Mehr Privatsphäre bei der Nutzung von WhatsApp, Signal & Co.

Kryptografie-Experten der TU Graz entwickelten gemeinsam mit ihren Kollegen der TU Darmstadt eine Privatsphäre-schützende Sicherheits-Software für mobile Messenger-Dienste.

Bei der Installation eines Messenger-Dienstes auf einem Smartphone werden Nutzerinnen und Nutzer üblicherweise dazu aufgefordert, der App Zugriff auf das eigene Telefon-Adressbuch zu gewähren. Dadurch werden sie automatisch mit jenen Kontakten aus ihrem Adressbuch verbunden, die den Messenger-Dienst ebenfalls schon nutzen. Der Dienstanbieter gleicht hierfür die Telefon-Adressbücher mit seiner eigenen Kontakt-Datenbank ab. Bei diesem Prozess werden derzeit die kompletten Adressbücher auf die Server des Dienstanbieters hochgeladen.
Dieser sogenannte „Mobile Contact Discovery“-Prozess stellt einen massiven Eingriff in die Privatsphäre dar: Dienstanbieter kommen dadurch nicht nur an die Daten jener Personen, die der Datenverarbeitung selbst zugestimmt haben. Es sind auch jene Personen betroffen, die den jeweiligen Messenger gar nicht installiert und somit auch kein Einverständnis zur Verarbeitung und Speicherung ihrer Daten gegeben haben.

Neue Methode zur Kontaktermittlung

Es gibt derzeit noch keine zufriedenstellenden Lösungen für ein Kontaktermittlungsverfahren mobiler Messenger-Dienste. Alle bisherigen Möglichkeiten sind entweder komplett unsicher oder bieten zumindest keinen nennenswerten Schutz“, fasst Christian Rechberger das Problem zusammen. Der Cybersecurity-Experte ist Professor am Institut für Angewandte Informationsverarbeitung und Kommunikationstechnologie der TU Graz, sowie Area Manager für Data Security am Know-Center. Rechberger hat gemeinsam mit seinem Instituts-Kollegen Daniel Kales sowie mit den beiden Forschern Christian Weinert und Thomas Schneider von der TU Darmstadt ContactGuard entwickelt. Dabei handelt es sich um eine neue Methode der Kontaktermittlung, die Privatsphäre-Gefahren und kritische Szenarien signifikant einschränkt oder komplett vermeidet wie beispielsweise das Ausspionieren von Kontakten oder das Weiterverkaufen von Daten und das Auswerten sensitiver Beziehungen.

Mehr Effizienz, höhere Sicherheit

Grundlage für die ContactGuard-Anwendung sind neue Verschlüsselungsprotokolle, die um ein Vielfaches effizienter und sicherer sind als alle bisher existierenden Ansätze. Die gemeinsamen Kontakte zwischen dem Dienstanbieter und jenen Personen, die den Messenger-Dienst nutzen, werden mittels Schnittmengenberechnungen ermittelt. Die verschlüsselte Datenbank des Dienstanbieters wird – dank einer eigens von den Forschenden entwickelten Komprimierungstechnik – ressourcenschonend an den Nutzer, die Nutzerin gesendet und am Mobiltelefon gespeichert.

Dort werden die Adressbucheinträge mit dem geheimen Schlüssel des Dienstanbieters verschlüsselt, jedoch ohne dass die Nutzerinnen und Nutzer den geheimen Schlüssel einsehen können. Auch umgekehrt erhält der Dienstanbieter keinerlei Informationen über die Adressbucheinträge der Nutzerinnen und Nutzer. Durch die beidseitige Datenverschlüsselung werden außerdem keine weiteren Informationen oder sensitiven Daten aus den Adressbüchern preisgegeben.

Erfolgreiche Tests sollen Weg für mehr Privatsphäre ebnen 

Zusätzliche Effizienz verspricht der Einsatz moderner Sicherheits-Chips, die in den allermeisten Smartphones enthalten sind, die in den vergangenen sieben Jahren auf den Markt kamen. Im Vergleich zu älteren Chip-Generationen beschleunigen diese Chips die kryptografischen Berechnungen um den Faktor 35. Prototypische Tests haben gezeigt, dass sich der Datenabgleich selbst bei 100 Millionen Datensätzen in einem zeitlich tolerablen Rahmen befindet. Lediglich bei der erstmaligen Registrierung kann es durch die kryptografischen Berechnungen und Datenübertragungen zu einer gewissen Latenz kommen. „Diese liegt aber selbst in Mobilfunknetzen für die Synchronisierung von bis zu 1000 Kontakten im Bereich von wenigen Sekunden“, so Rechberger. Er hofft nun, dass die Politik mit dem Wissen um die technischen Möglichkeiten die globalen Datenschutzgesetze im Sinne einer stärkeren Privatsphäre mittelfristig nachbessert: „Das könnte die Messenger-Dienste zum Handeln bewegen oder neue Angebote entstehen lassen.“

Diese Forschung ist an der TU Graz im „Field of Expertise“ Information, Communication & Computing verankert, einem von fünf Stärkefeldern.

Für die Entwicklung von ContactGuard wurde die Forschungsgruppe jüngst mit dem zweiten Platz beim renommierten IT-Sicherheitspreis 2020 der Horst Görtz Stiftung ausgezeichnet. Das Preisgeld in der Höhe von 60.000 Euro wollen die Forscher – ganz im Sinne des Stifters – zur Weiterentwicklung der Sicherheitssoftware bis hin zur Markreife einsetzen.

Seit 2017 besteht zwischen der TU Graz und der TU Darmstadt eine strategische Partnerschaft, die eine enge Vernetzung der beiden Universitäten auf allen Ebenen ermöglicht. In der  Forschung zeigt sich die enge Verbundenheit in zahlreichen gemeinsamen Projekten verschiedener Fachbereiche – unter anderem auch in einem Forschungsabkommen zu Cybersicherheit.