Die digitale Kommunikation hat sich in den letzten Jahren massiv verändert. Mit der Zunahme von Cyberangriffen auf Telekommunikationsunternehmen und andere sensible Infrastrukturen wächst der Bedarf an sicheren Kommunikationswegen exponentiell. In den Vereinigten Staaten haben Bundesbehörden wie das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) vor kurzem Empfehlungen herausgegeben, die auf die Nutzung von verschlüsselter und vergänglicher Nachrichtenübermittlung hinweisen, um die Sicherheit bei der Übertragung sensibler Informationen zu erhöhen. Interessanterweise stehen diese Empfehlungen in einem spannungsreichen Kontrast zu den Warnungen und Anforderungen anderer Bundesstellen wie dem Justizministerium (DOJ) und der Securities and Exchange Commission (SEC), die Unternehmen voreilig vor den Risiken einer uneingeschränkten Nutzung dieser Technologien warnen. Insbesondere nach Zwischenfällen im Bereich Cyberangriffe auf Telekommunikationsfirmen haben FBI und CISA öffentlich betont, wie wichtig Ende-zu-Ende-Verschlüsselung ist.
Dabei betont Jeff Greene, der für Cybersicherheitsfragen zuständige Direktor bei CISA, dass Verschlüsselung ein grundlegendes Mittel ist, um Kommunikation vor neugierigen und böswilligen Akteuren zu schützen. Selbst wenn Daten abgefangen werden, sollen sie durch die Verschlüsselung praktisch unlesbar bleiben. Die Empfehlung umfasst dabei nicht nur verschlüsselte Textnachrichten, sondern auch Sprachkommunikation. Darüber hinaus haben die Behörden Leitfäden veröffentlicht, die Netzwerktechnikern nahelegen, jeglichen Datenverkehr möglichst mit Ende-zu-Ende-Verschlüsselung zu schützen. Im Dezember 2024 erschien zudem eine umfassende Mobilkommunikations-Richtlinie von CISA, die spezifische Handlungsempfehlungen für verschiedene Nutzergruppen, unter anderem hochrangige Regierungsvertreter, enthält.
Die darin enthaltenen Ratschläge betreffen alle Nutzer im Allgemeinen. Besonders hervorgehoben wird die Verwendung von sicheren Messaging-Apps wie Signal, die eine solide Ende-zu-Ende-Verschlüsselung und Funktionen wie das automatische Löschen von Nachrichten bieten. Dieses Merkmal verstärkt den Datenschutz und schützt vor unerwünschtem Zugriff auf Kommunikation. Es wird außerdem empfohlen, Anwendungen zu wählen, die geräteübergreifend funktionieren, um die Sicherheit der Nachrichtenintegrität über unterschiedliche Betriebssysteme hinweg zu gewährleisten. Neben der Nutzung entsprechender Apps legen die Bundesbehörden großen Wert auf weitere Schutzmaßnahmen.
Das Aktivieren von sicheren Authentifizierungsstandards wie Fast Identity Online (FIDO) wird als essenziell angesehen, ebenso wie der Umstieg von klassischen SMS-basierten Multifaktor-Authentifizierungen auf verschlüsselte Optionen. Die Verwendung von Passwortmanagern sowie regelmäßige Software-Updates und die Entscheidung für die neueste Hardwaregeneration runden die Ratschläge ab, um den Sicherheitsstandard umfassend zu optimieren. Ein interessanter Hinweis betrifft die Empfehlung, keine privaten VPNs zu verwenden, da diese potenziell unsicher sein können. Wer sich für iPhones oder Android-Geräte interessiert, erhält je nach Betriebssystem spezifische Sicherheitstipps. Apple-Nutzer sollen zum Beispiel den sogenannten Lockdown-Modus aktivieren und darauf achten, dass Nachrichten nicht in unverschlüsselter SMS-Form verschickt werden, falls der verschlüsselte iMessage-Dienst nicht funktioniert.
Android-User wird geraten, Geräte von Herstellern mit starkem Sicherheitsruf zu kaufen und nur Rich Communication Services (RCS) zu verwenden, sofern diese mit Ende-zu-Ende-Verschlüsselung ausgestattet sind. Während diese technischen Anweisungen die Bedeutung und den Nutzen von verschlüsselter und vergänglicher Nachrichtenübermittlung betonen, haben andere Behörden erzielte Erfolge durch eine rigorose Kontrolle der Kommunikationsmethoden von Unternehmen vor Augen. Vor allem die Staatsanwaltschaften des DOJ sowie die Börsenaufsichtsbehörde SEC nehmen kritisch wahr, wie Unternehmen mit verschlüsselten und vergänglichen Messaging-Diensten umgehen – insbesondere mit Blick auf die Nachvollziehbarkeit und Archivierung von wichtigen Geschäftskommunikationen. Die US-Regulierungsbehörden warnen ausdrücklich davor, dass das Nichtvorhandensein oder die Unzugänglichkeit solcher Daten bei Ermittlungen zu negativen Konsequenzen für die beschuldigten Unternehmen führen könnte. Die Situation wird verschärft durch die strengen Erwartungen an Unternehmen, die bei der Verwendung von Messaging-Plattformen klare Richtlinien und Verfahren einhalten müssen.
Die neueste Version der DOJ-Richtlinien zur Bewertung unternehmensinterner Compliance-Programme betont, dass bei der Untersuchung von Verfehlungen auch geprüft wird, wie Unternehmen den Umgang mit ephemeren, also vergänglichen Nachrichten organisieren. Das Signal-Messaging-System wurde hier explizit erwähnt, da es Kommunikationsinhalte unmittelbar und unwiederbringlich löschen kann. Unternehmen, die solche Anwendungen nutzen und es versäumen, die Daten entsprechend zu bewahren, könnten deshalb wegen Datenvernichtung oder sogar Behinderung der Justiz verfolgt werden. Die SEC hat seit 2021 eine intensive Überprüfung von Finanzinstitutionen durchgeführt, um zu überwachen, ob geschäftliche Kommunikation über Text- und Messaging-Dienste erfolgt, die das Nachverfolgen und Archivieren erschweren. Die sogenannte „Off-Channel Communications“-Initiative führte zu Ermittlungen gegen mehr als hundert Unternehmen und verhängte Strafen in Milliardenhöhe.
Diese Entwicklung zeigt den verstärkten Druck auf Unternehmen, ihre Kommunikationswege so zu gestalten, dass sie im Ernstfall auch regulativen Anforderungen entsprechen. Gleichwohl gibt es Anzeichen dafür, dass nach dem Wechsel an der Führungsspitze der SEC und Commodity Futures Trading Commission (CFTC) ein weniger striktes Vorgehen möglich erscheint. Bereits im Herbst 2024 forderten republikanische SEC-Kommissare eine Neuausrichtung zugunsten einer praxisnäheren und datenschutzfreundlicheren Herangehensweise, da die bisherigen Vorgaben als unrealistisch und schwer umsetzbar kritisiert werden. Insgesamt ist die derzeitige Lage durch einen klaren Zielkonflikt zwischen Sicherheitsbedürfnissen und regulatorischen Anforderungen geprägt. Während die Sicherheitsbehörden der Bundesregierung die dringend notwendige Nutzung moderner verschlüsselter und temporär vorhandener Messaging-Technologien propagieren, stellt die justizielle und aufsichtsrechtliche Seite diese Technologien häufig als Hindernis bei Ermittlungen dar.
Unternehmen befinden sich damit in einer schwierigen Position: Sie müssen einerseits ihre sensiblen Geschäfts- und Kundendaten gegen Angriffe und Spionage schützen, andererseits aber auch sicherstellen, dass sie bei etwaigen Prüfungen und Untersuchungen nachvollziehbare Kommunikationsdaten bereitstellen können. Der Vorstoß von FBI und CISA, sichere Messaging-Lösungen wie Signal als Maßstab zu etablieren, steht für eine zunehmende Anerkennung der Wichtigkeit von Verschlüsselung in der Cybersicherheitsstrategie. Die möglichen Features wie automatische Löschfunktionen bieten zusätzlichen Schutz vor Datenlecks und sind gleichzeitig ein Instrument für erhöhte Privatsphäre. Doch ohne klare und abgestimmte regulatorische Leitlinien könnten Unternehmen weiterhin in Konflikte zwischen Datenschutz, Informationssicherheit und rechtlicher Compliance geraten. Zukunftsweisend wird sein, wie die Nachfolger der derzeitigen SEC- und CFTC-Spitzen die Balance zwischen Durchsetzungsfähigkeit und Realisierbarkeit halten.
Ob eine Öffnung für technisch sichere, aber auch für Unternehmen praktikable Ansätze möglich sein wird, bleibt abzuwarten. In jedem Fall zeigt die aktuelle Situation die Notwendigkeit einer verstärkten Zusammenarbeit zwischen Technologien, Unternehmen und Regulatoren auf, um Lösungen zu schaffen, die sowohl die Sicherheit von Kommunikation gewährleisten als auch die Erfüllung gesetzlicher Pflichten erlauben. Die Entwicklungen um verschlüsselte und vergängliche Kommunikation sind exemplarisch für die Herausforderungen einer zunehmend digitalisierten Welt. Unternehmen sollten sich proaktiv mit den Empfehlungen der Sicherheitsbehörden auseinandersetzen, die technische Umsetzung moderner Sicherheitsstandards forcieren und gleichzeitig intern klare Compliance-Richtlinien für Messaging-Plattformen definieren. Nur so lassen sich die vielfältigen Anforderungen in Einklang bringen – zum Schutz der sensiblen Daten und zur Gewährleistung der Rechtskonformität.
Die kommenden Monate dürften durch eine intensive Debatte über diese Fragen geprägt sein, in denen technologische Innovation und regulatorische Praxis weiter zueinander finden müssen.
