Verschlüsselung ist nicht gleich Verschlüsselung

Sicherheitsmerkmale der Verschlüsselung

Wenn man über die Verwendung eines Cloud-Dienstes nachdenkt, so zwingt sich die Frage nach der Langfristigkeit der Lösung auf. Möchte man beispielsweise dauerhaft einen Online-Speicher als sichere Remote-Backup-Lösung verwenden, so muss die Verschlüsselungslösung ebenfalls langfristig funktionieren. Zieht man für die Realisierung der Verschlüsselung ebenfalls einen Cloud-basierten Dienst heran, so darf die langfristige Verfügbarkeit der Entschlüsselung des Backups nicht allein von der Existenz oder Verfügbarkeit dieses Dienstes abhängen. Dem schließt sich die Frage nach der Zahlungsbereitschaft für einen solchen Dienst an, da Kosten und Preise über die Jahre angepasst werden können.

Auf der anderen Seite stehen Überlegungen über die Kontrolle und die Sicherheitsmerkmale der Verschlüsselungslösung. Hier muss die Frage beantwortet werden, vor wem man seine Daten eigentlich schützen möchte. Geht es um private Daten, Angst von Industriespionage oder gar Geheimdiensten? Vielleicht möchte man auch als Privatanwender seine Daten vor staatlichen Institutionen geschützt wissen.

Datenverluste aufgrund von Unachtsamkeit, Sicherheitslücken seitens des Dienste-Anbieters und Hacker-Attacken sind weitere Befürchtungen. Daneben steht das Vertrauen in den Diensteanbieter selbst. Die Gegenwehr von Google oder Apple gegen die zunehmenden Forderungen amerikanischer Strafverfolgungsbehörden nach dem Datenzugriff auf Nutzer-Accounts wurde auch zuletzt wieder öffentlich diskutiert. Unter welchen Umständen werden meine Daten ausgelesen, wer kontrolliert dies, werde ich darüber informiert?

Bei echter Ende-zu-Ende-Verschlüsselung der Klasse 1 nach obiger Definition hat man die vollständige Kontrolle über die Verschlüsselung in eigener Hand. Selbst der Diensteanbieter kann auf Verlangen von Behörden die Daten nicht wiederherstellen, da sie verschlüsselt "abgeliefert" werden. Natürlich ist der Realisierungsaufwand entsprechend höher. Man muss Zusatzsoftware installieren und benötigt eine Schlüsselverwaltung über alle gewünschten Geräte hinweg.

Zur Unterscheidung beziehungsweise Einordnung in die beiden zuvor definierten Klassen gibt es eine einfache Faustregel: Jede Applikation, die mit einem vergleichbaren Slogan wie "Verschlüsselung ohne Installation" wirbt, also ausschließlich webbasiert arbeitet, ist keine echte Ende-zu-Ende-Verschlüsselung, sondern fällt in Klasse 2.