Brave Browser veröffentlicht Plattform „Together“ für Videotelefonie
Der Brave Browser lässt Anhänger der EU-Datenschutzverordnung jubeln. Doch wie steht es wirklich um den Schutz persönlicher Daten auf der neuen Plattform „Together“?
Datenschutz gehört zu den liebsten Themen deutscher Verfassungsschützer und genießt bei Konsumenten und Nutzern höchste Priorität.
Im täglichen Gebrauch sieht das Einhalten der Datenschutzverordnung aus Europa häufig jedoch höchst problematisch aus.
Brave Browser nutzt Schwächen von Zoom
Durch die Corona-bedingten Home-Office Jobs kamen Video-Telefonie-Anbieter wie Zoom nicht nur schnell an die technischen Grenzen, sondern der hohe Andrang führte auch zum genaueren Hinsehen beim Datenschutz.
Schnell kam es zu den ersten Berichten über gehackte Zoom-Meetings und die rasant angestiegene Kurve an der Börse fiel genauso schnell wieder runter.
Proaktiver Einsatz des Unternehmens führte dann zeitnah zu mehr Sicherheit, doch an den Datenschutzbestimmungen und deren Einhaltung wird das Unternehmen noch arbeiten müssen.
Passend dazu kam heute die Nachricht, dass der Brave Browser vom JavaScript-Erfinder Brendan Eich entwickelt und auf dem Chromium-Projekt basierende Browser, besonders hohen Wert auf den Datenschutz legt und stieß damit auf großes Interesse der Medienlandschaft in unserem Lande.
Brave Together als Testversion in Nordamerika
Brave Together ist jetzt integriert und ermöglicht unbegrenzte Videotelefonie für alle Nutzer in Nordamerika. Die regionale und frühe Testversion kommt nicht von ungefähr, schließlich will man sich Marktanteile sichern, bevor wieder alle zur täglichen Arbeit ins Büro strömen.
Doch Grund für die breite Berichterstattung hierzulande ist auch die Tatsache, dass der Anbieter erst vor kurzem ein Widget präsentiert hatte, mit dem Krypto-Nutzer ihren Binance-Account verknüpfen können.
Das Traden von Bitcoin & Co, sowie den neuesten Krypto-Assets im DeFi-Sektor erfolgt damit aus dem Browser heraus.
Die quelloffene und verschlüsselte Chat-Software benötigt keinen eigenen Account, lediglich die Nutzung von Brave als Browser.
Grundlage für die Integration stellt Jitsi Meet dar, das bisher nur in Englisch verfügbar war. Mit der Testversion ist aber jetzt eine deutsche Oberfläche verfügbar und kommt komplett ohne Anmeldezwang aus.
Brave Browser mit Public-Key-Encryption-Technologie
Jitsi Meet war in den letzten Wochen schon bevorzugtes Medium von denjenigen Usern, denen die bekannteren Alternativen wie Zoom und Skype zu unsicher sind.
Experten für Datenschutz bei der Bundesregierung hatten bereits mehrfach vor deren Nutzung gewarnt, da insbesondere die fehlende End-to-End-Verschlüsselung fehlt, die als Mindeststandard für Videotelefonie gilt.
Unter der Ende-zu-Ende-Verschlüsselung, kurz E2EE, wird die Datenübertragung über alle Stationen hinweg verstanden.
Die Verschlüsselung basiert auf symmetrischen oder asymmetrischen Verfahren und verhindert den Zugriff Dritter auf persönliche Daten während der Übertragung.
Das Senden von einem Endgerät zum anderen geschieht unabhängig von Internet Service Providern und verwendeten Applikationen.
Ein öffentlicher Schlüssel wird dafür exklusiv auf den Endgeräten gespeichert und bei derzeitiger Rechenleistung ist das Knacken dieser sogenannten Public-Key-Encryption-Technologie unmöglich.
Um sicherzustellen, dass der verwendete Schlüssel auch wirklich von der betreffenden Instanz stammt, gibt es digitale Zertifikate, die von einer anerkannten Zertifizierungsstelle geprüft und ausgestellt werden. Inhalt des Zertifikates ist der Name des Empfängers und der öffentliche Schlüssel.
Schwachstellen sind derzeit aber:
- Beim Schlüsselaustausch muss jeder Endpunkt den öffentlichen Schlüssel des anderen Endpunktes erhalten. Es besteht das Risiko eines MitM-Angriffes, auch Man-in-the-Middle-Angriffs, bei dem ein Angreifer einem Endgerät oder beiden einen eigenen privaten Schlüssel unterjubelt.
- E2EE ist wirkungslos, wenn vor dem Eingehen der Verbindung eines der Endpunkte bereits kompromittiert wurde und der Kriminelle die Inhalte vor oder nach der Entschlüsselung auslesen kann.
Statt End-to-End gibt nur TLS-Security
Genau bei dieser Technologie hatte es zuletzt bei Zoom große Schwierigkeiten gegeben. Obwohl wahrscheinlich aus Marketinggründen angepriesen, erfolgte die Übertragung von Video- und Audiodateien unverschlüsselt.
Tatsache aber war, dass bis zum öffentlichkeitswirksamen Angriff auf mehrere Zoom-Meetings lediglich das Transport Layer Security Level verwendet wurde. Bei diesem ist die Kontrolle des Servers möglich und gleichbleibend damit auch der Zugriff auf den Datenstrom.
Zoom hatte in seiner Erklärung ausgelassen, dass bei dem Unternehmen die Definition für Endpunkt der eigene Server ist und nicht der Nutzer.
Das lässt Kritiker an der Enterprise-Tauglichkeit von Zoom das Geschehen weiter aufmerksam verfolgen. Denn schon vor Corona waren die Datenschutzpraktiken ins Visier geraten.
Immer, wenn sich eine Sicherheitslücke ergibt, stehen private und personenbezogene Daten auf dem Spiel. Noch sind die Kontaktbeschränkungen gültig und unser Arbeits- und Sozialleben muss unter besonderen Umständen stattfinden.
Videokonferenzen sind ein Teil von Home-Office Arbeitsmodellen und internen Unternehmensabläufen geworden.
Große Unternehmen hatten bereits in den letzten Wochen auf die Zoom-Schwachstellen reagiert, so hat beispielsweise SpaceX von Elon Musk allen Mitarbeitern strengstens verboten, Zoom zu nutzen.
Datenschutzkonforme Plattform für Videotelefonie
Der Kryptobrowser Brave hat jetzt seine eigene Idee einer datenschutzkonformen Plattform für Videotelefonie vorgestellt.
Die End-to-End-Verschlüsselung erlaubt hier die Kommunikation unter den derzeit höchsten Verschlüsselungsmechanismen für diese Technologie. Allerdings ist zu beachten, dass dies derzeit nur für Einzelgespräche gilt und nicht für Meetings.
Doch die Testversion bieten Raum für zukünftige Entwicklungen und es dürfte außer Frage stehen, dass sich Brave noch mehr einfallen lässt, um am Markt seinen festen Platz zu finden.
Als besonderes Feature gibt es Brave auch die Möglichkeit, sich für das Surfen belohnen zu lassen. Mit Brave Rewards wird dem Benutzer eine Brieftaschen-ID des Kooperationspartners Uphold zugewiesen.
Diese Kennung speichert Brave nach eigenen Angaben auf den US-Servern bei Amazon und Heroku, einem Salesforce-Unternehmen, auf.
Dort erfolgt die Speicherung gemäß dem EU-US Privacy Shield, der die Anpassung der US-Datenschutzbestimmungen an die EU-Vorgaben absichert. Bei Heroku handelt es sich um die Cloud-Anwendungsplattform des Hosting-Anbieters Salesforce.
Von Brave zu Uphold – Was passiert mit Daten?
Brave verwendet die Brieftaschenkennung der Nutzer zur Identifizierung und um zu bestimmen, wann die monatlich fällige Belohnung für den Aufmerksamkeitstoken BAT fällig ist. Bei dem Senden der BAT wird die IP-Adresse des Nutzers aufgezeichnet und zum Schutz vor Betrug analysiert.
Auch bei aktiviertem Feature der Brave Rewards erhält der Browser keinen Zugang auf den Browserverlauf oder ähnliche Informationen des Benutzers.
Beim Übersenden der Transaktionen zur E-Wallet von Uphold greifen allerdings die Datenschutzbestimmungen dieses Anbieters.
Die erhaltenen Basic Attention Token BAT lassen sich an andere Unternehmen spenden, auch wenn diese selbst keine BAT-Wallet haben.
Der Brave-Browser sammelt alle Spenden zunächst 90 Tage ein und verwahrt diese. Ruft jetzt der Seiteninhaber seine gesammelten Spenden aber nicht innerhalb dieser Frist ein, verfällt es und geht zurück an den Spender.
Doch wenn Content-Besitzer gar nicht wissen, dass sie eine solche Spende erhalten haben, ergibt der Prozess keinen Sinn. Das Spenden erfolgt vollkommen anonym und genau hier beißt sich die Katze in den Schwanz.
Der Publisher muss sich registrieren, um am Brave Reward Creator teilnehmen zu können. Leider kommt jetzt eine weitere Hürde auf, denn die Transaktionszeit wurde von Brave auf willkürliche 31 Tage für die Auszahlung festgelegt.
Diese Auszahlung erfolgt wiederum nur an eine Uphold-Wallet und bei dessen Registrierung gibt auch jeder vermeintliche Spendenempfänger genauso wie der Spender selbst Adresse, Telefonnummer, Personalausweiskopie und Foto preis. Die Datensammelkrake hat also zugeschlagen, – Datenschutz hin oder her.
Das Fazit: Brave muss sich erst beweisen
Bleibt zum Abschluss noch der Blick auf den aktuellen Stand der Dinge:
Publisher nutzen bisher nur rund 660.000 Mal den Brave Browser und BAT Besitzer gibt es rund 300.000. Rund 10 Millionen Nutzer hat der Brave Browser bisher, von denen rund 3 Millionen diesen täglich nutzen.
Nach 2 Jahren Entwicklungszeit ist die angekündigte „beachtenswerte Wende im Bereich Online-Advertising“ bisher ausgeblieben. Für den Erhalt der BAT-Token müssen Nutzer rund 5 Werbeeinblendungen pro Stunde ertragen.
Der BAT-Token wurde seit seinem ICO 2017 ebenfalls schon verwendet und ist daher keine wirkliche Neuheit. Jetzt wird er aber unter dem Deckmantel von mehr Datenschutz nochmal aufgehübscht.
Offensichtlich will man die diversen Lücken anderer Browser füllen. Nutzer müssen in die anonymisierte Übertragung ihrer Daten einwilligen.
Soweit so schön, doch für eine Umwandlung von BAT in echtes Geld, gibt es derzeit keine Möglichkeit. Das Einspielen der „gekauften“ Werbung erfolgt zu vom Unternehmen festgelegten Zeiten, es kann also zu Störungen des Workflows kommen.
Die derzeitigen Werbepartner sind laut Berichten in Fachzeitungen hauptsächlich aus der Kryptobranche und der iGaming-Branche.
Der Gegenwert der BAT ist derzeit noch verschwindend gering und die Token lassen sich derzeit nur für das Chroming Ökosystem ausgeben. Doch Vorsicht: Die auf dem Desktop vorhandenen BAT lassen sich nicht auf mobile Geräten übertragen.
Es bleibt also abzuwarten, ob und in welchem Umfang sich Brave mit seinem Konzept weiter am Markt etablieren kann.