Tresorit, die schweizerisch-ungarische Anbieterin von sicherem Cloud-Speicher, wird von der Schweizerischen Post übernommen.
In einer Medienmitteilung erklärt die Schweizerische Post, das Briefgeheimnis ins digitale Zeitalter bringen zu wollen.
Mit der Übernahme wird Tresorit verstaatlicht, denn die Schweizerische Post befindet sich zu 100 Prozent im Eigentum der Schweizerischen Eidgenossenschaft.
In der Folge stellt sich die Frage, ob Nutzerinnen und Nutzer darauf vertrauen können, dass ihre Daten bei Tresorit sicher sind. Die Schweiz ist bekanntlich ein Überwachungsstaat und dieser Überwachungsstaat kontrolliert nun Tresorit.
Tresorit ist bislang nicht als Open Source-Software verfügbar. Nutzerinnen und Nutzer können deshalb nicht selbst überprüfen, ob Tresorit tatsächlich so sicher ist, wie behauptet wird.
Briefgeheimnis statt Ende-zu-Ende-Verschlüsselung?
Aufhorchen lässt insbesondere der erwähnte Vergleich mit dem Briefgeheimnis (Art. 179 StGB).
Daten, die per Briefpost verschickt werden, sind gerade nicht Ende-zu-Ende-verschlüsselt. Das Briefgeheimnis verhindert nicht, dass Briefe geöffnet werden können. Es verbietet zwar grundsätzlich das Öffnen, wird aber durch zahlreiche Ausnahmen ausgehöhlt.
Diese Ausnahmen sind – technisch gesprochen – Hintertüren, die Berechtigte nutzen dürfen, um sich Zugang zu Daten in Briefen zu verschaffen. Zu diesen Berechtigten zählen insbesondere Sicherheitsbehörden. Die Nutzung dieser Hintertüren wird weder wirksam beaufsichtigt noch schaffen die Beteiligten diesbezüglich Transparenz. Und genau solche Hintertüren wünschen sich die Sicherheitsbehörden in der Schweiz und anderswo schon lange für digitale Kommunikation mit Ende-zu-Ende-Verschlüsselung.
Bislang setzt die Schweiz auf Staatstrojaner und Sicherheitslücken gegen Ende-zu-Ende-Verschlüsselung. Insofern stellt sich unter anderem die Frage, wie die Schweizerische Post als Staatsbetrieb reagieren wird, wenn der Nachrichtendienst des Bundes darum bittet, eine entdeckte Sicherheitslücke in Tresorit erst einmal nicht zu beheben oder wenn die Staatsanwaltschaft des Kantons Zürich wünscht, einem bestimmten Nutzer eine Tresorit-Variante mit integriertem Staatstrojaner aufzuspielen.
Threema als Vorbild für Tresorit?
Threema, die schweizerische Anbieterin für sicheres Instant Messaging, nutzte den Einstieg von Investoren, um den Quelltext öffentlich zugänglich zu machen. Ausserdem veröffentlicht Threema einen aktuell gehaltenen Transparenzbericht und lässt externe Audits durchführen. Threema zeigt, wie man trotz der Übernahme durch Investoren glaubwürdig bleiben kann.
Die Schweizerische Post wird zeigen müssen, dass Tresorit das Vertrauen der Nutzerinnen und Nutzer verdient. Für Software, die Sicherheit beansprucht, führt letztlich kein Weg daran vorbei, dass der Quelltext veröffentlicht wird.
Bild: Pixabay / blende12, Public Domain-ähnlich.
Nachtrag: Nutzerinnen und Nutzer von Tresorit haben heute Nachmittag die nachfolgende E-Mail vom «Tresorit Management Team» mit dem Betreff «Change of Tresorit shareholders enables growth potential» erhalten:
«We are grateful that you entrust Tresorit with the protection of your data within your organization and while sharing it with external partners. That’s why we are excited to inform you about a development step that enables Tresorit to further its mission to protect your privacy:
Effective July 6, Swiss Post acquired a majority stake of Tresorit.
What does that mean for your contract with Tresorit?
There will be no changes for you, your existing contract and service remain in force. We are maintaining our current management team (including our founders), our brand and our service. Tresorit will be an independent entity within Swiss Post Group.
What does this mean for Tresorit’s business?
The collaboration between Swiss Post and Tresorit is based on shared values regarding security and privacy. Being part of Swiss Post Group strengthens us as a company and allows us to further develop our offering to provide you with a Secure Collaboration Platform protected with the highest security standards. We are convinced that Tresorit and its technology, as part of an ecosystem of privacy-oriented products built by a trusted brand like Swiss Post, will open up new opportunities for us and our customers in the future.
Please feel free to reach out to your Sales contact at Tresorit or to our Customer Support in case of any questions.
Best,
Tresorit Management»