Verschlüsselung hat schon seit vielen Jahren Einzug in das Leben vieler Menschen im digitalen Bereich gehalten. Ob E-Mail Verschlüsselung wie PGP oder S/MIME, Ende-zu-Ende Verschlüsselung bei WhatsApp oder auch die Übertragungsverschlüsselung mit SSL / TLS.
Man hat sich geeinigt, dass Verschlüsselung wichtig ist. Das Resultat ist, dass heutzutage eigentlich jede Webseite über eine SSL / TLS Verbindung verfügt und auch, dass die meisten Messenger die man im Alltag benutzt, Ende-zu-Ende Verschlüsslung (E2EE) haben.
Und auch im Bereich der Hinweisgebersysteme ist Verschlüsselung ein essentieller Bestandteil. Schließlich haben wir es hier mit sehr sensiblen Daten zu tun die schützenswert sind.
Umso erschreckender ist, dass oftmals mit Ende-zu-Ende Verschlüsselung geworben wird, die dann aber nicht geliefert wird. Besonders als Fachfremder, kann man das nicht direkt erkennen.
SSL ist nicht E2EE
Häufig wird mit Verschlüsselung oder sogar mit Ende-zu-Ende Verschlüsselung geworben, wenn man dann aber genauer hinschaut, verbirgt sich lediglich SSL / TLS dahinter. Aber ist SSL gleich Ende-zu-Ende Verschlüsselung? Fragen wir doch mal ChatGPT:
Hier hat ChatGPT ausnahmsweise mal recht.
SSL (Secure Sockets Layer) und TLS (Transport Layer Security) hat etwas mit Verschlüsselung zu tun. Es geht um die sichere Datenübertragung im Internet. Erkennen kann man das relativ einfach. Jeder der eine Webseite besucht kann das direkt sehen.
Wenn eine Webseite nur über `http://` erreichbar ist, ist die Verbindung unverschlüsselt. Wenn man die Seite über `https://` besucht, ist die Verbindung verschlüsselt. Heutzutage bietet eigentlich jede seriöse Webseite SSL an!
Doch wir kommen schon an die Crux der Sache. Die Verschlüsselung bezieht sich nur auf die Verbindung. Um genauer zu sein auf die Verbindung zwischen dem Browser des Benutzers und dem Server, der die Anfrage annimmt.
Was mit den Daten (at rest) auf dem Server passiert, weiß man nicht. Diese sind unverschlüsselt und werden auch unverschlüsselt gespeichert. Einzig das Vertrauen in den Dienstleister, dass er seinen Job gut macht und kein Datenleck hat, ist was einem bleibt.
Ganz ohne SSL, wäre es als ob man eine Postkarte verschickt. Man schreibt seine Nachricht ganz öffentlich auf die Postkarte und verschickt sie und jeder der die Karte sieht, kann lesen was darauf steht.
Mit SSL ist es so als ob man einen Brief verschickt. Die Nachricht selbst ist lesbar. Für den Versand, verpacken wir die Nachricht aber in einen Briefumschlag. Während des Versandes, kann jetzt keiner mehr den Brief lesen. Erst wenn er angekommen ist, wird er geöffnet. Doch nun, kann ihn jeder Lesen. Besonders, wenn er an das schwarze Brett geheftet wird und jeder der vorbei geht, ihn lesen kann. (Hallo Datenleck!).
Bei einer echten Ende-zu-Ende Verschlüsselung, wird jedoch die Nachricht Verschlüsselt. Nicht nur der Transportweg. Die Nachricht wird nur lesbar für den Empfänger. Und könnte theoretisch auch öffentlich gezeigt werden, da niemand außer dem Empfänger diese lesen könnte.
Das ist ein wichtiger Punkt, da auch der Dienstleister diese Nachricht nicht lesen kann. Und man auch bei einem Datenleck geschützt ist, da die Nachricht verschlüsselt gespeichert wird.
Deswegen ist es faktisch falsch, von Ende-zu-Ende Verschlüsselung zu reden und dann SSL/TLS zu meinen. Man sollte also wenn man von Verschlüsselung hört, ganz genau hinschauen.