Wenn eine Nachricht nicht Ende-zu-Ende verschlüsselt ist, solltest du davon ausgehen, dass sie irgendwann leakt.
Von Christina Maas
Menschen behandeln Textnachrichten immer noch so, als würden sie Geheimnisse in einen Tresor flüstern. Sie verschicken Geständnisse, Beschwerden, Flirts und Wutausbrüche über Plattformen, die zu Billionen-Dollar-Schwergewichten der Überwachung gehören – und glauben offenbar, diese Daten verschwinden in einem wohlwollenden digitalen Schwarzen Loch.
In Wahrheit liegen diese Nachrichten auf Servern von Konzernen, deren Geschäftsmodell darauf beruht, mehr über dich zu wissen als deine eigene Familie.
Die Illusion der Privatsphäre
Die Illusion des Datenschutzes wird durch Markenimage am Leben erhalten. All diese hübschen Icons, Schloss-Emojis und beruhigenden Aussagen über „Sicherheit“ und „Schutz“ – das sind Marketinginstrumente, keine Sicherheitsgarantien.
Wenn ein Dienst keine Ende-zu-Ende-Verschlüsselung verwendet, sind deine Nachrichten für das Unternehmen, seine Mitarbeitenden – und jeden mit den richtigen Zugangsdaten oder einer richterlichen Verfügung – sichtbar.
Plattformen wie Gmail oder Slack sind nichts anderes als Aktenschränke mit Glastüren. Wer dort etwas auch nur ansatzweise Sensibles teilt, spielt ein riskantes Spiel. Und das Haus gewinnt immer.
Diese Firmen speichern deine Nachrichten in lesbarem Format, analysieren sie für Werbezwecke, geben sie in Rechtsstreitigkeiten weiter und gewähren beliebig vielen internen Teams mit Namen wie „Moderation“ oder „Datenanalyse“ Zugriff darauf.
Wenn die Daten auf den Servern der Unternehmen landen, sind sie Freiwild – selbst wenn eine schwache Form von Verschlüsselung besteht.
Und trotzdem vertrauen wir weiter
Menschen schicken weiterhin sensible Texte, Geschäftsgeheimnisse und persönliche Krisen durch Datenleitungen, die genauso gut mit einem Warnschild „Zugriff auf Anfrage“ gekennzeichnet sein könnten.
Und sind dann schockiert, wenn etwas leakt:
– Wenn die privaten Nachrichten eines Promis auf X auftauchen.
– Wenn ein Gerichtsverfahren die DMs eines CEOs zutage fördert.
– Wenn ein verärgerter Ex-Mitarbeiter interne Chats veröffentlicht.
Ende-zu-Ende-Verschlüsselung ist die letzte Verteidigungslinie zwischen deinem Privatleben und dem digitalen Panoptikum.
Apps wie Signal oder SimpleX Chat halten deine Gespräche tatsächlich verschlossen – nicht „irgendwie verschlüsselt“, nicht „während der Übertragung geschützt“, sondern wirklich unzugänglich für alle außer Absender und Empfänger.
Und genau deshalb hassen Regierungen und Tech-Konzerne diese Tools. Sie können sie nicht überwachen, nicht monetarisieren, nicht manipulieren. Wenn eine Nachricht verschickt wurde, ist sie für sie unerreichbar – und das ist im Zeitalter unersättlicher Datengier inakzeptabel.
„Ich habe nichts zu verbergen“ – der gefährlichste Satz
Kaum ein Satz wird so selbstzufrieden wiederholt wie: „Ich habe doch nichts zu verbergen.“
Meist von Leuten, die noch nie eine Datenschutzrichtlinie gelesen oder darüber nachgedacht haben, dass ihr Posteingang irgendwann Beweismittel A sein könnte.
Datenschutz bedeutet nicht Geheimhaltung. Es bedeutet Raum.
Raum, um dumme Dinge zu sagen.
Um Dampf abzulassen.
Um Fehler zu machen.
Um einfach Mensch zu sein – ohne dass alles verewigt und gegen dich verwendet wird.
Das brasilianische Discord-Fiasko
Erst diese Woche wurde bekannt, dass in Brasilien 15 Forscher den digitalen Äquivalent eines Sees leergepumpt haben – und behaupten, es sei nur „für die Fische“ gewesen.
Unter dem Deckmantel eines „Forschungsprojekts“ sammelten sie über 2 Milliarden Discord-Nachrichten von 2015 bis 2024 – und veröffentlichten alles als strukturierte JSON-Dateien für das gesamte Internet.
Stell dir vor: Deine Teenager-Gamingchats als Material für ein Machine-Learning-Seminar.
Laut den Forschern der Bundesuniversität Minas Gerais war das alles rechtlich sauber.
Vollkommen ethisch.
Im Einklang mit Discords AGB.
Kein Problem.
Sie durchforsteten 3.167 Server, analysierten 4,7 Millionen Nutzer und veröffentlichten eine 118 GB große Datenbank.
Jetzt können sich Akademiker mit den Themen „psychische Gesundheit“ und „politische Radikalisierung“ durch die Reste digitaler Intimität fremder Menschen wühlen.
„Alle Daten stammen aus Gruppen, die gemäß den Nutzungsbedingungen von Discord ausdrücklich als öffentlich gelten …“
Dieser Satz versucht zu rechtfertigen, was in Wahrheit eine Vergewaltigung der Nutzererwartung ist.
Ja, Discord hat „öffentliche Server“ – aber niemand rechnet damit, dass seine Chats in durchsuchbaren Forschungsdatenbanken landen, gehostet von Unis auf einem anderen Kontinent.
Discord ist kein Reddit.
Kein Twitter.
Es ist eine Mischung aus Gaminghöhle, Rollenspielgruppe, Startup-Küche und Burnout-Selbsthilfegruppe.
„Anonymisierung“? Wohl kaum.
Die Forscher sagen, sie hätten die Daten „anonymisiert“.
Eine steile Behauptung in einer Zeit, in der selbst ein Emoji plus Zeitstempel zur Identifikation reicht.
Und es wird noch schlimmer:
Während sie fleißig ihr Mega-Datenset veröffentlichten, brachte ein anderer Entwickler „Searchcord“ heraus – ein Discord-Datentool basierend auf nicht anonymisierten Daten.
So lief die Datenerfassung ab
- Discords „Discovery“-Feature wurde genutzt, um alle öffentlichen Server (über 31.000) zu erfassen.
- 10 % davon wurden zufällig ausgewählt.
- Mithilfe der Discord-API sammelten sie jahrelange Unterhaltungen, Memes, Wutausbrüche und Mitternachtskrisen.
- Kein Malwareeinsatz, kein Hacking. Nur brutale Datensammelei – legal abgesichert.
Es war, als hätte man jede handschriftliche Notiz in einer öffentlichen Bibliothek kopiert und dann in einem Museum für „akademische Absichten“ ausgestellt.
Der „Spy.pet“-Skandal 2024
Das war nicht das erste Mal, dass Discords Vertrauensmodell ausgenutzt wurde.
Im Jahr 2024 infiltrierte das Projekt Spy.pet gezielt Server – auch private – und loggte jedes Wort.
Ohne Anonymisierung. Ohne Ethik. Nur Überwachung als Dienstleistung.
Discord reagierte mit einem digitalen Atomschlag: Accounts gelöscht, Server gesperrt.
Doch bei den Brasilianern?
Kein Widerspruch.
Weil es eine Universität war.
Die Rechtfertigung: „Forschung“
Die Forscher sagen:
„Das hilft, Desinformation zu erforschen.“
Oder:
„Damit kann man Chatbots trainieren.“
Oder:
„Man kann damit schädliches Verhalten besser verstehen.“
Der TeleMessage-Hack: Behördensystem ausgehebelt
Parallel dazu wurde TeleMessage Signal (TM SGNL) gehackt – ein Signal-Klon, genutzt von US-Behörden wie FEMA, Heimatschutz und Secret Service.
Kein Hightech-Hack – der Angreifer klickte sich wie ein gelangweilter Schüler durch das Admin-Panel.
Warum?
Weil Passwörter mit MD5 gehasht wurden – ein uralter, unsicherer Algorithmus.
Nach 20 Minuten hatte der Hacker Zugriff auf
– Archivsysteme
– Regierungs-Metadaten
– Reisepläne
Mehr als 60 Beamte waren betroffen – darunter auch das Weiße Haus.
Ein Tool für Datenschutz? Nein, für Compliance
TM SGNL war nie auf Sicherheit ausgelegt.
Es war dazu gedacht, wie Signal auszusehen, aber alles mitzuloggen – zur „gesetzlichen Archivierung“.
Ein Frankenstein-Produkt, das Datenschutz simuliert, aber Überwachung ermöglicht.
Ein Fehler? Nein – Absicht
Der wahre Skandal:
Die App wurde bewusst so gebaut, dass sie scheitert.
Signal entkernt – um Aufträge vom Staat zu bekommen.
Dazu wurde die Admin-Konsole in JSP gebaut – einer Technik aus der Netscape-Ära.
Ein einfacher Scan mit feroxbuster offenbarte:
– Eine /heapdump-Datei, offen im Netz.
Darin:
– E-Mails
– Passwörter
– Telefonnummern
Ein Jackpot für Hacker.
Fazit: Alles, was nicht Ende-zu-Ende-verschlüsselt ist, wird früher oder später öffentlich
Wenn deine Nachricht nicht Ende-zu-Ende-verschlüsselt ist, existiert sie als Kopie auf einem anderen Rechner.
Egal ob es ein neugieriger Praktikant, ein Hacker oder ein gelangweilter Doktorand ist – irgendjemand schaut zu, wenn er kann.
Und meistens können sie es.