Metas Facebook unterstützt endlich das Ende
AKTUALISIERT 18:42 EDT / 25. AUGUST 2023
ANALYSE von David Strom
Die Bedeutung der Ende-zu-Ende-Verschlüsselung digitaler Nachrichten erhält neue Aufmerksamkeit mit der Ankündigung, dass Facebook von Meta Platforms Inc. die Funktion jetzt teilweise zu seinem Messenger-Produkt hinzufügen wird, und zwar irgendwann für alle Anwendungsfälle wie Gruppenchats im Laufe des Jahres -Ende.
Dies ist ein wichtiger Schritt, da E2EE, wie es kurz genannt wird, eine wichtige Methode zur Bereitstellung sicherer Kommunikation ist, die verhindert, dass Dritte auf Daten zugreifen, während diese zwischen Systemen oder Geräten übertragen werden. Aber die Ankündigung ist auch nicht die ganze Geschichte, denn Facebook holt mit vielen seiner Konkurrenten auf, etwa Signal und Telegram, die seit Jahren E2EE-Messaging-Produkte anbieten.
Die Ankündigung wurde von Timothy Buck, einem Messenger-Produktmanager, in diesem Blog vom 22. August gemacht. Er gibt zu, dass die Umstellung unserer Dienste auf E2EE, als das Unternehmen begann, über diese Idee nachzudenken, „ein unglaublich komplexes und herausforderndes technisches Rätsel wäre.“ Wir müssten fast die gesamte Nachrichten- und Anrufcodebasis von Grund auf neu schreiben.“ Es stellte sich heraus, dass dies der Fall war.
Ein Teil des Problems bestand darin, dass die ursprüngliche Software Nachrichten auf den Servern von Facebook nicht verschlüsselte (siehe nebenstehendes Bild), eine große Lücke, die jede Verschlüsselung im Grunde gegenstandslos machte. Ein weiteres Problem bestand darin, dass Messenger auf mehreren Desktops, Mobilgeräten und Browserplattformen läuft. Der ganze Code war nutzlos und musste neu geschrieben werden.
Ein weiterer erschwerender Faktor besteht darin, dass Benutzer viel anspruchsvollere Anforderungen an ihre Nachrichtenübermittlung stellen. Es handelt sich nicht mehr nur um eine einfache Eins-zu-eins-Textnachricht: Es gibt Gruppentexte, geteilte Multimedia-Inhalte, Emojis und Aufkleber und sogar Sprachanrufe, die zu unseren täglichen Nachrichtenanforderungen gehören. Darüber hinaus gibt es geteilte Dateianhänge, Weblinks und Links zu Social-Media-Konversationen.
Oftmals werden Nachrichten als Auftakt zu einem Online-Kauf oder als Nachtrag nach Erhalt des Kaufs verwendet. Auch im Unternehmenskontext gibt es viele Botschaften, und diese Botschaften erreichen Menschen auf der ganzen Welt.
Seit AOL in den 1980er-Jahren auf den Plan trat und begann, CDs mit seiner Software zu verschicken, hat sich Messaging als Kommunikationsmechanismus geradezu explosionsartig entwickelt. Seitdem interessieren sich Unternehmen für Messaging als wichtiges Kommunikationsinstrument, wie ich 2006 für die New York Times schrieb.
Heutzutage gibt es Dutzende geschäftsorientierter Messaging-Anbieter, darunter Teams von Microsoft Corp. und Slack von Salesforce Inc., um eine weit verstreute Belegschaft zusammenzubringen.
Obwohl ich Facebook für den Versuch dieses umfassenden E2EE-Upgrades lobe, zeigt es, wie weit das Unternehmen in diesem speziellen Bereich zurückliegt. Das sind keine neuen Themen. Seit Jahren haben Unternehmen – und einige datenschutzbewusste Verbraucher – besondere Bedenken hinsichtlich der Sicherheit ihrer Messaging-Apps.
Sie möchten nicht, dass Benutzerdaten erfasst werden, einschließlich der Nachrichtenmetadaten, die nicht direkt an der Nachrichtenzustellung beteiligt sind. Sie möchten nicht, dass nach der Zustellung der Nachricht Rückstände auf den Servern des Messaging-Anbieters verbleiben.
Das war eine große Herausforderung für Facebook, das bereits 2020 und 2021 in Schwierigkeiten geriet, als es anfing, an den Datenfreigaberichtlinien von WhatsApp herumzubasteln. In dieser Geschichte von The Verge wird der Ruf von Facebook angeführt, „Änderungen an seinen verschiedenen Nutzungsbedingungen zu verschleiern“, eine schöne Art auszudrücken, dass das Unternehmen beim Schutz der Privatsphäre seiner Nutzer eine lückenhafte Bilanz vorzuweisen hat. Laut der New York Times führten die Änderungen zu einer massiven Abwanderung von 25 Millionen Nutzern, die sich stattdessen für Signal- und Telegram-Konten anmeldeten.
WeChat war auch kein Zuckerschlecken: SiliconANGLE hat Anfang des Sommers seine eigenen unterdurchschnittlichen Datenschutzrichtlinien überprüft und festgestellt, dass sie mangelhaft sind.
Aber kommen wir zu den Besonderheiten der Verschlüsselung, die vielleicht der wichtigste Aspekt jeder Messaging-App ist. Die Details sind entscheidend und die beste Quelle, um das Ausmaß des Problems zu verstehen, ist ein Bericht, der Anfang dieses Monats von Iria Puyosa, einer Forscherin am Digital Forensic Research Lab, veröffentlicht und vom Atlantic Council veröffentlicht wurde. Sie schaute sich 40 dieser Messaging-Apps an und konzentrierte sich auf das Wesentliche von Telegram, WeChat und WhatsApp.
Es sind zwei spezifische Sicherheitsprotokolle beteiligt: E2EE und Transport Layer Security (TLS), bei dem Messaging-Daten und Metadaten verschlüsselt werden, während diese über die Infrastruktur des Anbieters übertragen werden.
Der Bericht enthält eine detaillierte Aufschlüsselung der Datenschutz- und Sicherheitsfunktionen von 15 häufig verwendeten Messaging-Apps in den USA. In der Tabelle (unten) ist dargestellt, ob eine App diese Verschlüsselungstechnologien ganz oder teilweise verwendet.
In dieser Tabelle gibt es viele Vorbehalte, selbst unter den wenigen Anbietern, die das vollständige E2EE-Versprechen bieten. Beispielsweise nutzt iMessage von Apple Inc. E2EE zwischen seinen iPhone-Benutzern, jedoch nicht, wenn eine Partei ein Android-Telefon oder einen anderen Endpunkt verwendet, der nicht von Apple stammt. Eine weitere Lücke sind verschlüsselte iCloud-Backups: Es dauerte bis Dezember 2022, bis Apple diese Funktion anbot.
Es gibt noch ein weiteres Problem im Zusammenhang mit der geschäftlichen Nutzung von Messaging, wie Puyosa in ihrem Bericht schreibt: „Große Unternehmensorganisationen gewähren möglicherweise Dritten in ihren Lieferketten Zugriff auf ihre Gesprächsprotokolle und delegieren in einigen Fällen sogar den gesamten Betrieb ihrer Messaging-Funktionen.“ Kommunikation mit Dritten.“ Das könnte bedeuten, dass unverschlüsselter Nachrichtenverkehr, einschließlich Serverprotokolldaten, ohne Wissen der Benutzer weitergegeben werden könnte.
„Telegram hat eine freizügige Inhaltsrichtlinie, aber die Plattform hat in den letzten Jahren auf Druck der Strafverfolgungsbehörden in verschiedenen Ländern Einschränkungen hinzugefügt“, fügte sie hinzu. „WhatsApp hat eine wachsende Liste inakzeptabler Inhalte, die als schädlich oder illegal gelten. WeChat ist die Messaging-App mit den größten Einschränkungen in Bezug auf akzeptable Inhalte und verbietet sogar politische Inhalte.“
Dieser Hintergrund ist hilfreich für IT-Manager in Unternehmen, insbesondere für diejenigen, die sich Sorgen darüber machen, wie ihre Daten über diese Messaging-Netzwerke gespeichert und übertragen werden, oder die ihre Benutzer schützen möchten, wenn sie in Krisengebieten auf der ganzen Welt tätig sind. Es gibt mehrere Probleme.
Erstens liegt die Nachrichtensicherheit, insbesondere bei der Verwendung mobiler Geräte, buchstäblich in der Hand des einzelnen Benutzers. Die Zeiten unternehmensverwalteter Telefone, bei denen strenge Sicherheitsrichtlinien zentral voreingestellt werden konnten, sind größtenteils vorbei.
Bei nicht verwalteten Telefonen muss sich jeder Benutzer die Zeit nehmen, Dutzende von Datenschutz- und Sicherheitsparametern einzurichten, und sich nach jedem Betriebssystem-Update des Telefons mehr Zeit nehmen, um sicherzustellen, dass nichts Neues in die Mischung geraten ist. IT-Manager sollten regelmäßig Mitteilungen veröffentlichen, wenn sich diese ändern, und Vorschläge machen, wie sie den Überblick behalten können.
Zweitens sollten Unternehmen die Einführung einer Richtlinie in Betracht ziehen, die die Verwendung von SMS-Texten für Unternehmensgespräche verbietet. Tatsächlich sind potenzielle Phishing-Bedrohungen heutzutage fast eine wöchentliche Gewissheit. Auch wenn eine Überwachung unmöglich ist, sollten Unternehmen zumindest die Probleme darlegen und darlegen, warum die Nutzung eines bevorzugten E2EE-Dienstes besser ist.
Drittens sollte klargestellt werden, dass diese Netzwerke nur eine teilweise Verschlüsselung bieten und dass diese Grenzen auch den Benutzern mitgeteilt werden. Eine sorgfältige Prüfung des Atlantic Council-Berichts wird ebenfalls hilfreich sein.
Schließlich besteht noch das Problem, dass der Nachrichtenverkehr aufgrund seiner inhärenten Unmittelbarkeit oft schädliche Inhalte, Fehlinformationen oder Desinformationen enthält, die im Moment schwer zu analysieren und zu überprüfen sind. Unternehmensrichtlinien sollten diese Missbräuche abdecken und Vorschläge dazu enthalten, was zu tun ist, wenn sie damit konfrontiert werden.
DANKE
Auf dem CUBE Pod: Einblicke in die bemerkenswerte Reise von VMware und die Übernahme durch Broadcom
Microsoft widerruft erneut digitale VeriSign-Zertifikate: Darum ist es wichtig
Das Startup für automatisierte Softwaretests, Qualiti, erhält eine Startfinanzierung in Höhe von 6,5 Millionen US-Dollar
Die Augmented-Data-Analytics-Plattform ConverSight erhält 9 Millionen US-Dollar im Rahmen einer Serie-A-Finanzierung
Cloud-Giganten sehen einen potenziellen Glücksfall bei der KI am Netzwerkrand
Snowflake hat mit AWS und Microsoft Schwung – und warum Google möglicherweise nicht der Nächste ist
Auf dem CUBE Pod: Einblicke in die bemerkenswerte Reise von VMware und die Übernahme durch Broadcom
KI – VON RYAN STEVENS. VOR 29 MIN
Microsoft widerruft erneut digitale VeriSign-Zertifikate: Darum ist es wichtig
SICHERHEIT – VON DAVID STROM. VOR 1 STUNDE
Das Startup für automatisierte Softwaretests, Qualiti, erhält eine Startfinanzierung in Höhe von 6,5 Millionen US-Dollar
KI – VON MIKE WEATLEY. VOR 3 STUNDEN
Die Augmented-Data-Analytics-Plattform ConverSight erhält 9 Millionen US-Dollar im Rahmen einer Serie-A-Finanzierung
BIG DATA – VON MIKE WEATLEY. 5 STUNDEN ZUVOR
Cloud-Giganten sehen einen potenziellen Glücksfall bei der KI am Netzwerkrand
CLOUD – VON PAUL GILLIN. VOR 17 STUNDEN
Snowflake hat mit AWS und Microsoft Schwung – und warum Google möglicherweise nicht der Nächste ist
CLOUD – VON GASTAUTOR. VOR 2 TAGEN
„TheCUBE ist ein wichtiger Partner der Branche. Ihr seid wirklich ein Teil unserer Veranstaltungen und wir wissen es wirklich zu schätzen, dass ihr kommt, und ich weiß, dass die Leute auch die von euch erstellten Inhalte schätzen“ – Andy JassyDANKE