Mittelstufe ~14 Min. Denken & Wissen

Datenschutz und Verschlüsselung im Alltag

Lernziele

  • Den Unterschied zwischen Datenschutz und Datensicherheit erklären
  • Symmetrische und asymmetrische Verschlüsselung unterscheiden
  • HTTPS/TLS und End-to-End-Verschlüsselung verstehen
  • Passwort-Hashing und Metadaten als Konzepte kennen

Einführung

Jedes Mal, wenn du online einkaufst, eine Nachricht schickst oder dich irgendwo einloggst, werden Daten übertragen. Wer kann diese Daten mitlesen? Wer speichert sie — und wie lange? Und wenn ein Unternehmen gehackt wird: Sind deine Passwörter dann einfach lesbar?

Die Antworten auf diese Fragen hängen davon ab, wie gut die technischen und rechtlichen Schutzmaßnahmen sind. Datenschutz und Datensicherheit sind zwei verschiedene Dinge — und beide sind im Alltag relevant.

Grundidee

Datenschutz ist ein rechtliches Konzept: Es regelt, wer deine Daten zu welchem Zweck erheben und verarbeiten darf. Die wichtigste Regel in der EU ist die DSGVO (Datenschutz-Grundverordnung).

Datensicherheit ist ein technisches Konzept: Es schützt Daten vor unbefugtem Zugriff, Veränderung oder Verlust — durch Verschlüsselung, Authentifizierung, Zugangskontrolle.

Beides ist nötig: Gute Datensicherheit nutzt wenig, wenn ein Unternehmen die Daten ohnehin weiterverkauft. Gute Datenschutzgesetze nützen wenig, wenn Passwörter unverschlüsselt gespeichert werden.

Erklärung

Symmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung verwenden Sender und Empfänger denselben Schlüssel zum Verschlüsseln und Entschlüsseln.

Vorteil: Sehr schnell — geeignet für große Datenmengen.

Problem: Wie tauscht man den Schlüssel sicher aus? Wenn Angreifer den Schlüssel abfangen, können sie alles entschlüsseln. Das ist das Schlüsselaustauschproblem.

Beispiel: AES (Advanced Encryption Standard) ist der Standard für symmetrische Verschlüsselung — verwendet in HTTPS, Festplattenverschlüsselung, WLAN (WPA2).

Asymmetrische Verschlüsselung

Asymmetrische Verschlüsselung löst das Schlüsselaustauschproblem mit einem Schlüsselpaar:

  • Öffentlicher Schlüssel (public key): Kann jeder wissen. Wird zum Verschlüsseln verwendet.
  • Privater Schlüssel (private key): Nur der Empfänger kennt ihn. Wird zum Entschlüsseln verwendet.

Was mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem privaten entschlüsselt werden.

Analogie: Stell dir einen offenen Briefkasten vor. Jeder kann Briefe einwerfen (Verschlüsseln mit öffentlichem Schlüssel), aber nur du hast den Schlüssel, den Kasten zu öffnen (Entschlüsseln mit privatem Schlüssel).

Nachteil: Viel langsamer als symmetrische Verschlüsselung. Deshalb: In der Praxis wird asymmetrische Verschlüsselung nur für den Schlüsselaustausch verwendet — danach übernimmt symmetrische Verschlüsselung.

Beispiel: RSA, elliptische Kurven (ECDH).

HTTPS und TLS

Wenn du auf eine Website mit https:// gehst, ist die Verbindung verschlüsselt. Das läuft über TLS (Transport Layer Security, früher SSL).

Ablauf (vereinfacht):

  1. Dein Browser verbindet sich mit dem Server.
  2. Der Server schickt sein TLS-Zertifikat (enthält öffentlichen Schlüssel und Identitätsnachweis, signiert von einer vertrauenswürdigen Zertifizierungsstelle).
  3. Browser und Server tauschen über asymmetrische Verschlüsselung einen gemeinsamen symmetrischen Schlüssel aus.
  4. Ab jetzt läuft die Kommunikation mit dem schnellen symmetrischen Schlüssel.

Das Schloss-Symbol im Browser zeigt: Die Verbindung ist verschlüsselt. Aber Vorsicht: Es bedeutet nur, dass die Übertragung sicher ist — nicht, dass die Website selbst vertrauenswürdig ist.

End-to-End-Verschlüsselung (E2E)

Bei End-to-End-Verschlüsselung wird die Nachricht auf dem Gerät des Senders verschlüsselt und erst auf dem Gerät des Empfängers entschlüsselt. Kein Server dazwischen — nicht mal der Dienstanbieter — kann die Nachricht lesen.

WhatsApp, Signal, iMessage nutzen E2E-Verschlüsselung (mit unterschiedlichen Vertrauensgraden).

Unterschied zu HTTPS: Bei HTTPS ist die Verbindung zwischen dir und dem Server verschlüsselt — aber der Server selbst kann die Nachricht lesen. Bei E2E kann auch der Server nicht mitlesen.

Kompromiss: E2E macht Backups und Strafverfolgung komplizierter. Deshalb fordern manche Regierungen Hintertüren — was Sicherheitsexperten einhellig ablehnen, weil eine Hintertür für Behörden auch eine für Angreifer ist.

Passwort-Hashing

Wenn du dich auf einer Website registrierst, sollte dein Passwort nicht im Klartext gespeichert werden. Stattdessen wird es gehasht.

Eine Hashfunktion nimmt eine Eingabe (dein Passwort) und berechnet daraus eine Zeichenkette fester Länge — den Hash. Wichtige Eigenschaften:

  • Einwegfunktion: Aus dem Hash kann man das Passwort nicht zurückrechnen.
  • Deterministisch: Gleiches Passwort → gleicher Hash.
  • Kollisionsresistent: Verschiedene Passwörter sollten verschiedene Hashes ergeben.

Beim Login: Dein eingegebenes Passwort wird gehasht und mit dem gespeicherten Hash verglichen. Das Klartext-Passwort wird nie gespeichert.

Salt: Um sogenannte Rainbow-Table-Angriffe (vorberechnete Hash-Tabellen) zu verhindern, wird dem Passwort vor dem Hashen ein zufälliger Salt hinzugefügt. Das macht jedes Passwort einzigartig gehasht, auch wenn viele Nutzer dasselbe Passwort haben.

Moderne Algorithmen: bcrypt, Argon2 — bewusst langsam, um Brute-Force teuer zu machen.

Was passiert bei Datenlecks? Wenn eine Datenbank mit gehashten Passwörtern gestohlen wird, muss der Angreifer die Hashes knacken — das ist aufwändig. Wenn sie im Klartext gespeichert waren (schlechte Praxis!), kann sofort eingeloggt werden.

Metadaten

Selbst verschlüsselte Nachrichten hinterlassen Metadaten: Wer hat wann mit wem kommuniziert? Wie lange? Wie oft?

Diese Metadaten können sehr aussagekräftig sein — auch ohne den Inhalt zu kennen. „Person X hat jeden Tag mit Person Y kommuniziert und danach mit einem Anwalt” — das verrät viel.

Deshalb reicht Inhaltsverschlüsselung allein nicht für vollständige Privatsphäre. Tools wie Tor oder VPNs versuchen, auch Metadaten zu verschleiern — mit unterschiedlichem Erfolg.

DSGVO: Rechtlicher Rahmen

Die DSGVO (seit 2018 in der EU gültig) legt fest:

  • Daten dürfen nur mit Einwilligung oder berechtigtem Interesse erhoben werden.
  • Nutzer haben das Recht auf Auskunft, Korrektur, Löschung (Recht auf Vergessenwerden).
  • Datenpannen müssen gemeldet werden.
  • Verstöße können mit bis zu 4 % des weltweiten Jahresumsatzes bestraft werden.

Anonymisierung vs. Pseudonymisierung:

  • Anonymisiert: Alle Identifizierungsmerkmale entfernt — Rückschluss auf Person unmöglich.
  • Pseudonymisiert: Identifizierungsmerkmale durch Pseudonyme ersetzt — mit Schlüssel rückführbar.

Viele Datensätze, die als „anonym” bezeichnet werden, sind in Wirklichkeit nur pseudonymisiert — und mit anderen Datenquellen kombiniert oft re-identifizierbar.

Beispiel aus dem Alltag

Online-Shopping:

Du gibst deine Kreditkartendaten auf Amazon ein. Was passiert?

  1. HTTPS/TLS verschlüsselt die Übertragung: Niemand im Netzwerk kann mitlesen.
  2. Amazon speichert deine Zahlungsdaten — oft pseudonymisiert, in manchen Fällen weitergeleitet an Zahlungsdienstleister.
  3. Amazon selbst kann deine Transaktionen sehen — das ist kein E2E-Szenario.
  4. Dein Passwort auf Amazon sollte als gehashter Salt-Hash gespeichert sein.

Signal vs. WhatsApp:

Beide nutzen E2E-Verschlüsselung für Nachrichteninhalte. Der Unterschied: Signal ist Open Source (der Code kann überprüft werden), sammelt keine Metadaten, ist gemeinnützig. WhatsApp gehört Meta, teilt Metadaten mit dem Konzern und hat proprietären Code.

Anwendung

Überprüfe deine eigene Datensicherheit:

  1. Nutzt du dasselbe Passwort auf mehreren Seiten? Warum ist das riskant, wenn eines dieser Unternehmen gehackt wird?
  2. Schau, welche Apps auf deinem Handy Zugriff auf Standort, Mikrofon oder Kamera haben. Welche davon brauchst du wirklich?
  3. Nenne drei Arten von Metadaten, die ein Messaging-Dienst ohne dein Wissen sammeln könnte — selbst wenn die Nachrichteninhalte verschlüsselt sind.

Typische Fehler

HTTPS = sicher: HTTPS bedeutet nur, dass die Übertragung verschlüsselt ist. Die Website selbst kann trotzdem Malware enthalten, Daten weiterverkaufen oder unsicher gespeicherte Passwörter haben.

Verschlüsselung = Anonymität: Verschlüsselung schützt Inhalte, nicht Metadaten. Wer, wann, wie oft — das ist oft sichtbar.

VPN = vollständige Privatsphäre: Ein VPN verschiebt nur, wem man vertraut: statt dem ISP (Internetanbieter) dem VPN-Anbieter. VPNs schützen nicht vor Tracking durch Cookies oder Fingerprinting.

Gute Passwörter reichen: Passwortlecks passieren durch Datenbankeinbrüche, nicht durch Passwort-Knacken. Deshalb: Für jede Website ein anderes Passwort — am besten mit einem Passwort-Manager.

Zusammenfassung

  • Datenschutz (rechtlich) und Datensicherheit (technisch) sind verschiedene Konzepte, die sich ergänzen
  • Symmetrische Verschlüsselung ist schnell, hat aber ein Schlüsselaustauschproblem; asymmetrische löst das, ist aber langsam — deshalb kombiniert TLS beides
  • HTTPS/TLS schützt die Übertragung zwischen Browser und Server; End-to-End-Verschlüsselung schützt so, dass auch der Server nicht mitlesen kann
  • Passwörter sollten als gehashte Werte mit Salt gespeichert werden — niemals im Klartext
  • Metadaten (Wer? Wann? Wie oft?) können aussagekräftiger sein als Inhalte — auch wenn diese verschlüsselt sind
  • Die DSGVO gibt EU-Bürgerinnen Rechte über ihre Daten; Anonymisierung und Pseudonymisierung sind dabei nicht dasselbe

Quiz

Frage 1: Was ist der Unterschied zwischen symmetrischer und asymmetrischer Verschlüsselung — und warum kombiniert TLS beide?

Frage 2: Was ist End-to-End-Verschlüsselung — und was unterscheidet sie von normaler HTTPS-Verschlüsselung?

Frage 3: Warum werden Passwörter gehasht gespeichert — und was ist ein Salt?

Frage 4: Was sind Metadaten — und warum können sie problematisch sein, selbst wenn Nachrichteninhalte verschlüsselt sind?

Schlüsselwörter

verschlüsselunghttpstlsend-to-endhashpasswort-hashingdatenschutzdsgvometadatenanonymisierung

Verwandte Themen

Datenschutz und digitale Spuren ~13 Min. Wie funktioniert Künstliche Intelligenz? ~15 Min. Datenbanken — Strukturiert speichern und abfragen ~16 Min.