
Kryptografie-Experten der TU Graz entwickelten gemeinsam mit ihren Kollegen der TU Darmstadt eine Privatsphäre-schützende Sicherheits-Software für mobile Messenger-Dienste.
Bei der Installation eines Messenger-Dienstes auf einem Smartphone werden Nutzerinnen und Nutzer üblicherweise dazu aufgefordert, der App Zugriff auf das eigene Telefon-Adressbuch zu gewähren. Dadurch werden sie automatisch mit jenen Kontakten aus ihrem Adressbuch verbunden, die den Messenger-Dienst ebenfalls schon nutzen. Der Dienstanbieter gleicht hierfür die Telefon-Adressbücher mit seiner eigenen Kontakt-Datenbank ab. Bei diesem Prozess werden derzeit die kompletten Adressbücher auf die Server des Dienstanbieters hochgeladen.
Dieser sogenannte „Mobile Contact Discovery“-Prozess stellt einen massiven Eingriff in die Privatsphäre dar: Dienstanbieter kommen dadurch nicht nur an die Daten jener Personen, die der Datenverarbeitung selbst zugestimmt haben. Es sind auch jene Personen betroffen, die den jeweiligen Messenger gar nicht installiert und somit auch kein Einverständnis zur Verarbeitung und Speicherung ihrer Daten gegeben haben.
Neue Methode zur Kontaktermittlung
Es gibt derzeit noch keine zufriedenstellenden Lösungen für ein Kontaktermittlungsverfahren mobiler Messenger-Dienste. Alle bisherigen Möglichkeiten sind entweder komplett unsicher oder bieten zumindest keinen nennenswerten Schutz“, fasst Christian Rechberger das Problem zusammen. Der Cybersecurity-Experte ist Professor am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz, sowie Area Manager für Data Security am Know-Center. Rechberger hat gemeinsam mit seinem Instituts-Kollegen Daniel Kales sowie mit den beiden Forschern Christian Weinert und Thomas Schneider von der TU Darmstadt ContactGuard entwickelt. Dabei handelt es sich um eine neue Methode der Kontaktermittlung, die Privatsphäre-Gefahren und kritische Szenarien signifikant einschränkt oder komplett vermeidet wie beispielsweise das Ausspionieren von Kontakten oder das Weiterverkaufen von Daten und das Auswerten sensitiver Beziehungen.
Mehr Effizienz, höhere Sicherheit
Grundlage für die ContactGuard-Anwendung sind neue Verschlüsselungsprotokolle, die um ein Vielfaches effizienter und sicherer sind als alle bisher existierenden Ansätze. Die gemeinsamen Kontakte zwischen dem Dienstanbieter und jenen Personen, die den Messenger-Dienst nutzen, werden mittels Schnittmengenberechnungen ermittelt. Die verschlüsselte Datenbank des Dienstanbieters wird – dank einer eigens von den Forschenden entwickelten Komprimierungstechnik – ressourcenschonend an den Nutzer, die Nutzerin gesendet und am Mobiltelefon gespeichert.
Dort werden die Adressbucheinträge mit dem geheimen Schlüssel des Dienstanbieters verschlüsselt, jedoch ohne dass die Nutzerinnen und Nutzer den geheimen Schlüssel einsehen können. Auch umgekehrt erhält der Dienstanbieter keinerlei Informationen über die Adressbucheinträge der Nutzerinnen und Nutzer. Durch die beidseitige Datenverschlüsselung werden außerdem keine weiteren Informationen oder sensitiven Daten aus den Adressbüchern preisgegeben.
Erfolgreiche Tests sollen Weg für mehr Privatsphäre ebnen
Zusätzliche Effizienz verspricht der Einsatz moderner Sicherheits-Chips, die in den allermeisten Smartphones enthalten sind, die in den vergangenen sieben Jahren auf den Markt kamen. Im Vergleich zu älteren Chip-Generationen beschleunigen diese Chips die kryptografischen Berechnungen um den Faktor 35. Prototypische Tests haben gezeigt, dass sich der Datenabgleich selbst bei 100 Millionen Datensätzen in einem zeitlich tolerablen Rahmen befindet. Lediglich bei der erstmaligen Registrierung kann es durch die kryptografischen Berechnungen und Datenübertragungen zu einer gewissen Latenz kommen. „Diese liegt aber selbst in Mobilfunknetzen für die Synchronisierung von bis zu 1000 Kontakten im Bereich von wenigen Sekunden“, so Rechberger. Er hofft nun, dass die Politik mit dem Wissen um die technischen Möglichkeiten die globalen Datenschutzgesetze im Sinne einer stärkeren Privatsphäre mittelfristig nachbessert: „Das könnte die Messenger-Dienste zum Handeln bewegen oder neue Angebote entstehen lassen.“
Diese Forschung ist an der TU Graz im „Field of Expertise“ Information, Communication & Computing verankert, einem von fünf Stärkefeldern.
Für die Entwicklung von ContactGuard wurde die Forschungsgruppe jüngst mit dem zweiten Platz beim renommierten IT-Sicherheitspreis 2020 der Horst Görtz Stiftung ausgezeichnet. Das Preisgeld in der Höhe von 60.000 Euro wollen die Forscher – ganz im Sinne des Stifters – zur Weiterentwicklung der Sicherheitssoftware bis hin zur Markreife einsetzen.
Seit 2017 besteht zwischen der TU Graz und der TU Darmstadt eine strategische Partnerschaft, die eine enge Vernetzung der beiden Universitäten auf allen Ebenen ermöglicht. In der Forschung zeigt sich die enge Verbundenheit in zahlreichen gemeinsamen Projekten verschiedener Fachbereiche – unter anderem auch in einem Forschungsabkommen zu Cybersicherheit.
Fachartikel

Sind Daten Ihr schwächstes Glied?

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Wie die Analyse des Benutzer- und Entitätsverhaltens zur Cybersicherheit beiträgt

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite
Studien

Studie Cloud-Strategien: Von kleinen Schäfchenwolken zum Cumulus

IDC-Studie: 82 Prozent der deutschen Unternehmen nutzen die Cloud – umfassende Automatisierung der Workloads ist aber noch Zukunftsmusik

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen
Whitepaper

5 Tipps für die SAP- und OT-Sicherheit: So haben Hacker keine Chance

Neuer Forrester-Report: Varonis als führender Anbieter von Datensicherheits-Plattformen ausgezeichnet

Arctic Wolf Labs Threat Report: Deutlicher Anstieg der erfolgreichen Fälle von Business-E-Mail-Compromise

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen
Unter4Ohren

Die aktuelle Bedrohungsentwicklung und warum XDR immer wichtiger wird

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen
