Warum die Interoperabilitätsanforderung der EU die Verschlüsselungssicherheit gefährdet

Ein neues Gesetz in der Europäischen Union würde Big-Tech-Unternehmen dazu verpflichten, ihre Messaging-Apps so umzugestalten, dass sie nahtlos mit allen anderen auf dem Markt zusammenarbeiten.

Theoretisch wird es das Gesetz einfacher machen, mit Ihren Freunden und Ihrer Familie zu chatten, egal ob sie iMessage, WhatsApp oder Signal verwenden. Diese erzwungene Interoperabilität im Netzwerk kann jedoch erhebliche Sicherheitsprobleme verursachen.

Was ist Verschlüsselung im Messaging und warum ist sie wichtig?

Die meisten Nachrichten, die Sie mit einer Messaging-App senden, sind unverschlüsselt. Das bedeutet, dass Dritte sie lesen können, wenn sie zwischen Ihrem Telefon und der Person, an die Sie schreiben, übertragen werden.

Wenn Sie den Inhalt Ihrer Nachrichten geheim halten möchten, müssen Sie eine App verwenden, die eine Ende-zu-Ende- (oder E2E-) Verschlüsselung bietet. Dadurch entsteht eine Art sichere Kommunikation, die gewährleistet nur Sie und Ihre Gesprächspartner können lesen, was Sie sich gegenseitig schicken.

Die Ende-zu-Ende-Verschlüsselung stellt sicher, dass alle Nachrichten, die Sie und Ihr Gesprächspartner senden, während der Übertragung zwischen Ihren Telefonen sicher bleiben und sie vor dem Lesen oder Verändern durch Dritte schützen. Zu diesen Drittanbietern gehören Internetdienstanbieter, Telefongesellschaften und sogar die Messaging-App selbst.

Daher kann das Entwicklungsteam der App Ihre Nachrichten nicht an Werbetreibende, Strafverfolgungsbehörden oder andere Personen weitergeben, die sie möglicherweise lesen möchten. Diese Verschlüsselung verhindert auch, dass Dritte Nachrichten während der Übertragung ändern.

Die meisten großen Messaging-Apps bieten eine Art Verschlüsselung. Die angebotenen spezifischen Verschlüsselungsfunktionen können jedoch von App zu App variieren.

Wie das Digital Markets Act die Verschlüsselung gefährden könnte

Am 24. März 2022 gaben die Leitungsgremien der EU bekannt, dass sie eine Einigung über neue Gesetze zur Regelung von Big Tech in Europa erzielt haben. Es heißt die Gesetz über digitale Märkte (oder DMA). Eine der wichtigsten Änderungen des neuen Gesetzes ist die Anforderung, dass alle großen Technologieunternehmen Produkte entwickeln müssen, die mit kleineren Plattformen interoperabel sind.

Das bedeutet, dass alle Messaging-Apps von Big-Tech-Unternehmen in der Lage sein müssen, Nachrichten zu senden, Dateien auszutauschen und Videoanrufe mit allen anderen Messaging-Apps zu tätigen, was in vielerlei Hinsicht gut ist. Interoperabilität bedeutet, dass Big-Tech-Unternehmen wie Meta, Google und Apple bei der Entwicklung neuer Apps oder Plattformen kleinere berücksichtigen müssen.

2021, Meta erlebte einen globalen Ausfall als sein Border Gateway Protocol (BGP) einen Konfigurationsfehler aufwies und alle seine Assets für über 6 Stunden offline blieben. Wenn Unternehmen wie Meta Fehler machen, können Milliarden von Benutzern die Auswirkungen spüren.

Die Größe dieser Unternehmen kann sie jedoch vor den Folgen selbst schwerwiegender Fehltritte schützen. Interoperabilitätsanforderungen könnten Big Tech gegenüber Verbrauchern und der Tech-Welt insgesamt rechenschaftspflichtig machen.

Darüber hinaus kann die Interoperabilitätsanforderung des Digital Markets Act für Apps, die E2E-Verschlüsselung anbieten, Probleme aufwerfen.

Warum Interoperabilität die Implementierung von Verschlüsselung erschweren kann

Messaging-Apps implementieren die Verschlüsselung auf unterschiedliche Weise oder verwenden verschiedene Verschlüsselungsstandards. Leider ist es fast unmöglich, all diese Strategien zusammenzubringen.

App-Entwickler müssen Kompromisse eingehen, um die Interoperabilität zu gewährleisten. Es könnte ein Ansatz des „kleinsten gemeinsamen Nenners“ entstehen, bei dem Apps das einfachste Verschlüsselungssystem implementieren, das möglich ist. Stellen Sie sich zum Beispiel eine Messaging-App vor, die die Verschlüsselung für Gruppenchats unterstützt, eine andere jedoch nur für Einzelgespräche.

Vollständige Interoperabilität kann bedeuten, dass sich Entwickler dafür entscheiden, das einfachste System zu implementieren, das mit anderen Apps auf dem Markt funktioniert. Dies würde wahrscheinlich erfordern, dass sie auf komplexere Funktionen wie die Verschlüsselung von Gruppenchats verzichten.

In der Praxis könnte dies Benutzer viel anfälliger machen. Weniger ausgefeilte Verschlüsselungssysteme sind möglicherweise leichter zu umgehen oder bieten keinen vollständigen Schutz vor Schnüffeln Dritter.

App-Entwickler können auch neue Standards erstellen, die ihnen dies ermöglichen ihre Verschlüsselungspraktiken harmonisieren. Beispielsweise ist das Secure Communications Interoperability Protocol (SCIP) ein US-Standard für sichere Sprach- und Datenkommunikation. Ein ähnlicher Standard für die E2E-Messaging-Verschlüsselung könnte Entwicklern helfen, die Interoperabilität sicherzustellen, ohne die Funktionalität zu beeinträchtigen.

Einige beliebte Messaging-Apps—wie Signal– klein genug sind, dass DMA-Anforderungen sie nicht beeinträchtigen. Dies gilt jedoch nicht für Top-Plattformen wie WhatsApp, die das Signal-Protokoll für ihre Verschlüsselung verwenden. Der DMA könnte bedeuten, dass die Verschlüsselungsfunktionen von WhatsApp geschwächt oder ganz entfernt werden, was es für Benutzer schwieriger macht, ihre Kommunikation privat zu halten.

Interoperabilitätsanforderungen könnten die Verschlüsselung schwächen

Interoperabilitätsanforderungen, wie sie im neuen EU-Gesetz über digitale Märkte enthalten sind, haben Vorteile. Die Anforderung könnte Entwickler jedoch auch dazu ermutigen, die Verschlüsselungsfunktionen von Apps zu schwächen.

In Kürze müssen Benutzer möglicherweise zu Apps wechseln, die von Nicht-Big-Tech-Unternehmen entwickelt wurden, wenn sie die bestmögliche Verschlüsselungstechnologie wünschen.

Was bedeutet verschlüsselt und sind meine Daten sicher?

Lesen Sie weiter

Über den Autor