Tech-Giganten führen homomorphe Verschlüsselung ein. Neue Ära der Nutzer-Sicherheit oder wieder nur Schall und Rauch?

Alphabet, Facebook, Microsoft und IBM testen alle eine neue Verschlüsselungstechnologie. Verschlüsselung ist gleich Datenschutz, oder? Ironischerweise bedeutet diese Technologie für die Unternehmen noch mehr Zugriff auf Nutzerdaten und mehr Möglichkeiten, sie für die gezielte Werbung zu analysieren.

Was ist homomorphe Verschlüsselung?

Dabei handelt es sich um eine Art der Verschlüsselung, die es ermöglicht, Berechnungen mit verschlüsselten Daten durchzuführen, ohne sie vorher zu entschlüsseln. Die Ergebnisse der Berechnungen entsprechen denen, die mit nicht verschlüsselten Daten durchgeführt werden. Wir können zum Beispiel zwei verschlüsselte Zahlen addieren und dann die Summe entschlüsseln, ohne jemals zu wissen, um welche Zahlen es sich handelt.

Eine der Anwendungsperspektiven für diese Art der Verschlüsselung ist die Verarbeitung sensibler Informationen in Cloud-Diensten: Die verarbeiteten Daten werden dem Eigentümer der Cloud nicht offengelegt.

Einige der klassischen Verschlüsselungsmethoden unterstützten schon lange zuvor partiellen Homomorphismus und erlaubten es, einige Operationen mit verschlüsselten Daten durchzuführen. Im Jahr 2009 änderte sich einiges, als Craig Gentry das erste vollständig homomorphe Verschlüsselungsverfahren vorstellte. Ein Jahr später tauchten die ersten Implementierungen auf, die jedoch zu viele Rechenressourcen und zu viel Zeit verlangten, so dass sie damals nicht weit verbreitet waren.

Inzwischen haben sich die Technologien so weit entwickelt, dass es nun genügend Ressourcen gibt, und die Erforschung der homomorphen Verschlüsselung hat echt an Popularität gewonnen.

Diese Technologie wird in der Cloud-Datenverarbeitung eingesetzt, wenn Informationen den geschützten Perimeter (d. h. Ihren Computer oder Ihr Smartphone) verlassen und zur Verarbeitung an Cloud-Dienste gesendet werden. So können Sie beispielsweise Anfragen an die Google-Suchmaschine senden, die dann das Web durchsucht, ohne zu verstehen, was die Anfrage genau bedeutet. Oder es könnte ein E-Mail-Anbieter sein, der Spam-Nachrichten erkennt, ohne die E-Mails zu "lesen". Heute werden die Informationen in den meisten Fällen vor der Verarbeitung auf dem Server entschlüsselt, und das Ergebnis der Verarbeitung wird erneut verschlüsselt und dann an den Nutzer gesendet.

Heißt das, dass die homomorphe Verschlüsselung die Daten sicher vor dem Zugriff durch einen Cloud-Service-Betreiber schützt? Das wäre großartig, aber wir haben schlechte Nachrichten.

Echtes Interesse unter Tech-Giganten?

Facebook ist sehr an der homomorphen Verschlüsselung interessiert und erforscht das Potenzial, die Charakteristiken eines auf diese Weise verschlüsselten Textes zu erkennen, ohne ihn zu entschlüsseln. Ob Sie nun private Nachrichten austauschen, Finanzdokumente versenden oder über bestimmte Waren und Dienstleistungen diskutieren — Facebook möchte all das analysieren, ohne die Daten zu entschlüsseln und vollen Zugriff auf deren Inhalt zu bekommen.

Es wurde angedeutet, dass WhatsApp diese Technologie zu einem späteren Zeitpunkt einführen würde, aber dieser Plan rief großen Unmut unter den Nutzern hervor. Der CEO von WhatsApp musste prompt einen Rückzieher machen und das Interesse an der homomorphen Verschlüsselung dementieren. Dieses Dementi klang ziemlich komisch, wenn man bedenkt, dass Facebook (dem WhatsApp übrigens gehört) zu diesem Zeitpunkt das Interesse an dieser Technologie offiziell bestätigt hatte. Außerdem waren mehrere Stellangebote aufgetaucht: Facebook soll begonnen haben, ein Team von KI-Forschern aufzubauen, die sich mit homomorpher Verschlüsselung beschäftigen.

Eine Reihe anderer großer Technologieunternehmen erforscht derzeit die Anwendungen der homomorphen Verschlüsselung. Diese Technologie soll eine neue Ära der Ad-Tech (d. h. Werbetechnologien) einläuten und es den Marktführern ermöglichen, mehr Datenquellen über die Nutzer zu erschließen und noch tiefer in ihre Kommunikation einzudringen.

Homomorphe Verschlüsselung in Ad-Tech: Was kann falsch sein?

Es ist nicht schwierig zu verstehen, dass die homomorphe Verschlüsselung dafür eingesetzt wird, die Interessen und Neigungen der Nutzer zu erkennen und ihnen relevantere Werbung zu präsentieren. Und ja, es kann verschiedene Meinungen über die personalisierte Werbung geben: sie selbst ist nicht rechtswidrig. Und auf keinen Fall verstößt das Einsetzen von homomorpher Verschlüsselung gegen die Privatsphäre des Nutzers.

Doch dadurch würde die neue Methode den Unternehmen die Macht über sogar mehr Nutzer-Daten geben. Denn anstelle von einer Ende-zu-Ende-Verschlüsselung, wobei z.B. WhatsApp die Nachrichten überhaupt nicht analysieren kann, würde die KI von WhatsApp dank der homomorphen Verschlüsselung die Fähigkeit bekommen, zu verstehen, worüber Menschen sprechen, ohne die Nachrichten zu lesen.

Zugriff auf die Inhalte der Nutzer würden die Unternehmen natürlich immer noch nicht haben — daher würden sie immer noch nichts Rechtswidriges tun.

Was sie dabei tun könnten, ist klar. Nicht unbedingt die größten Unternehmen: wir wollen niemanden kompromettieren. Doch jemand, der solch einen Zurgriff auf Nutzer-Daten bekommt, bekommt auch die Möglichkeit, die Daten zu verkaufen oder für gezielte Werbung zu verwenden. Und es gibt auch Datenlecks und Störungen.

Und wenn Facebook und WhatsApp behaupten, dass sie mit der Einführung der homomorphen Verschlüsselung Ihre Nachrichten immer noch nicht lesen können, ist es nicht falsch. Es ist aber nicht etwas, worüber an erster Stelle gesprochen werden soll.

Unterm Strich ist die homomorphe Verschlüsselung also nur eine weitere Technologie, ein Instrument wie jedes andere, das sowohl für bösartige als auch für gutartige Zwecke eingesetzt werden kann — zum Beispiel, was die Cloud-Technologien angeht. Aber im Falle der Tech-Giganten wie Facebook, die wiederholt beim Missbrauch von Nutzerdaten ertappt wurden und ihren Ruf bereits untergraben haben, sollten wir wahrscheinlich vorsichtiger sein und ihren Behauptungen über die korrekte und ethische Verwendung von Daten nicht so leicht vertrauen. Umso skeptischer sollten wir sein, weil sie keine Cloud-Technologien verwenden.

Und es ist nicht schwierig zu verstehen, warum jetzt so viel Geld in die Forschung zu neuen Verschlüsselungsarten fließt: Eines Tages wird man auf jeder Website und in jeder mobilen App von einer Flut einschlägiger Angebote überfallen werden, nachdem man in einem verschlüsselten Messenger seinen Wunsch nach neuen Kopfhörern oder Turnschuhen geäußert hat. Und es kann sich vielleicht für die größten Unternehmen lohnen, auch ihren Ruf zu riskieren.

Das ist also unsere Aufgabe hier — laut und deutlich zu sagen, dass wir eine solche Implementierung der homomorphen Verschlüsselung nicht wollen. Unsere Stimme hat Einfluss. Der jüngste Fall, bei dem Apple eine umstrittene Technologie zum Scannen von Fotos aufgegeben hat, illustriert dies gut.

Wir bei AdGuard sind der Meinung, dass der Schlüssel zum kommerziellen Erfolg eines Technologieunternehmens nicht der Wunsch sein sollte, den Nutzer mit so viel Werbung wie möglich zu füttern, sondern vielmehr durch Dinge wie technologische Überlegenheit, revolutionäre Produkte, Benutzerfreundlichkeit und die Sicherheit vertraulicher Daten bestimmt werden sollte.