Mit Blick auf den jüngsten Cyber-Überwachungsskandal um die Software Pegasus erklärt ein Tech-CEO im Gespräch mit EURACTIV, dass Verschlüsselungstechnologien die Massenüberwachung praktisch unmöglich gemacht haben und daher um jeden Preis erhalten werden sollten. Er verweist auch auf die Datenerhebungspraktiken großer Firmen und Plattformen als eine Hauptgefahrenquelle in Sachen Privatsphäre.
Aus Sicht von Andy Yen, CEO des Mailing-Dienstes ProtonMail, haben die Pegasus-Vorwürfe gezeigt, wie wichtig es ist, verschlüsselte Nachrichten vollständig zu sichern. Er weist daher die Forderung einiger Politiker:innen in Europa und den Vereinigten Staaten zurück, mit Verweis auf die öffentliche Sicherheit „Ausnahmezugang“ zu Daten der Bürgerinnen und Bürger zu gewähren.
„Wenn es um Sicherheit und Datenschutz geht, ist es sehr wichtig, dass wir konsequent sehr hohe Standards einhalten und die Verschlüsselung nicht künstlich schwächen oder neue Hintertüren schaffen. Die Geschichte hat immer wieder gezeigt, dass, wenn man solche Schwachstellen schafft, die falschen Leute sie aus den falschen Motiven nutzen,“ so Yen im Gespräch mit EURACTIV.com.
Grundsätzlich sind Kommunikationsdienste mit Ende-zu-Ende-Verschlüsselung für Dritte nicht zugänglich, da die Nachricht nur vom Absender und vom Empfänger entschlüsselt werden kann. So macht es diese Technologie Dienstanbietern und Dritten unmöglich, auf den Inhalt der Kommunikation zuzugreifen. „Der beste Weg, Daten zu schützen, ist, sie gar nicht erst weitergeben zu können,“ fasst Yen zusammen.
Infolgedessen hat sich das „Kampfgebiet“ im Bereich Cybersicherheit von der (verschlüsselten) Kommunikation auf die Geräte an sich verlagert. Spyware wie Pegasus ist darauf ausgelegt, die Kontrolle über Mobiltelefone zu übernehmen – was es Hackern ermöglicht, auf die entschlüsselten Informationen an einem der beiden „Enden“ der Kommunikation zuzugreifen. „Vor zehn Jahren gab es noch gar keinen Bedarf an Programmen wie Pegasus, weil alle gewünschten Informationen ohnehin nicht verschlüsselt waren. Bestimmte Regierungen konnten große Technologieunternehmen zwingen, diese Daten einfach herauszugeben,“ erläutert Yen.
Aus Sicht des Tech-CEO zeigt der jüngste Hacker-Vorfall, dass Verschlüsselung kein Allheilmittel ist, sondern durch andere Sicherheitsmaßnahmen ergänzt werden muss. Dennoch merkt er an, dass Verschlüsselungstechnologien eine Massenüberwachung unmöglich gemacht haben: Geheimdienste und andere Stellen seien schlichtweg „nicht mehr in der Lage, dies bei Tausenden oder gar Millionen von Menschen zu tun“. Es handele sich daher aktuell meist „um sehr gezielte Angriffe“ gegen einzelne Personen oder Institutionen.
Dennoch müssten die Hersteller mehr tun, um sicherzustellen, dass die Geräte verstärkt unter dem Gesichtspunkt des Datenschutzes und der Sicherheit entwickelt werden, fordert Yen.
Ivan Krstić, Leiter für Sicherheitstechnik und -architektur bei Apple, betont seinerseits, dass „Angriffe wie die beschriebenen sehr ausgeklügelt sind, ihre Entwicklung Millionen von Dollar kostet, sie oft nur eine kurze Lebensdauer haben und auf bestimmte Personen abzielen“. Das bedeute zwar, dass sie keine Bedrohung für die große Mehrheit der Nutzer:innen darstellen; „aber wir arbeiten weiterhin unermüdlich daran, alle unsere Kunden immer und überall zu schützen“, räumt er ein.
Yen kritisiert mit Blick auf die Werbe- und Datennutzungsstrategien Apples dennoch: „Apples Definition von Privatsphäre lautet: Niemand hat Zugang zu Ihren Daten, außer uns. Ich würde argumentieren, dass die beste Definition von Privatsphäre lauten sollte: Niemand hat Zugang zu Ihren Daten, Punkt.“
Yen räumt weiter ein, dass die Cybersicherheit kontinuierlich laufende Investitionen erfordert, da sich die Bedrohungen beim „konstanten Wettrüsten“ ständig ändern und weiterentwickeln. Den Big-Tech-Firmen mangele es dabei aber nicht an den technischen Ressourcen für Investitionen in Datenschutz und Sicherheit, sondern an (finanziellen) Anreizen. „Wenn Ihr Geschäftsmodell auf dem Gewinnen und Sammeln von Daten und schließlich auf deren Nutzung beruht, müssen Sie Ihre Software nun einmal so gestalten, dass sie von Natur aus anfälliger ist,“ erklärt er.
Er verweist auf das immer wiederkehrende Argument von sozialen Netzwerken wie Facebook und LinkedIn, die Datenschutzverletzungen damit entschuldigen, dass die Daten auf der Plattform ohnehin bereits öffentlich zugänglich waren. „Dies sind Plattformen zur gemeinsamen Nutzung von Daten. Datenleaks sind also kein Fehler, sie sind ein grundlegendes Merkmal,“ fügt er hinzu.
Der CEO von ProtonMail räumt zwar ein, dass es per definitionem keine 100-prozentige Sicherheit geben könne, betont aber, dass viele Technologieunternehmen zusätzliche Schritt lieber nicht unternehmen, da ihr Fokus auf Werbung und Datenerfassung nicht selten im Widerspruch zu Datenschutz und Sicherheit stehen könne.
Er schließt: „Diese Unternehmen werden behaupten, dass sie Ihre Daten sammeln, aber gleichzeitig Ihre Privatsphäre und Sicherheit schützen. Es gibt dabei jedoch immer Abwägungen und Abstriche: Entscheidet man sich für den sichereren Ansatz oder wählt man den profitableren Ansatz mit Blick auf die Werbekunden? Ich würde behaupten, dass [die Social-Media-Plattformen] in den meisten Fällen wohl den Werbemöglichkeiten Vorrang vor den Bedürfnissen der tatsächlichen Nutzerinnen und Nutzer einräumen.“
[Bearbeitet von Zoran Radosavljevic]
