Die Ende-zu-Ende-Verschlüsselung hat einen ziemlich guten Ruf. Ihr wird eine besonders hohe Sicherheit nachgesagt, weshalb sie auch vielfach zum Einsatz kommt. Aber kann die End-to-End-Verschlüsselung ihren guten Ruf auch wirklich erfüllen?
Wir erklären, wie die Ende-zu-Ende-Verschlüsselung funktioniert und ob sie tatsächlich so sicher ist.
Wenn Daten auf Reisen gehen
Die geschäftliche Kommunikation läuft heutzutage vorwiegend über digitale Kanäle. Telefonate laufen über das Smartphone oder die IP-Telefonanlage, die Videokonferenz findet über Microsoft Teams, Zoom und Co. statt, die Übermittlung von Nachrichten übernehmen Chat-Apps und E-Mails wandern in der Geschäftswelt munter hin und her.
Wie selbstverständlich gehen alle beteiligten Parteien davon aus, dass die von ihnen übermittelten Daten ausschließlich bei den in die Kommunikation involvierten Personen ankommen. Prinzipiell ist das auch so: Beim Absender werden die Datenpakete über das Transmission Control Protocol (TCP) zunächst zerlegt und erst beim Empfänger wieder zusammengesetzt, wobei dieser durch das Internet Protocol (IP) identifiziert wird. Aber: Nicht immer werden die Daten auf dem Weg von A nach B besonders abgesichert.
Und genau hier hat die Ende-zu-Ende-Verschlüsselung ihren Auftritt. Aber was ist die Ende-zu-Ende-Verschlüsselung genau? Wie funktioniert die End-to-End-Verschlüsselung? Und ist sie wirklich so sicher, wie es gemeinhin angenommen wird?
Videokonferenzen sind mit Ende-zu-Ende-Verschlüsselung sicher – auch im Unterricht. Bild: Unsplash/Surface
Was ist Ende-zu-Ende-Verschlüsselung?
Ende-zu-Ende-Verschlüsselung (englisch: End-to-End-Encryption/E2EE) dient dem sicheren Informationsaustausch zwischen zwei oder mehreren Kommunikationspartnern. Dazu werden sämtliche zu übertragende Daten beim Sender verschlüsselt und erst beim vorgesehenen Empfänger wieder entschlüsselt. Auf dem Übertragungsweg von A nach B liegen die Daten ausschließlich in ihrer verschlüsselten Form vor.
Das bedeutet, dass beispielsweise Serviceprovider, auf deren Servern die Daten während der Übertragung gegebenenfalls zwischengespeichert werden, nicht auf die Daten zugreifen können. Sie wissen lediglich, wohin die verschlüsselten Informationen gehen sollen, damit sie die Weiterleitung dorthin entsprechend durchführen können. Auch unbefugte Dritte, die Daten auf dem Transportweg abgreifen wollen, haben durch E2EE keine Möglichkeit dazu.
Verschiedene kryptographische Verfahren bilden dafür die Grundlage. In den meisten Fällen erfolgt die End-to-End-Encryption über die symmetrische Verschlüsselung und die asymmetrische Verschlüsselung über einen Public Key und einen Private Key.
Wie funktioniert die Ende-zu-Ende-Verschlüsselung?
Bei der symmetrischen Verschlüsselung vereinbaren die Kommunikationspartner einen geheimen Schlüssel und tauschen diesen aus. Der Sender verschlüsselt die Daten mit Hilfe dieses Schlüssels, der Empfänger entschlüsselt sie später mit demselben Schlüssel. Das Problem: Gelingt es Unbefugten, diesen eigentlich geheimen Schlüssel abzugreifen, können auch sie damit die Daten entschlüsseln.
Sicherer ist daher die asymmetrische Verschlüsselung, die auf einen öffentlichen Schlüssel (Public Key) und einen privaten Schlüssel (Private Key) zurückgreift. Wenn Kommunikationspartner A Daten an Kommunikationspartner B versenden will, ruft die Anwendung, die er dafür verwendet, den Public Key von Kommunikationspartner B ab und verschlüsselt die Daten beim Absenden damit. Einzig und allein Kommunikationspartner B kann die Daten anschließend mit seinem zugehörigen Private Key entschlüsseln.
Der Vorteil ist, dass die privaten Schlüssel dabei ausschließlich lokal auf dem jeweiligen Gerät gespeichert sind und nicht versendet werden – und dadurch auch nicht abgegriffen werden können. Gut zu wissen: Nutzer bekommen von diesem im Hintergrund laufenden Prozess, der über die Public-Key-Infrastruktur (PKI), Zertifizierungsstellen und digitale Zertifikate sichergestellt wird, in der Regel nichts mit.
Viele Smartphone-Apps arbeiten mit Ende-zu-Ende-Verschlüsselung. Bild: Unsplash/LinkedIn Sales Solutions
End-to-End-Verschlüsselung: Anwendung
Die Ende-zu-Ende-Verschlüsselung findet sehr häufig Verwendung, wenn es in irgendeiner Form zu einer Übermittlung von Daten über das Internet kommt. So bieten zum Beispiel fast alle gängigen E-Mail-Programme inzwischen die Möglichkeit der Ende-zu-Ende-Verschlüsselung. Genauso sieht es beim überwiegenden Teil der Chat-Anwendungen aus – darunter WhatsApp, Threema oder Telegram. Allerdings sind diese nur bedingt für die geschäftliche Kommunikation nutzbar.
Bei einigen Videokonferenz-Lösungen verhält es sich inzwischen genauso. Allerdings kritisieren Datenschützer, dass die Verschlüsselung häufig nur vom Endgerät auf die Server des jeweiligen Lösungsanbieters funktioniert. Die Anbieter – genannt sind Zoom, GoToMeeting und Google Meet – selbst hätten demnach Zugriff auf die Kommunikation. Microsoft ist erst seit Juli 2021 dabei, eine Ende-zu-Ende-Verschlüsselung in Teams einzuführen. Eine Vorreiterrolle in Sachen korrekter E2EE scheint WebEx von Cisco zu haben.
Beim Surfen im Internet sorgt in der Regel HTTPS (Hypertext Transfer Protocol Secure) dafür, dass die Übertragung von Daten zwischen dem Server des Seitenanbieters und dem Endgerät des Nutzers Ende-zu-Ende verschlüsselt ist.
Ist die Ende-zu-Ende-Verschlüsselung sicher?
Ist die Ende-zu-Ende-Verschlüsselung richtig umgesetzt, ist der Inhalt der übermittelten Daten grundsätzlich sicher. Aber: Metadaten lassen sich teilweise dennoch sammeln. Und was sind Metadaten? Sie verraten zum Beispiel, wer an einer Kommunikation beteiligt ist, wann die Daten versendet und empfangen wurden oder von welchem Ort sie verschickt wurden. Dateigröße, Dateiformat, Dateiname, Erstellungsdatum und Änderungsdatum gehören ebenfalls zu den Metadaten. All diese Informationen gebündelt, können schon schon recht viel verraten.
Und dann besteht immer noch die Gefahr, dass Cyberkriminelle Sicherheitslücken in den verwendeten Programmen ausnutzen oder dass sie Systeme hacken und private Schlüssel stehlen. Damit das nicht passiert, sollten Betriebssystem und Anwendungen immer auf dem aktuellen Stand und direkt mit neuen (Sicherheits-)Updates versorgt sein. Zusätzlich sollten umfassende Maßnahmen zum Schutz vor solchen Attacken implementiert sein – beispielsweise durch Antivirus-Management und Firewall-Management.
Neben Cyberkriminellen gibt es aber noch eine weitere Gruppe, die Datenübertragungen auslesen könnten. Die Rede ist von Ermittlungsbehörden.
Mehr Sicherheit durch sichere Smartphone-Apps. Bild: Unsplash/Christina @ wocintechchat.com
E2EE schützt nicht vor Ermittlungsbehörden
Ermittlungsbehörden dürfen die Ende-zu-Ende-Verschlüsselung knacken, wenn sie zu Terrorismus, Mord, Kinderpornographie oder schweren Drogendelikten ermitteln. Die Rede ist hier häufig vom Einsatz eines Staatstrojaners. Allerdings muss eine solche Maßnahme gerichtlich angeordnet werden.
Das Problem: Telekommunikations- und Lösungsanbieter müssen dafür Sicherheitslücken bewusst offen lassen, durch die die Ermittler ihr Überwachungsprogramm aufspielen können – und diese Sicherheitslücken könnten auch Cyberkriminelle aufspüren und ausnutzen. Und noch ein weiteres Problem: Die Ermittler können die laufende Kommunikation nicht nach für sie relevanten Inhalten filtern, sondern lesen alles mit.
Fakt ist, dass eine solche Überwachung einen Angriff auf Vertraulichkeit und Privatsphäre bedeutet. Und auch Unternehmen könnten unter Umständen von so einem Angriff betroffen sein.
IT-Sicherheit richtig umsetzen – IT-Fachleute helfen
Als Fazit nehmen wir mit: 1. ist zu prüfen, ob Lösungsanbieter die Ende-zu-Ende-Verschlüsselung korrekt durchführen und ob sie manuell zu aktivieren ist; 2. ist die End-to-End-Verschlüsselung nur dann wirklich sicher, wenn Cyberkriminelle nicht ins System eindringen und dort Kommunikation mitlesen oder private Schlüssel abgreifen können.
Sowohl bei Punkt 1 als auch Punkt 2 können Ihnen die Systemhäuser aus dem IT-SERVICE.NETWORK helfen. Unsere IT-Fachleute finden für Sie heraus, ob eine für Ihr Unternehmen oder Ihre Einrichtung in Frage kommende Software die E2EE korrekt nutzt und übernehmen auf Wunsch auch die Beschaffung, Implementierung und Konfiguration – falls eine manuelle Aktivierung nötig ist, wird dies dabei direkt erledigt.
Und auch davor, dass Cyberkriminelle das Gerät eines Mitarbeiters oder sogar das Unternehmensnetzwerk infiltrieren, können Sie unsere IT-Fachleute schützen. Mit einem umfassenden Sicherheitskonzept und effektiven Sicherheitsservices sind Ihre Schotten dicht!
Weiterführende Links:
SECURITY INSIDER, heise, datenschutz-notizen, MOBILSICHER, golem, Tagesschau, golem
Geschrieben von
Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung