung sind die Daten nicht ganz so sicher, aber immerhin sicherer, als wenn sie unverschlüsselt und für jeden sofort lesbar auf dem Server liegen.
Das macht die End-zu-end-Verschlüsselung besonders sicher für private Gespräche, weil selbst Hacker, Behörden oder die Betreiberfirma keinen direkten Zugriff auf den Inhalt haben.
Man unterschätze nicht die Informationen aus den Meta-Daten.
Anbieter wie Whats-App nutzen für die einzelne Nachrichten ebenfalls eine End-zu-End-Verschlüsselung. Wieso stehen sie trotzdem immer wieder datenschutzrechtlich in der Kritik?
Der Grund sind die sogenannten Meta-Daten. Das sind Informationen über den Nutzer, die unverschlüsselt mit der verschlüsselten Nachricht gespeichert werden. WhatsApp benötigt zum Beispiel die Handynummer der User als Adresse. Daneben speichert Whats-App (und auch andere Anbieter) noch weitere Informationen, wie Datum und Uhrzeit, an der die Nachricht erstellt und verschickt wurde, sowie die IP-Adressen von Sender und Empfänger. Das klingt wenig, zum Erstellen von Profilen über unbekannte Nutzer sind das aber schon mal wichtige Informationen, aus denen man viele weitere Ableiten kann, zum Beispiel bei welchem die User sind, daraus wiederum aus welchem Land sie kommen und natürlich kann man weitere Informationen über sie beim Provider suchen.
Man hinterlässt zwar überall nur kleine Puzzelstücke, aber folgt man diesen wie Brotkrumen im Wald, hat man irgendwann genug zusammen, um sich ein sehr konkretes Bild des unbekannten Users zu machen. Man kann am Ende vielleicht sogar Namen und Adresse in Erfahrung bringen, und zu denen kann man auf Social Media zum Beispiel das passende Gesicht suchen, und alles, was dort über den User veröffentlicht oder hinterlegt wurde.
Einfach erklärt
In unserer Wiki werden schwierige Begriffe einfach erklärt. Dabei versuchen wir unnötiges, technisches Vokabular zu vermeiden und die Zusammenhänge so zu erklären, dass sie auch verstehen kann, wer die grundlegenden technischen Zusammenhänge nicht kennt.
Diese Wiki richtet sich also nicht an Menschen, die ihrer technischen Kenntnisse vertiefen möchten, sondern dient lediglich dazu, grundlegende Zusammenhänge möglichst einfach zu beschreiben.
Was hat es mit den Hintertüren auf sich?
Immer wieder wollen Regierungen Gesetze erlassen, die Anbieter von Messengern verpflichten sogenannten Hintertüren für Ermittlungsbehörden in die Messenger zu bauen. Dies würde bedeuten die End-zu-End Verschlüsselung komplett abzuschaffen und durch einfache Verschlüsselung zu ersetzen, oder jeder Anbieter müsste so etwas wie einen Generalschlüssel für seine Verschlüsselungstechnik entwickeln. Damit wäre die End-zu-End-Verschlüsselung faktisch abgeschafft oder wertlos.
Auch jetzt könnten Behörden trotzdem an die Daten gelangen, in dem sie das Passwort erbeuten oder das Gerät der Zielperson überwachen. Das ist allerdings mit einem erheblich größeren Aufwand verbunden.