Facebook führt Open-PGP Verschlüsselung ein

Facebooks Datenschutz-Maßnahme eine Nebelkerze?

02.06.2015

Schreibt man auf Facebook hungrig einem Freund, wie toll jetzt eine Pizza wäre oder googelt nach Lieferservicen - promt flimmert Pizzawerbung über den Bilschirm. Der Datensammler Facebook ist nicht gerade dafür bekannt, zimperlich mit den Daten seiner Nutzer umzugehen. Doch gegen Zugriffe von Dritten rüstet der soziale Netzwerkriese jetzt auf. Seit dem 1. Juni bietet Facebook eine Open-PGP Verschlüsselung für die Kommunikation per E-Mail an.

In die Mail-Postfächer von Facebooknutzern flattert häufig elektronische Post von dem Netzwerk. Damit diese E-Mails möglichst nicht von Dritten mitgelesen werden, kann Facebook diese E-Mails neuerdings auch über die Software Open-PGP verschlüsseln. Dieses Programm wird weltweit sehr häufig verwendet, um E-Mails zu verschlüsseln. Auch Edward Snowden gehört zu den Nutzern. Die Software ist eine Open-Source-Weiterentwicklung des über 20 Jahre alten Programms PGP („Pretty Good Privacy“), das immer noch als sehr schwer zu knacken gilt.

PGP: Asymmetrische Verschlüsselung

Open-PGP ist eine sogenannte Ende-zu-Ende Verschlüsselung und basiert auf asymmetrischer Verschlüsselung. Um das Prinzip der Software zu erklären, nehmen wir die Person Bob. Bob hat zwei verschiedene „Schlüssel“ für seine E-Mail-Kommunikation. Einer davon wird öffentlich gemacht, jeder kann ihn verwenden. Der andere Schlüssel bleibt privat, Bob muss ihn auf jeden Fall geheim halten.

Will nun jemand Bob eine geheime Nachricht schreiben, verschlüsselt die Person die Nachricht mit dem öffentlichen Schlüssel. Bei Bob kommt die Nachricht verschlüsselt an, sie ist für niemand sonst leserbar. Bob muss zuerst seinen privaten Schlüssel anwenden, um die Nachricht wieder zu entschlüsseln.

Andersrum kann Bob auch eine Nachricht mit seinem privaten Schlüssel verschlüsseln. Da Bob den öffentlichen Schlüssel seines Gegenübers finden kann, kann der dann diese Nachricht wieder entschlüsseln.

Keine Angriffsfläche für Dritte

Auf Facebook können Nutzer nun ihren öffentlichen Open-PGP-Schlüssel hinterlegen. Das Netzwerk sendet dann Benachrichtigungen oder neue Passwörter verschlüsselt an die E-Mail-Adresse der Nutzer. Facebook hat seinen öffentlichen Schlüssel auch publik gemacht, so können Nutzer sicher sein, dass eine E-Mail wirklich von Facebook gesendet wurde. Bisher waren die E-Mails lediglich mit dem Verschlüsselungsstandard TLS gesichert, bei welchem die E-Mails beim Provider wieder entschlüsselt werden und dort für Dritte lesbar sind.

Verschlüsselung bedeutet kaum mehr Datenschutz

Die Neuerung ist für Datenschutzfreunde kein Grund zu ungetrübten Freudensprünge: An den Rechten, die Facebook über die Daten seiner Nutzer hat, ändert Open-PGP nichts. Das Unternehmen kann weiterhin Nutzerdaten für Werbezwecken sammeln und verkaufen. Für den Durchschnittsnutzer ist es meistens viel zu aufwendig, jede Mail kompliziert mit PGP zu entschlüsseln. Der private Schlüssel muss bei dem Programm immer vorhanden sein. Verliert ein Nutzer seinen Schlüssel, gelangt er kaum noch an die verschlüsselten Mitteilungen.

Dennoch kann der Schritt von Facebook als Vorbild dienen, beispielsweise für die Kommunikation in Unternehmen. Auch Google und Yahoo wollen die Verschlüsselungssoftware demnächst für ihre E-Mail-Provider einführen.

Was das Ganze also bringt und wie der Schritt von facebook zu bewerten ist, besprechen wir mit Ronald Eikenberg, der für das Fachmagazin c’t über Sicherheitsthemen schreibt.

vom Fachdienst Heise-Online.Es war auf jeden Fall eine Überraschung, dass sich Facebook mit dem Thema Verschlüsselung intensiv auseinandersetzt.Ronald EikenbergSicherheitsexperte beim c't Computermagazin von Heise-Online 

Redaktion: Mona Ruzicka