Wie wichtig effektive Verschlüsselung ist, haben nicht zuletzt die von NSA-Whistleblower Edward Snowden veröffentlichten Dokumente belegt. Nur durch eine solche ist es möglich, Geheimdienste davon abzuhalten, sämtliche Kommunikation mitzulesen uns auszuwerten. Lange bevor dies bei anderen Softwareherstellern zum Thema wurde, hat Blackberry bereits damit geworben, alle Nachrichten über den eigenen Messenger BBM zu verschlüsseln, und so auch vor den Augen der Behörden zu schützen. Wie sich nun zeigt, konnte man dieses Versprechen in Wirklichkeit aber schon seit Jahren nicht halten.

Zentralschlüssel

In einem aktuellen Artikel berichtet Vice News, dass die kanadische Polizei schon vor Jahren Zugriff auf den Zentralschlüssel von Blackberry hatte. Mit dessen Hilfe seien zumindest in zwei Fällen Millionen BBM-Nachrichten durchforstet worden. Der erste belegte Zugriff der Behörde habe im Jahr 2010 stattgefunden, der zweite sei 2012 erfolgt.

Kritik

Der Bericht zeigt dabei die Schwächen einer Verschlüsselung, die sich auf einen zentralen Schlüssel verlässt. Blackberry hatte jahrelang betont, dass dieser Schlüssel vor dem Zugriff Dritter sicher sei, der aktuelle Vorfall unterstützt nun die Position von Sicherheitsexperten, die diese Aussage seit Jahren als unrealistisch bezeichnet hatten, und statt dessen zu echter Ende-zu-Ende-Verschlüsselung raten, bei der auch der Anbieter selbst keinen Einblick hat.

Viele offene Fragen

Offen bleibt bei all dem, wie die kanadische Polizei an den Schlüssel gekommen ist, also ob Blackberry den Behörden den Key einfach übergeben hat, oder ob sie ihn sich selbst besorgt hat. Auch ist derzeit noch unklar, ob der betreffende Schlüssel weiterhin im Einsatz ist, oder bereits zurückgezogen wurde. Eine Einschränkung in Hinblick auf die vollständige Überwachbarkeit gibt es übrigens: Unternehmen haben seit Jahren die Möglichkeit eigene Keys für die Sicherung der Firmenkommunikation zu verwenden.

Zugriff

In der Debatte über Verschlüsselung hatte Blackberry im Vorjahr mit wenig populären Aussagen aufhorchen lassen. So hatte das Unternehmen betont, dass die Behörden – unter richterlicher Kontrolle – im Fall des Falles einen Zugriff auf die Kommunikation haben müssten. (apo, 15.4.2016)