Bei der Anmeldung zu einer Messenger-App auf dem Smartphone werden Nutzer meist aufgefordert, dem Dienst Zugriff auf ihr Adressbuch zu gewähren. Damit sollen die Nutzer automatisch mit allen Kontakten verbunden werden, die den Dienst ebenfalls nutzen. Das Problem: Aktuell laden Diensteanbieter sich für das Abgleichen oft das gesamte Adressbuch auf ihre Server. Über diesen „Mobile-Contact-Discovery“-Prozess erhalten sie also Zugriff auf Daten von Personen, die der Datenverarbeitung nicht zugestimmt haben. Die Lösung Contactguard soll das verhindern.

Die von Forschern der TU Darmstadt und der TU Graz entwickelte quelloffene Anwendung soll die über die Kontaktermittlung möglicherweise entstehenden Privatsphäre-Gefahren und kritischen Szenarien einschränken oder komplett vermeiden. Dazu gehören laut den Experten „das Ausspionieren von Kontakten oder das Weiterverkaufen von Daten und das Auswerten sensitiver Beziehungen“. Contactguard setzt hier mit neuen Verschlüsselungsprotokollen an, die deutlich effizienter und sicherer sind als bisher existierende Ansätze.

Das Ganze funktioniert so: Contactguard sorgt dafür, dass Nutzer besonders schützenswerte Kontakte vorab als sensitiv kennzeichnen können. Auf diese können die Dienste dann nicht zugreifen. Die verbliebenen gemeinsamen Kontakte von Messenger-App und Nutzern werden über sichere kryptographische Protokolle zur Schnittmengenberechnung ermittelt. Dazu wird die verschlüsselte Datenbank des Diensteanbieters an den Nutzer gesendet und auf dem Smartphone gespeichert.

Damit dies nicht zu viele Ressourcen verschlingt, haben die Forscher eigens eine Komprimierungstechnik entwickelt. Die Adressbucheinträge werden auf dem Gerät des Nutzers verschlüsselt. Weder Nutzer noch Diensteanbieter erhalten weitere Informationen oder sensitive Daten. Insbesondere nicht über jene Nutzer, die nicht bei dem Dienst registriert sind. Noch besteht ein Problem von Contactguard allerdings in der Skalierbarkeit. Die Nutzerdatenbank von Whatsapp etwa umfasst über zwei Milliarden Einträge – ein Abgleich würde entsprechend lange dauern.

Zudem kämen auf die Anbieter Zusatzkosten für die Datenverarbeitung zu, wie die Futurezone schreibt. Contactguard soll entsprechend weiterentwickelt werden, um noch praktikabler zu werden. Der Cybersicherheitsexperte Christian Rechberger von der TU Graz hofft daher, dass es künftig mehr politischen Willen gebe, das Verfahren zu verbreiten. Bisher hat sich noch kein Diensteanbieter für einen Einsatz der Lösung gefunden.

Die Forscher haben mit Contactguard übrigens den zweiten Platz bei der Vergabe des IT-Sicherheitspreises 2020 der Horst Görtz Stiftung belegt. Das Preisgeld in der Höhe von 60.000 Euro soll für die Weiterentwicklung der Software bis zur Marktreife eingesetzt werden. Ob und wann mit einer entsprechenden Erweiterung der Adressbücher zum Schutz vor Datenschnüffelei gerechnet werden kann, steht derzeit aber nicht fest.