Die Überwachung des Internets durch den US-Geheimdienst NSA und britische Geheimdienste habe sie "aufgerüttelt", sagt Michael Bank, Maschinenbaustudent aus Köln. Zusammen mit dem 30-jährigen Informatik-Studenten Daniel Wirtz hat er sich deshalb daran gesetzt, eine App für den sicheren verschlüsselten Austausch von Nachrichten zu entwickeln.
Inzwischen gehört Whistle.im zu den beliebtesten Apps in Googles Play Store. Google führt die kostenlose App zum verschlüsselten Austausch von Nachrichten im Play Store als "trending" - so werden Apps bezeichnet, die gerade besonders häufig heruntergeladen werden.
Dabei handelt es sich bei der App nur um ein Freizeitprojekt, das die beiden Studenten in den Semesterferien programmiert haben und das vor vier Wochen offiziell veröffentlicht wurde. Aufgrund der Prism-Affäre hätten die beiden das Programm mit dem Fokus auf völlige Anonymität entwickelt. So liest Whistle.im auch das Adressbuch nicht aus.
Geld verdienen wollen die beiden Studenten mit der App nicht - seit Mittwoch rufen sie allerdings zu Spenden per Banküberweisung oder mit Hilfe der virtuellen Währung Bitcoin auf. "Die Spenden sind nur für das Projekt gedacht, nicht für uns", sagte Bank - zum Beispiel zur Finanzierung der Server-Infrastruktur. Noch gibt es Whistle.im nur für Android und als Erweiterung im Webbrowser Mozilla Firefox auf dem PC - Versionen für iPhone und Windows-Smartphones sind in Arbeit.
Die Berichte über die Internetüberwachung bringen aber auch Unternehmen Vorteile, die ähnliche Lösungen entwickeln. Auf dem iPhone feiert derzeit die verschlüsselte Whatsapp-Alternative Threema große Erfolge. Die App ist für 1,79 Euro auf dem iPhone zu haben und für 1,60 Euro für Android-Smartphones. Derzeit steht sie auf Platz 20 der am häufigsten gekauften Apps im deutschen App Store von Apple - zwischenzeitlich war es auch schon einmal Platz 8. Für eine Security-App ist das ungewöhnlich, konkurriert sie doch gegen die auf Smartphones so beliebten Mini-Spiele, die die Charts der App Stores dominieren.
"Seit Anfang Juni geht es rund", sagt Manuel Kasper, Chef der Kasper Systems GmbH aus Zürich, die Threema entwickelt. Damals gab es die ersten großen Medienberichte über den Überwachungsskandal. Allerdings wurde Anfang Juni auch zeitgleich die lange erwartete Android-App veröffentlicht, sodass die Effekte sich überlagern.
Der Vorteil sowohl von Threema als auch Whistle.im: Die Apps verwenden vom Nutzer erzeugte Schlüssel, wodurch der Anbieter keinen Zugriff auf die Inhalte der Nachrichten hat. So können die App-Anbieter beispielsweise bei Behördenanfragen nur Zugriff auf die Verbindungsdaten gewähren - also wer, wem zu welchem Zeitpunkt Nachrichten geschickt hat - nicht aber auf den Inhalt von Nachrichten. Nach Angaben von Kasper gab es bislang noch keine Behördenanfragen für Threema - sollten diese jedoch durch ein Schweizer Gericht legitimiert sein, bliebe ihm nichts anderes übrig, als zumindest Zugriff auf die Verbindungsdaten zu gewähren.
Ein Kryptografieexperte des Chaos Computer Clubs kritisierte allerdings eine Reihe von Fehlern bei der Implementation des Verschlüsselungsalgorithmus bei Whistle.im. So würden beispielsweise auch die geheimen Schlüssel auf den Servern des Betreibers gespeichert, sodass diese Zugriff auf die Nachrichten hätten, wenn ihnen das eingesetzte Passwort bekannt wird. Zudem würden der Absender einer Nachricht nicht geprüft - der Server akzeptiere ein beliebiges auch selbst signiertes Zertifikat beim verschlüsselten Verbindungsaufbau.
Um sicher zu kommunizieren, sollte der Nutzer übrigens die Threema-App vom Internet-Backup iCloud ausnehmen, auch wenn Apple nach eigenen Angaben keinen Zugriff auf den privaten Schlüssel hätte, da dieser in einem Schlüsselbund mit einem gerätespezifischen Code geschützt ist von dem Apple nach Unternehmensangeben keine Kopie hat.
Deutscher E-Mail-Anbieter Posteo gewinnt rasant neue Kunden
Auch deutsche E-Mail-Anbieter wollen von dem Überwachungsskandal profitieren. Vergangene Woche verkündete eine Allianz deutscher E-Mail-Anbieter, dass zahlreiche Dienste aus Deutschland wie Deutsche Telekom, GMX und Web.de ab 2014 verschlüsselt untereinander kommunizieren wollen. Die dazu genutzte Technik sollte laut Sicherheitsexperten aber schon lange Standard sein. Ein Test der Computerzeitschrift c't offenbarte jüngst außerdem, dass die betreffenden Anbieter noch heute eine seit Jahren bekannte Sicherheitsfunktion nicht nutzen.
Ein E-Mail-Anbieter, der im c't-Test dagegen gelobt wurde, ist Posteo. Posteo setzt auf eine Übertragung der E-Mails mittels SSL in Kombination mit einem Standard namens Perfect Forward Secrecy*. Die E-Mails liegen nach Angaben des Betreibers auf verschlüsselten Festplatten. Künftig will Posteo eine komplette Verschlüsselung der E-Mail-Inhalte erleichtern, wenn der Nutzer den Dienst via Website nutzt - eine sogenannte Ende-zu-Ende-Verschlüsselung.
Auch Posteo hat Auftrieb seit der Aufdeckung der Internetüberwachung und übersetzt zur Zeit die Firmenwebseite ins Englische. Der Dienst, der ohne persönliche Daten bei der Anmeldung arbeitet, betont schon lange auf Datenschutz der Nutzer wert zu legen. "Seit Beginn der Prism-Berichterstattung konnten wir die Zahl der Postfächer auf 18.000 verdoppeln", sagt Gründer und Chef Patrick Löhr. Wie viele Kunden sich hinter den Postfächern verbergen, kann Löhr nicht sagen, weil der Provider bewusst auf die Speicherung solcher Daten verzichtet.
Per Bargeld, Paypal oder Überweisung werden die Postfächer bezahlt - zusammen mit einem Code, der gelöscht wird, sobald das Geld eingetroffen ist. Ein Postfach mit 2 Gigabyte Speicher kostet einen Euro im Monat - dafür ist es werbefrei, die Server werden mit Ökostrom von Greenpeace Energy betrieben und es gibt kostenlosen E-Mail-Support*. Behörden haben laut Löhr bislang noch nicht nach E-Mails gefragt - sollte das aber passieren, ist auch dieser Dienst gezwungen sich an das Gesetz zu halten und Auskunft zu geben. Wer auf Nummer sicher gehen will, muss daher seine E-Mails mit Werkzeugen wie GnuPG oder S/Mime verschlüsseln - mit einem Schlüssel, auf den nur er Zugriff hat.
Prism soll US-Cloud-Anbieter 22 bis 35 Milliarden Dollar kosten
Der Überwachungsskandal hat aber abgesehen von Kleinstanbietern wie Posteo auch wirtschaftliche Auswirkungen von ganz anderen Dimensionen. Zahlreiche Unternehmen außerhalb der USA scheinen sich derzeit von US-Anbietern abzuwenden.
Laut einer Umfrage der Cloud Security Alliance (CSA) unter ihren Mitgliedern, würden mehr als die Hälfte der nicht in den USA ansässigen Firmen nach der Aufdeckung der Überwachungsprogramme nun "weniger wahrscheinlich" einen Anbieter in den Vereinigten Staaten für ihre Cloud-Dienste wählen. Zehn Prozent haben demnach ihrem US-Anbieter bereits gekündigt. Der IT-Berater Gartner bezeichnete das US-Überwachungsprogramm in einem Blog-Artikel bereits ironisch als "Konjunkturspritze der USA für Cloud Computing in der EU".
Die US-Cloud-Anbieter wie Google, Microsoft und Amazon werden nach Schätzung des US-Thinktanks ITIF (Information Technology and Innovation Foundation) in den kommenden drei Jahren 22 bis 35 Milliarden US-Dollar durch den Überwachungsskandal verlieren. Ein Amazon-Sprecher sagte auf Anfrage, dass die Nachfrage nach den Amazon-Webdiensten AWS weltweit noch nie so hoch war wie heute - inklusive Europa und Asien. Ein Cloud-Anbieter mit Servern ausschließlich in Deutschland ist beispielsweise Aoterra.
Zumindest bei dem britischen Überwachungsprogramm namens Tempora, das vom britischen Geheimdienst GCHQ durchgeführt wird, soll es nach Informationen des Guardians auch um Wirtschaftsspionage gehen.
Ein europäisches Unternehmen das bereits heute profitiert, ist der Schweizer Onlinespeicher-Dienst Wuala. Die Dropbox-Alternative bietet Geschäfts- wie Privatkunden einen verschlüsselten Online-Speicher an. Wuala betont dabei das Sicherheitskonzept des Systems. Die Daten werden direkt auf dem Computer des Nutzers verschlüsselt, sodass auch das Unternehmen selbst keinen Zugriff auf die online abgelegten Dateien hat.
Dilemma: super verschlüsselt, aber die Freunde nutzen die App nicht
Im Mai konnte Wuala nach Unternehmensangaben noch 15.000 neue Nutzer verzeichnen - im Juni waren es bereits 32.000 und im Juli 36.000. Auch die Businessanfragen hätten sich "verdoppelt bis verdreifacht", sagte Unternehmenssprecher Gianluca Pirrera. Hier sei das Interesse an dem verschlüsselten Speicherdienst sogar noch größer nach der Berichterstattung über die Überwachungsprogramme als bei den Privatkunden.
Vor allem kleine Unternehmen sind interessiert. Der größte Kunde ist derzeit ein deutsches Unternehmen mit 300 Mitarbeitern, das aber nicht genannt werden möchte. "Es hat eine Art Nachdenken eingesetzt, wir begrüßen das", sagte er. Wuala würde nur die Größe des Speicherplatzes sehen, den ein Kunde bei dem Dienst gemietet habe - aber keinerlei Daten selbst.
Auch größere Unternehmen geben sich zugeknöpft bei der Frage, ob sie Konsequenzen aus der Überwachungsaffäre ziehen. So sagen Daimler und Siemens beispielsweise auf Anfrage, dass sie sich zu Sicherheitsthemen grundsätzlich nicht äußern. Auch beim Digitalbranchenverband Bitkom ist zu dieser Frage nichts zu erfahren. Das Problem des Branchenverbands: Hier sind sowohl in Deutschland tätige US-Unternehmen wie IBM, Microsoft und Google als auch deutsche Unternehmen wie Deutsche Telekom organisiert, die die Anti-USA-Stimmung im Überwachungsskandal mit der Kampagne "E-Mail made in Germany" für sich nutzen wollen.
Nicht nur in Europa bauen Unternehmen an sichereren Alternativen zu bekannten US-Diensten. Aus Indien kommt beispielsweise die App Hike, mit deren Hilfe Nachrichten verschlüsselt ausgetauscht werden können - inklusive der unter Smartphone-Nutzern zunehmend beliebten Sticker.
Hike lehnt sich von der Bedienung her sehr eng an klassische Messenger-Apps wie Whatsapp an und lässt sich einfach bedienen. Neben Texten und Bildern können auch Videos und Audiodateien übertragen werden.
Einen Nachteil können alle diese Whatsapp-Alternativen nicht ausbügeln: Keiner besitzt annähernd so viele Nutzer wie der Platzhirsch unter den Kurznachrichten-Apps. Erst kürzlich knackte Whatsapp die Grenze von 300 Millionen Nutzern.
Gerade für Apps zum Nachrichtenaustausch ist das entscheidend. Sie sind nur sinnvoll, wenn auch möglichst viele Freunde, Arbeitskollegen und Bekannte darüber erreichbar sind.
*Anmerkung der Redaktion: In einer früheren Version des Artikels hieß es, der E-Mail-Dienst Posteo biete kostenlosen telefonischen Support an. Es handelt sich aber um E-Mail-Support. Zudem ist die Sicherheitsfunktion Perfect Forward Secrecy erst seit Ende Juli aktiv, nicht wie ursprünglich behauptet schon vor dem Überwachungsskandal.