„Man kann alles hacken“

Interview Keiner will der NSA oder Konzernen Daten überlassen, E-Mails verschlüsselt aber kaum jemand. Andy Yen will das ändern. Und das Netz gleich mit
Christine Käppeler | Ausgabe 27/2015 8
„Man kann alles hacken“
In einer ausrangierten Kommandozentrale des Schweizer Militärs stehen heute Protonmail-Server
Foto: Fabrice Coffrini/AFP/Getty Images

Seit Februar habe ich eine neue E-Mail-Adresse. Wenn ich eine Nachricht verschicke, steht darunter nun „Sent from Protonmail, encrypted email based in Switzerland“. Das klingt solide, aber für manche vielleicht auch, als hätte ich etwas zu verbergen. Wie ein Nummernkonto bei der UBS. Der Name kommt nicht von ungefähr: Protonmail wurde am Cern in Genf entwickelt, das physikalische Grundlagenforschung betreibt. Der Kopf hinter Protonmail ist kein IT-Nerd oder Software-Entrepreneur, sondern der Physiker Andy Yen. Er hat in Harvard studiert und ging 2006 in die Schweiz, um am Cern mit dem Teilchenbeschleuniger zu arbeiten, der das Higgs-Boson nachwies, das sogenannte Gottesteilchen. Wie kommt so jemand dazu, sich um die Verschlüsselung privater E-Mails zu kümmern? Und sind meine Daten bei ihm sicher?

der Freitag: Herr Yen, einmal angenommen, der nächste Edward Snowden wollte mir Dokumente zuspielen. Könnten Sie ihm guten Gewissens raten, sie über Protonmail zu schicken?

Andy Yen: Sicherer als mit Gmail oder einem anderen freien Dienst wäre das. Aber wer sehr mächtige Gegner hat, sollte überhaupt keine E-Mails versenden. Wir versuchen größtmögliche Sicherheit zu bieten. Aber per Definition kann es hundertprozentige Sicherheit nicht geben. Es gibt kein System auf dieser Welt, das nicht gehackt werden kann. Das ist nur eine Frage der Zeit und des Aufwands, den Ihr Gegner investieren will.

Was nutzt Protonmail dann?

Wir haben die Hürden gegen Hacking und Einbrüche so hoch angelegt, dass eine Massenüberwachung durch die NSA kaum möglich ist. Wenn die US-Regierung nun aber ihre ganze Energie darauf verwendete, einen einzigen, prominenten Account zu hacken, sähe es anders aus. Kurz: Leute wie Edward Snowden sollten das Internet überhaupt nicht nutzen.

Protonmail liefert mir also eine Art Türschloss, das verhindert, dass jeder bei mir ein und aus geht. Wenn ich eine komplexe Alarmanlage benötige, muss ich mich woandershin wenden?

Das trifft es sehr gut. Technik ist ein Wettstreit. Je besser die Verschlüsselung wird, desto besser werden die Technologien der NSA, um diese anzugreifen. Datenschutz und Privatsphäre sind bewegliche Ziele. Im Moment sind unsere Algorithmen der NSA vermutlich einen Schritt voraus, aber eines Tages knacken sie die. Da Computer besser und besser werden, ist das eine Frage der Zeit. Für die Tech-Community ist es also wichtig, ständig etwas Neues zu entwickeln, um den Diensten einen Schritt voraus zu sein.

Viele Projekte wie das Ihre sind erst im Zuge der Snowden-Enthüllungen entstanden. Hinken Sie den Entwicklungen im Netz nicht hinterher?

Das ist definitiv so. Nicht nur an der Sicherheitsfront, auch was die Usability betrifft, sind wir zehn Jahre hinten dran. Google hat seinen E-Mail-Dienst 2004 gelauncht. Er ist Protonmail zehn Jahre voraus. Es wird womöglich ein Jahrzehnt dauern, bis wir so gut wie Gmail sind. Für ein Projekt wie das unsere ist das ein Problem. Wenn Sie von Gmail zu Protonmail wechseln, geht das nicht ohne Verzicht. Wir als Privacy Community müssen vor allem auch daran arbeiten, diese Lücke zu schließen.

Protonmail entstand, als Sie sich nach den Snowden-Enthüllungen mit Cern-Kollegen in einer Facebook-Gruppe darüber austauschten, was nun zu tun sei. Mal ehrlich, würden Sie das heute immer noch so machen?

Ich persönlich bin überhaupt nicht damit einverstanden, dass Facebook Geld macht, indem es Daten schürft und Menschen ausspäht. Aber davon abgesehen, ist Social Media ein nützliches Tool. Protonmail wird Google und Facebook nicht verschwinden lassen. Aber es ist wichtig, dass es eine Alternative gibt. Wenn Sie Ihre Privatsphäre wahren möchten, haben Sie im Moment keine Wahl. Das treibt uns an: Wir möchten den Menschen die Option bieten, wirklich private E-Mails zu schreiben.

Zur Person

Andy Yen, 27, ist Physiker und hat am Cern in Genf mit zwei Kollegen Protonmail gegründet. Unter dem Slogan Think your email’s private? Think again stellte er vergangenen Herbst die Idee dahinter in einem Ted-Talk vor, dort erklärt er auch, wie genau die Verschlüsselung funktioniert (abrufbar unter ted.com). Inzwischen hat Protonmail über 500.000 Nutzer

Foto: Stuart Cahill

Sie nutzen Facebook also noch.

Ja, um mit Freunden zu kommunizieren. Es gibt nun mal kein alternatives Facebook. Aber es wird Projekte geben, die Social Media so nachrüsten, dass die Privatsphäre gewahrt bleibt.

Das Cern ist der Ort, an dem Tim Berners-Lee in den 1980ern das World Wide Web entwickelt hat. Was haben Sie dort über dessen Geburtsfehler gelernt?

Wenn Sie mit Berners-Lee sprechen, wird er Ihnen sagen, dass ihm damals ein ganz anderes Internet vorschwebte. Wenn er heute das World Wide Web noch einmal entwickeln könnte, würde er sehr vieles anders machen. Ein großer Teil der Infrastruktur des Internets wurde ohne den Gedanken an Privatsphäre und Sicherheit entwickelt. Bei Projekten wie dem unserem geht es also nicht nur darum, E-Mails anzubieten. Wir konstruieren auch einen Teil der Architektur des Internets neu. Das ist ein langer und schwieriger Prozess.

Eine Zeit lang schien das Internet von einer Art Hippie-Gedanken beseelt: Jeder hat Zugang, es wird die Menschen gleicher machen. Hat uns das so verletzlich gemacht?

Sie müssen noch weiter in der Geschichte des Internets zurückgehen. Es wurde ursprünglich von Wissenschaftlern entwickelt, um zu kommunizieren und Forschungsergebnisse zu teilen. Dinge wie Social Media oder Onlinebanking konnte sich damals keiner ausmalen. Die Konsequenzen davon sehen wir heute.

Aber waren nicht gerade die Wissenschaftler auf Geheimhaltung angewiesen?

Das Gegenteil ist der Fall. Die Wissenschaftsgemeinde ist sehr offen, wir publizieren alle Ergebnisse online und machen unsere Datensätze der Welt zugänglich. Das gilt auch für Protonmail: Die Encryption Libraries, die wir verwenden, sind Open Source.

Projekte wie Lavabit, die vor Ihnen verschlüsselte E-Mails für jedermann anbieten wollten, sind gescheitert. Sie deuteten an, die US-Regierung habe enorm Druck gemacht, um an ihre Daten zu kommen. Warum glauben Sie, dass Ihnen das nicht passiert?

Lavabit hatten die Kodierungsschlüssel auf ihrem Sever liegen. Und sie hatten einen Schlüssel für alle Nutzer, das machte sie anfällig. Diese Erfahrung haben wir berücksichtigt. Unser System hat diese Schwäche nicht. Jeder Nutzer hat einen eigenen Schlüssel, auf den wir keinen Zugriff haben. Bei Lavabit kam hinzu, dass ihr Standort in den USA war, die ein sehr feindseliges Umfeld für Datensicherheit sind. Wir werden hier hingegen vom Kanton Genf finanziell unterstützt. Die Haltung der Schweizer Regierung ist eine ganz andere.

Aber wird das auf Dauer so bleiben? Die Schweiz war immer für das Bankengeheimnis bekannt. Das weicht sie nun unter internationalem Druck auf.

Die Privatsphäre ist heiliger. Die Menschen sind weniger willig, sie aufs Spiel zu setzen. Entscheidend ist aber, dass wir ein System entwickelt haben, das technisch gesehen sicher ist. Letztlich ist das eine mathematische Frage. Wenn wir unsere Server von Zürich nach Berlin verlegen, ändert sich der physische Standort, aber die Gesetze der Mathematik, die Ihre Daten schützen, bleiben diesselben. Es ist also egal, wo wir die Daten lagern.

Man stellt sich diese Datencenter in der Schweiz ja so vor: Tief in einem Berg, davor patroullieren bewaffnete Sicherheitskräfte …

Eines unserer Datenzentren ist in einer ausrangierten Kommandozentrale des Schweizer Militärs. Als die Schweiz in den 90ern viele ihrer Bunker ausmusterte, verkaufte sie sie in private Hände. Einer von ihnen wurde zu einem Datencenter umgebaut. Also ja, es ist wirklich tief in einem Berg in den Alpen. Die Betreiber fanden, wir würden perfekt dort hinpassen. Sie haben uns eingeladen.

Vergangenen Sommer hat Paypal Ihren Account eingefroren. Ein Beispiel für die fatalen Abhängigkeiten, die im Internet entstanden sind?

Wir hatten eine Crowdfundingkampagne laufen, mit der wir eine halbe Million Dollar Spenden aus aller Welt eingenommen hatten. Mehr als die Hälfte wurde über Paypal gespendet. Eines Tages wachten wir auf und stellten fest, dass unser Account gesperrt war. Also das ist eines der Probleme des Internets. Es ist eine Möglichkeit, jemanden zu stoppen. Bitcoin kommt nur für Leute in Frage, die technisch versiert sind. Es war also eine Menge Geld, das eingefroren wurde, und zu dem wir keinen Zugang mehr hatten.

Hat Ihnen das Angst gemacht?

Es hat uns kurz Angst gemacht, aber dann auch gezeigt, welche Macht die Öffentlichkeit hat. Viele Spender waren außer sich und haben über Social Media und die Presse Druck ausgeübt. Das Ergebnis war, dass Paypal nach einem Tag unser Geld freigab. Es gibt hier eine Schwäche, wir sind von Paypal abhängig. Gleichzeitig ist Paypal vom Wohlwollen der Leute abhängig. Wenn alle wütend auf sie sind, müssen sie das Richtige tun.

Paypal schrieb in einem Statement, man sei sich nicht sicher, ob das legal ist, was Sie tun.

Paypal dachte, wir würden etwas Illegales tun, das sich gegen die US-Regierung richtet. Sie dachten, sie könnten dafür haftbar gemacht werden.

Man ist also ein Krimineller, wenn man seine Daten versteckt.

Die meisten Menschen durchschauen diese Problematik nicht besonders gut. Deshalb ist es so wichtig, aufzuklären. Viele denken immer noch, Verschlüsselung sei etwas für Terroristen. Das ist ein fundamentales Missverständnis. Ich sage den Leuten: Wenn Sie kein Terrorist sind, dann können Sie mir ja auch Ihr Passwort geben. Das macht natürlich keiner.

Sie geben an, dass Protonmail in Russland, Iran, Syrien und China verwendet wird, wo Datenschutz noch viel wichtiger ist. Woher wissen Sie das, wenn Sie doch Anonymität versprechen?

Interessanterweise wissen wir wegen der Sprachbarriere, dass wir Nutzer in diesen Ländern haben. Anfangs hat unser System Russisch und Arabisch nicht unterstützt, die Schriftzeichen wurde in den Mails also nicht richtig angezeigt. Aus diesem Grund bekamen wir eine Menge Fehlerberichte. Wir kennen unsere Nutzer also nur, weil sie sich beschweren.

06:00 06.07.2015

Ihnen gefällt der Artikel?

Dann lesen Sie noch mehr Beiträge und testen Sie die nächsten drei Ausgaben des Freitag kostenlos:

Abobreaker Startseite 3NOP plus Verl. ZU Baumwolltasche

Kommentare 8

Avatar