Know Center News

Privatsphäre bei WhatsApp & Co. effizient schützen

Kryptografie-Experten der Technischen Universität Graz entwickelten gemeinsam mit ihren Kollegen der Technischen Universität Darmstadt eine Privatsphäre-schützende Sicherheits-Software für mobile Messenger-Dienste. „ContactGuard“ wurde mit dem 8. Deutschen IT-Sicherheitspreis 2020 ausgezeichnet.

© TU Graz/Lunghammer

Mobile Messenger wie WhatsApp oder Signal erlauben ihren NutzerInnen mit allen Personen in ihrem Adressbuch in Kontakt zu treten, die den Dienst ebenfalls nutzen. Dazu werden die Adressbücher der NutzerInnen mit der Datenbank des Dienstanbieters abgeglichen. Derzeit eingesetzte Verfahren senden jedoch meist die kompletten Adressbücher an den Dienstanbieter. Dienstanbieter kommen dadurch nicht nur an die Daten jener Personen, die der Datenverarbeitung explizit zugestimmt haben. Es sind auch Personen betroffen, die den jeweiligen Messenger gar nicht installiert haben. Das bedeutet schwerwiegende Eingriffe in die Privatsphäre von weltweit Milliarden von EndnutzerInnen.

Neue Methode zur Kontaktermittlung

„KI-Algorithmen zu entwickeln, die erklärbar und verifizierbar sind und gleichzeitig die Privatsphäre schützen, ist ein wichtiger Forschungsschwerpunkt am Know-Center. Das soll NutzerInnen dabei helfen, die Möglichkeiten und Grenzen der KI besser zu verstehen. Und es soll die Einstiegshürde für die Unternehmen und Personen drastisch herabsetzen, KI für die Analyse der eigenen Daten zu nutzen und sich damit Wettbewerbsvorteile zu sichern.“
Prof. Stefanie Lindstaedt

„Mit ContactGuard stellen wir eine neue Generation kryptographischer Protokolle zur Verfügung, die um ein Vielfaches effizienter sind als alle existierenden Ansätze. Sicherheit ist selbst dann noch gewährleistet, wenn die Software und Hardware durch Hacker manipuliert wird“, erklärt Prof. Christian Rechberger. Der Cybersecurity-Experte ist Professor am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz, sowie Area Manager für Data Security am Know-Center.

ContactGuard ermittelt alle gemeinsamen Kontakte zwischen dem Dienstanbieter und jenen Personen, die den Messenger-Dienst nutzen, mittels Schnittmengenberechnungen. Die verschlüsselte Datenbank des Dienstanbieters wird am Mobiltelefon der NutzerInnen gespeichert. Dort werden die Adressbucheinträge mit dem geheimen Schlüssel des Dienstanbieters verschlüsselt, jedoch ohne dass der Nutzer/die Nutzerin den geheimen Schlüssel einsehen kann. Auch umgekehrt erhält der Dienstanbieter keinerlei Informationen über die Adressbucheinträge der NutzerInnen. Durch die beidseitige Datenverschlüsselung werden keine weiteren Informationen oder sensitive Daten aus den Adressbüchern preisgegeben.

Effizientes Verfahren

Bislang müssen für die Kontaktabgleichung sehr viele Daten zwischen Mobilgerät und Dienstanbieter ausgetauscht werden, was insbesondere bei Mobilfunktarifen mit begrenztem Datenvolumen problematisch ist. Um zusätzlichen Rechen- und Kommunikationsaufwand gering zu halten, nutzt ContactGuard neue Komprimierungstechniken und optimierte Verschlüsslungsverfahren. Zusätzliche Effizienz verspricht der Einsatz moderner Sicherheits-Chips, die in den allermeisten Smartphones enthalten sind, die in den vergangenen sieben Jahren auf den Markt kamen. Im Vergleich zu älteren Chip-Generationen beschleunigen diese Chips die kryptografischen Berechnungen um den Faktor 35. Prototypische Tests haben gezeigt, dass sich der Datenabgleich selbst bei 100 Millionen Datensätzen in einem zeitlich tolerablen Rahmen befindet.

Sensitive Kontakte schützen

Bei bisherigen Methoden der Kontaktermittlung liegt ein Risiko für NutzerInnen auch darin, dass sensitive Beziehungen zwischen Personen bekannt werden. Beispiele dafür sind Kontakte zu Fachärzten oder Anwälten, oder die Notwendigkeit für Journalisten Informanten-Kontakte zu schützen.

ContactGuard ermöglicht mit einer einfachen Check-Box, besonders schützenswerte Kontakte oder Kontaktgruppen als „sensitiv“ zu kennzeichnen. Auf diese Kontakte erhält kein Messenger Zugriff. Auch Dritthersteller-Anwendungen können nicht darauf zugreifen. „Damit werden sensible Kontakte auch vor Messengern geschützt, die unsere Verschlüsselungsprotokolle noch nicht eingebaut haben“, erläutert Rechberger.

Schutz für Unternehmen

MitarbeiterInnen nutzen private elektronische Endgeräte wie Smartphones oder Tablets auch vermehrt im Firmenkontext. Selbst wenn Mitarbeiter mobile Messengerdienste nur privat und nicht für Geschäftszwecke nutzen, kommen Unternehmen dadurch in Bedrängnis, weil die Dienste undifferenziert auf eine Mischung aus privaten und geschäftlichen Kontakten zugreifen und ohne hinlänglichen Schutz verarbeiten.

ContactGuard unterstützt effektiv dabei, die Datenschutzgrundverordnung (DSGVO) im Unternehmensumfeld einzuhalten, indem Kontakte einfach vor Messengern verborgen werden können und nicht-registrierte Nummern für die Dienstanbieter gar nicht erst sichtbar werden. Künftig wird das Unternehmen erleichtern, ihren MitarbeiterInnen zu erlauben, private Geräte und Messenger-Dienste im Geschäftsumfeld zu nutzen. Das erhöht die Mitarbeiterzufriedenheit und vermeidet empfindliche Strafen für Unternehmen.

Data Security
DDAI Module
Wie WhatsApp, Signal & Co die Privatsphäre gefährden