Kollateralschäden von verdeckten Ermittlungen: Die Risiken von Closed-Source-Software
Nur quelloffene Software kann wirklich sicher sein.
Exclu, An0m, EncroChat
In den letzten Jahren haben Strafverfolgungsbehörden verschlüsselte Closed-Source-Messaging-Apps und andere vermeintlich sichere Kommunikationstools genutzt, um Informationen zu sammeln und Fälle gegen Kriminelle aufzubauen. Diese Operationen waren zwar erfolgreich, wenn es darum ging, Kriminelle vor Gericht zu bringen, sie haben aber auch die Risiken der Verwendung von Closed-Source-Software aufgezeigt.
Das jüngste Beispiel ist der Fall von Exclu. Die verschlüsselte Closed-Source-App wurde im Februar von der Polizei abgeschaltet, und ihre Gründer wurden aufgrund krimineller Anschuldigungen verhaftet. Wie Gizmodo berichtet, konnte die Polizei in die App eindringen und “verschlüsselte Nachrichten lesen, die zu zwei großen Drogenlabors voller Kokain, Bargeld und Waffen führten”.
Dies ist kein Einzelfall. Bei AN0M handelte es sich um eine verschlüsselte Messaging-App, die vom FBI im Geheimen entwickelt und auf speziellen “sicheren” Geräten verteilt wurde, so dass die Strafverfolgungsbehörden weltweit die Kommunikation der Nutzer überwachen konnten. Nach der Verarbeitung der reichhaltigen Daten, die ihnen frei zur Verfügung g estellt wurden, vollstreckten diese Behörden am 8. Juni 2021 Durchsuchungsbefehle auf der ganzen Welt, und 800 Nutzer wurden aufgrund einer Vielzahl von Anklagen verhaftet.
Ein weiterer bemerkenswerter Fall einer ähnlichen Aufhebung der Plattform war der von EncroChat im Juli 2022, als mehrere europäische Polizeibehörden zusammenarbeiteten, um den Dienst aufzulösen und die beschlagnahmten Daten zu verwenden, um 900 mutmaßliche Kriminelle unter den über 60 000 Nutzern der Plattform weltweit zu identifizieren.
Closed source birgt Risiken
Wie ein roter Faden zieht sich das Thema durch die Geschichte: Zehntausende unschuldiger Menschen, darunter Ärzte, Anwälte und Buchhalter, die sich auf diese Dienste verlassen, um ihre sensiblen Daten (oder die ihrer Kunden oder Patienten) zu schützen, geraten mit ihren privaten Informationen in die riesigen Schleppnetze der kriminalpolizeilichen Ermittlungen und werden untersucht, bevor sie von den Behörden freigegeben werden.
Closed-Source-Software birgt ein großes Risiko für gesetzestreue Bürger, dass ihre sensiblen Daten bei strafrechtlichen Ermittlungen aufgedeckt werden.
Ende-zu-Ende-verschlüsselten Tools kann nur vertraut werden, wenn sie Teil von Open-Source-Projekten sind.
In der Exclu-Aktion erklärten die niederländischen Behörden, dass sich rechtmäßige Nutzer der Plattform, die sich auf ein gesetzliches Privileg berufen können (z. B. Anwälte, Notare, Ärzte oder Geistliche), an die Polizei wenden können, um ihre Daten löschen zu lassen, nachdem sie überprüft haben, dass sie keine illegalen Inhalte enthalten.
Noch beunruhigender ist die Tatsache, dass Gesetzgeber auf der ganzen Welt kriminelle Ermittlungserfolge wie Exclu, An0m und EncroChat nutzen, um Befürchtungen zu schüren, dass der einzige Zweck von Ende-zu-Ende-verschlüsselter Kommunikation im Allgemeinen darin besteht, Kriminelle in die Lage zu versetzen, Gesetze zu brechen und ihre Wählerschaft davon zu überzeugen, Hintertüren durchzusetzen, die die Sicherheit der Ende-zu-Ende-Verschlüsselung untergraben würden.
Letztlich zeigen all diese Fälle die Risiken der Verwendung von Closed-Source-Software auf, selbst wenn diese vorgibt, sicher und verschlüsselt zu sein. Closed-Source-Software kann von Behörden für ihre eigenen Zwecke manipuliert werden, auch wenn sie vorgeben, nur Kriminelle im Visier zu haben.
Die Zerschlagung organisierter Verbrecherringe ist großartig, aber dabei sollten die Polizeikräfte nicht Zehntausende von Menschen ausspionieren, die keine Straftaten begangen haben und von denen einige mit sensiblen Daten zu tun haben, die geschützt werden müssen.
Fazit
Die Risiken von Closed-Source-Software liegen auf der Hand: Die Strafverfolgungsbehörden sind bereit, die Privatsphäre gesetzestreuer Menschen zu opfern, um Kriminelle zu fangen, und Closed-Source-Software macht dies nur allzu leicht.
Eine Lösung für dieses Problem ist die Verwendung von verschlüsselten Open-Source-E-Mail-Diensten wie Tutanota. Open-Source-Software erlaubt es jedem, den Code zu überprüfen und sicherzustellen, dass er sicher ist, ohne Hintertüren zur Überwachung der Nutzer, und dass die Öffentlichkeit sofort erfährt, wenn Strafverfolgungsbehörden oder bösgläubige Akteure versuchen, die Software für ihre eigenen Zwecke zu manipulieren.
Durch die Verwendung von verschlüsselten Open-Source-E-Mail-Diensten wie Tutanota können die Nutzer ihre Privatsphäre schützen und sicherstellen, dass ihre sensiblen Daten sicher bleiben. Egal, ob Sie eine Privatperson oder ein Unternehmen sind, es ist wichtig, den besten E-Mail-Dienst zu wählen, der Ihre Bedürfnisse erfüllt und gleichzeitig Ihre Privatsphäre schützt.