Der Kontrolle im Wege stehen: Eine Anmerkung von unserem CISO
Wenn Sie diesen Artikel lesen, dann benutzen Sie wahrscheinlich bereits eine App mit im Hintergrund summender Ende-zu-Ende-Verschlüsselung auf Ihrem Mobil- oder Desktop-Gerät. Verschlüsselung – in verschiedensten Gestalten und Formen – ist überall zu finden.
Die Messaging-App, die Sie benutzen, um mit Ihrem Partner zu vereinbaren, was Sie zum Abendessen kochen? Ende-zu-Ende-verschlüsselt. Die Videokonferenzplattform, über die Sie sich in Ihre vierteljährlichen Geschäftsentwicklungsberichte einwählen? Es mag nicht immer der Fall gewesen sein, aber heutzutage ist auch diese Ende-zu-Ende-verschlüsselt. Der Datenraum, in dem Sie die Notizen der Vorstandssitzungen speichern? Dieser ist womöglich noch nicht verschlüsselt, aber… sollte es unbedingt sein!
Ende-zu-Ende-verschlüsselte Services haben besonders im Jahr 2020 einen wichtigen Stellenwert erhalten, einem Jahr, in dem Geschäftsprozesse weltweit mit maßgeblichen Beeinträchtigungen zu kämpfen hatten. Dieser Umbruch diente als Vorwand für Regulierungsbehörden, um wieder auf das Thema der Untergrabung von Ende-zu-Ende-Verschlüsselung zurückzugreifen. Stellungnahmen seitens des US-Justizministeriumswurden verlautbart (und von weiteren Regierungen befürwortet), die einen Anspruch auf Zugang zu verschlüsselten Services über Hintertüren erhoben.
Hintertüren würden die Fähigkeit jeglicher Branchen personenbezogene Verbraucherdaten angemessen zu schützen ernsthaft beeinträchtigen. Dies würde Schwachstellen im gesamten Ecosystem verschlüsselter Apps und Plattformen eröffnen. Das Schließen dieser Lücken würde ein Sicherheitsproblem für alle Unternehmen und Dienstleister darstellen, die personenbezogene Informationen handhaben. Und… wenn dieses Szenario zur Realität würde, könnte dies das Vertrauen von Kunden sowie die Glaubwürdigkeit von Banken, Telekommunikationsanbietern und Regulierungsbehörden zutiefst erschüttern.
Großunternehmen haben weniger zu verlieren, wenn es um Ende-zu-Ende-Verschlüsselung geht (als Folgeerscheinung einer verzögerten Übernahme), was sie jedoch keineswegs weniger verwundbar macht. Unternehmen benötigen zentrale Kontrolle für den angemessenen Betrieb ihrer Systeme – Kontrolle, die generell vom firmeninternen Front-End-Admin ausgeübt wird. Zugang zu diesem Bereich ist fürjedengesperrt (nicht nur für Sicherheitsbehörden) – und zwar aus gutem Grund: Sollten viele Parteien an diesem Prozess beteiligt sein, ergibt sich eine Situation, in der sich inaktzeptable Schwachstellen ins einst intakte System einschleichen. Zu derartigen Szenarien können Hintertüren führen – und deswegen hat die Privatsphäre von Privatnutzern und Unternehmen eine besonders hohe Priorität für mich und unser Unternehmen.
Regelungen, wiewohl gutgemeint, können das vorliegende Problem nicht beseitigen. Mit diesen Umständen sollte das US-Justizministerium zumindest vertraut sein, aufgrund des jüngsten Versagens der Regierung die Drogenprohibition, den "Kampf gegen Drogen" ("War on Drugs"), effektiv zu behandeln – eine Situation, in denen übereifrige Regulierungen in keinster Weise die Nachfrage für kontrollierte Substanzen und deren Verfügbarkeit addressierten.
Und das ist genau der Punkt, bei dem das Argument für Hintertüren wirklich auf die Nase fällt: Die Regelung verschlüsselter Services wird einfach kein Hindernis für jemanden darstellen, der bereit ist einige Gesetze zu verbiegen, um die verbotenen Früchte in die Finger zu bekommen. Verstärkte Vorschriften werden nur den "Guten" schaden – Dienstleistern, wie zum Beispiel Tresorit, die Unternehmen bloß die Möglichkeit bieten möchten ihre Daten zentral (und sicher) zu handhaben, ohne sensible Informationen mit dem Cloudanbieter zu teilen.
Wir hoffen, dass Sicherheitsbehörden weltweit sich uns und allen anderen verschlüsselten Anbietern auf der richtigen Seite der Geschichte anschließen und verhindern, dass die "Bösen" den Kampf wieder gewinnen!
Als CISO ist Szilveszter für Tresorits technologische Weiterentwicklung verantwortlich und hilft unseren Teams dabei Herausforderungen in puncto Verschlüsselung, die andere Unternehmen nicht lösen können, zu bewältigen. Szilveszter ist für die zentrale Sicherheit von Tresorits Produkten sowie für die Verwaltung des internen Informationssicherheitsprogramms zuständig – und gewährleistet somit, dass wir mit den allerhöchsten Sicherheitsstandards konform sind. In seiner Freizeit geht er gerne schwimmen und löst informatische Algorithmenrätsel.