Andrés fragt nur nach dem Wetter
Andrés ist Venezolaner. Er arbeitet seit Jahren in einem Obstladen im Viertel. Eines Tages fragte ich ihn, wie es seiner Familie dort gehe, in den schlimmsten Zeiten des Regimes.
„In meinem Land ist das Wetter immer gut“, sagte er mir.
Ich verstand nicht. Ich hakte nach. Und dann erklärte er es mir: „Ich kann mit meiner Familie nur über WhatsApp sprechen, weil Anrufe nicht gut funktionieren. Aber man muss sehr vorsichtig sein mit dem, was man schreibt. Wir wissen nicht, ob jemand die Gespräche mitlesen kann. Was wir aber wissen, ist, dass sie jederzeit jeden verhaften können, und das Erste, was sie tun, ist, das Telefon zu durchsuchen. Wenn du die PIN nicht nennst, gibt es Schläge und eine Zelle, bis du es tust. Und wenn sie bei WhatsApp etwas finden, das ihnen nicht gefällt, ist es im Glücksfall eine Tracht Prügel und ein paar Tage im Kerker. Im Unglücksfall verschwindet diese Person.“
„Deshalb frage ich sie im Grunde genommen nur, wie das Wetter ist, wenn ich mit ihnen spreche. Wenn sie antworten, weiß ich zumindest, dass sie noch am Leben sind.“
Andrés ist kein Krimineller. Er hat nichts zu verbergen. Aber er lebt in einer Welt, in der ein geschriebener Satz in einem Chat das Leben eines geliebten Menschen zerstören kann.
Man muss kein Krimineller sein, um Privatsphäre zu brauchen
Denken Sie an einen Anwalt, der mit seinem Mandanten über eine Verteidigungsstrategie spricht. Das Gespräch ist legitim und legal, enthält jedoch Informationen, die aus dem Zusammenhang gerissen verheerend sein könnten. Dieser Anwalt ist beruflich und gesetzlich verpflichtet, dieses Gespräch vertraulich zu behandeln.
Denken Sie an ein junges Paar. Sie lebt bei ihren Eltern. Sie führen intime Gespräche, völlig legitim, die aber zu ihrer privatesten Sphäre gehören. Sie haben das Recht, dass diese Worte auf keinem Server existieren, der gehackt, verkauft oder gerichtlich angefordert werden könnte.
Oder denken Sie an einen Freiberufler, der mit seinem Berater darüber spricht, wie er seine Steuern optimieren kann. Ob er sich dabei am Rande der Legalität bewegt oder nicht, ist seine Sache. Wenn sie in einem Büro säßen, würde niemand dieses Gespräch mithören. Warum sollte das anders sein, wenn sie digital kommunizieren?
Oder denken Sie an einen Journalisten im Iran, während um ihn herum Raketen einschlagen, der versucht, seine Redaktion in Paris zu erreichen. Oder an einen Einwanderer in Madrid, der mit seinen Eltern in der Heimat spricht.
All diese Menschen brauchen Privatsphäre. Keiner von ihnen ist ein Krimineller.
Die Falle der perfekten Verschlüsselung
Im Jahr 2018 gründete das FBI ein Unternehmen, das verschlüsselte Mobiltelefone verkaufte. Die Marke hieß Anom. Sie wurde als die sicherste Alternative auf dem Markt vermarktet. Über drei Jahre hinweg wurden mehr als 12.000 Geräte in über 100 Ländern verteilt. Die Nutzer kommunizierten in vollem Vertrauen.
Was sie nicht wussten: Jede Nachricht landete auch auf den Servern des FBI. Jedes Wort. Jedes Foto. Jeder Plan.
Im Juni 2021 wurde die Operation Trojan Shield öffentlich. Mehr als 800 Festnahmen in 16 Ländern. Es war die größte koordinierte Polizeiaktion der Geschichte.
Es war kein technischer Fehler. Die Verschlüsselung war echt. Die Technologie funktionierte. Das Problem war, wer dahintersteckte und was er damit bezweckte.
Dies ist kein Einzelfall. Über 50 Jahre lang verkaufte das Schweizer Unternehmen Crypto AG Verschlüsselungsgeräte an mehr als 120 Regierungen. Erst 2020 wurde bekannt, dass die Crypto AG im geheimen Besitz der CIA und des deutschen Geheimdienstes war. Die Maschinen funktionierten, hatten jedoch eine absichtliche Schwachstelle, die es ihren wahren Eigentümern ermöglichte, alles mitzulesen.
Iran, Indien, Pakistan, der Vatikan, lateinamerikanische Militärjuntas – sie alle vertrauten darauf. Keiner fragte sich, warum jemand so großes Interesse daran hatte, ihnen billige Verschlüsselung zu verkaufen.
Die Frage, die Sie sich immer stellen sollten
Wenn Ihnen jemand etwas anbietet und Sie nicht verstehen, was er im Gegenzug davon hat, seien Sie misstrauisch. Nicht weil jeder schlechte Absichten hat – sondern weil das Verständnis des Geschäftsmodells der einfachste Weg ist, um zu beurteilen, ob Sie einem Dienst vertrauen können.
Wenn Sie WhatsApp nutzen, wissen Sie, was Meta gewinnt: Ihre Daten, Ihre Gewohnheiten, Ihre Aufmerksamkeit, um Werbung zu verkaufen. Sie können damit einverstanden sein oder nicht, aber zumindest verstehen Sie das Tauschgeschäft.
Aber wenn Ihnen jemand einen verschlüsselten Kommunikationsdienst anbietet, völlig kostenlos, ohne Werbung, ohne Abonnement und ohne erkennbares Geschäftsmodell – dann ist die Frage nicht, ob die Verschlüsselung gut ist. Die Frage ist: Wer finanziert das und warum?
Was wirklich zählt
Es gibt Anzeichen, die bei der Bewertung eines Datenschutz-Tools helfen: Open Source, Sicherheitsaudits, europäischer Gerichtsstand. All das ist positiv, aber nichts davon ist eine absolute Garantie.
Open Source bedeutet, dass jemand überprüfen kann, was die Anwendung tut. Aber seien wir ehrlich: 99,9 % der Nutzer werden niemals eine Zeile Code lesen. Und die Geschichte ist voll von schwerwiegenden Sicherheitslücken, die jahrezehntelang in Open-Source-Projekten überlebten, obwohl sie von Tausenden von Menschen eingesehen werden konnten.
Sicherheitsaudits sind wertvoll. Aber Audits werden mit Geld bezahlt, und Geld ist das einfachste Mittel, um Einfluss zu kaufen. Ein Audit besagt nur, dass der Code am Tag der Überprüfung sauber war. Er sagt nichts darüber aus, was danach geändert wurde.
Sie können den besten Code der Welt haben, geprüft und offen – aber wenn Ihre Daten über einen Server laufen, auch nur für eine Sekunde, auch wenn sie verschlüsselt sind, hat jemand physischen Zugriff auf diesen Server. Und dieser Jemand kann sich in einem Land befinden, in dem ein Richter, eine Regierung oder viel Geld jede Tür öffnen können.
Was Sie wirklich schützt, ist nicht das Versprechen „Wir lesen Ihre Daten nicht“. Was Sie schützt, ist eine Architektur, in der Ihre Daten niemals Ihre Hände verlassen. Wo es keinen Server gibt, der kompromittiert werden kann, kein Backup, das geleakt werden kann, und keine Hintertür, die geöffnet werden kann.
Vertrauen wird nicht verschenkt
Die Anom-Nutzer vertrauten dem Produkt, weil es funktionierte. Die Kunden der Crypto AG vertrauten der Marke, weil sie seriös war. Andrés vertraut WhatsApp nicht, hat aber keine Alternative.
Das Vertrauen in ein Datenschutz-Tool kann nicht darauf basieren, dass es „gut funktioniert“. Es muss darauf basieren, dass Sie verstehen, wer dahintersteht, was derjenige gewinnt und was mit Ihren Daten passiert, wenn dieses Unternehmen morgen schließt, den Besitzer wechselt oder eine gerichtliche Anordnung aus einem fremden Land erhält.
Wenn Ihnen das nächste Mal jemand eine sichere Messaging-App empfiehlt, schauen Sie nicht zuerst auf die Funktionen oder das Design. Schauen Sie, wer dafür bezahlt. Wenn Sie die Antwort nicht überzeugt, suchen Sie sich eine andere.