Kleine Anfrage der Linken:
Mindestens 32 Clouddienste der Hyperscaler Google, Amazon, Microsoft und Oracle werden von der Bundesregierung genutzt, aber nur in einem Fall mit Ende-zu-Ende-Verschlüsselung. Das teilte die Digitalexpertin der Linken, Anke Domscheit-Berg, am 2. April 2025 unter Berufung auf Antworten der Bundesregierung auf eine Kleine Anfrage der Linken mit.
Wenn die wirklich fitte Digitalexperten hätten, würden sie nicht auf diesen Ende-zu-Ende-Scheiß reinfallen. Wenn das eine Ende eine unter der Kontrolle einer feindlichen Regierung steht, ist völlig egal, ob der Weg dahin Ende-zu-Ende-verschlüsselt ist.
Ende-zu-Ende-Verschlüsselung ist kein magischer Pixie Dust, den man über eine schlechte Idee rübersprenkelt, und dann ist sie nicht mehr so schlecht.
Wenn du deine Mail bei Microsoft oder Gmail hast, dann kann die US-Regierung mitlesen, egal wieviel TLS du machst. Da müsstest du schon PGP nehmen, und auch dann sieht die US-Regierung noch, wer wann mit wem geredet hat.
Und wenn du an deinem Ende Microsoft-Software einsetzt, dann kannst du dir das Verschlüsseln eh sparen. Die könnten das ausleiten und du würdest nichts davon merken.
Update: Aber Fefe, das ist unfair, was du hier schreibst, denn die Linken meinen ja mit E2E in dem Fall tatsächlich E2E, wobei beide Enden außerhalb der Cloud sind. Die meinen verschlüsselte Backups in die Cloud, wo ja wirklich die Cloud nichts entschlüsseln kann!
Auf der einen Seite: Ja.
Auf der anderen Seite: Das ist nicht die Definition von E2E im Cloud-Umfeld. Die Definition von E2E-Krypto im Cloud-Umfeld findet hier z.B. hier für AWS. Die wollen dir ein "CloudHSM" verkaufen. HSM heißt eigentlich Hardware Security Module, und die Idee ist, dass der Key nur darin ist und nicht extrahiert werden kann. Das soll dagegen schützen, dass ein Angreifer, der den Host hackt, den Schlüssel klaut. Wenn der Cloudanbieter dich aber verarschen will, UND DAS KANNST DU NICHT ERKENNEN, OB DAS SO IST, dann gibt er dir ein in Software emuliertes HSM oder gar bloß eine API, und du bist auf einen Riesenhaufen Theater reingefallen und hast nichts erreicht. Cloud-Anbieter sind Trickbetrüger.
Ja aber Fefe, das ist doch bloß AWS, wir kaufen doch bei Microsoft!1!! Na dann guckt halt in Microsofts "Dokumentation", was die mit E2E-Sicherheit meinen. Gar nichts. Reines Geschwurbel. Kaufen Sie doch auch Tickets für unsere folgenden Theateraufführungen!
Und in der Industrie, außerhalb von Cloud-Trickbetrügern, versteht man unter E2E im Allgemeinen (lacht nicht!) TLS. Daher mein Rant oben.
Wenn die Linken hier aber das echte E2E meinten, wieso reg ich mich dann so auf? Na weil das halt irreführende Kackscheiße ist. Du kannst diese Art von E2E nur für eine Anwendung fahren: Für die Ablage verschlüsselter Daten im Storage. Das heißt Backups und das heißt File Sharing. Fertig. Für alles andere geht das nicht. Nicht für deine E-Mail, nicht für deine Anwendung, die du gerne in die Cloud schieben wollen würdest, nicht für deine Datenbank. Für nichts.
Im Übrigen rege ich mich immer über sowas auf. Beispiel: Wir benutzen KI nur für Dinge, die KI gut kann! Tolle Formulierung, die alle befriedigt aber nichts heißt. Ich denke mir dann: OK also ihr setzt das gar nicht ein, denn es kann ja nichts gut. KI-Schlangenölverkäufer denken sich dann: OK also ihr setzt das für alles ein, denn "KI" ist ja für alles geil!1!! Das bedeutet nichts!
Andere Ausprägung: "Verantwortungsvoll" wo dran pappen. Responsible disclosure. Responsible encryption. Das ist reiner Trickbetrug, bar jeder inhaltlichen Bedeutung. Und so ist das im Cloud-Umfeld mit "E2E" halt auch. Sagt doch einfach gleich "responsible cloud computing", dann wissen wenigstens alle, dass sie gerade verarscht werden.