Gute Absichten sind nicht genug: Die Fallstricke alternativer Projekte zum Schutz der Privatsphäre - VSX.is

Die Welt der Naturschutzprojekte Privatsphäre ist voller Enthusiasmus, Idealismus und guter Absichten. Doch früher oder später stoßen viele von ihnen auf Probleme - mit der Finanzierung, mit der Entwicklung oder einfach mit den Realitäten des Marktes. Wir werden uns konkrete Beispiele ansehen und versuchen zu verstehen, warum dies der Fall ist.

Librem.oneWenn die Vision die Möglichkeiten übersteigt

Purismus, das Unternehmen, das hinter dem Ökosystem steht Librem.one, ist eines der ehrgeizigsten Datenschutzprojekte. Es bietet eine Reihe von Diensten - verschlüsselte E-Mails, ein eigenes soziales Netzwerk (Librem Social), Ende-zu-Ende verschlüsselter Chat, VPN und sein eigenes DNS - und hat es seit langem mit der Vision seiner eigenen „Privacy-first“-Hardware verbunden. Das Kronjuwel sollte sein Librem 5, Linux Smartphone die sich auf Freiheit und Privatsphäre konzentrieren.

Die Probleme haben sich an mehreren Fronten aufgetürmt.

Hardware: Das Pound 5 wurde 2017 per Crowdfunding finanziert, und die ersten serienmäßig hergestellten Geräte (die „Evergreen“-Serie) werden ab dem 18. November 2020 an die Kunden ausgeliefert. Aufgrund von Komplikationen bei der Herstellung - einschließlich der COVID-19-Pandemie - erfolgten die Lieferungen in Wellen, wobei die Wartezeiten im Laufe der Zeit variierten. Kunden mit höherer Rechenleistung warten noch immer; auch die spätere Variante Liberty Telefon, das auf der Librem 5-Plattform mit US-Komponenten aufbaut, bietet keinen Leistungssprung - der Mehrwert liegt vor allem im Lieferkettenkonzept und in der Produktphilosophie.

Mobile Anwendungen: Purism hatte früher seine eigenen mobilen Apps, hat diese aber zurückgezogen, so dass seine Dienste jetzt nur noch über Apps von Drittanbietern genutzt werden können.

Finanzielle Turbulenzen: Um das Jahr 2022 gab es Berichte über Schwierigkeiten in den Diskussionen in der Gemeinschaft - insbesondere im Bereich der Rückbuchungen und Lieferverzögerungen. Purism besteht weiterhin und wird nach eigenen Angaben im Jahr 2023 einen Gewinn ausweisen, aber ein Teil der Gemeinschaft hat in dieser Zeit das Vertrauen in die Vorhersehbarkeit des Projekts verloren.

Secria.me: Anfänge voller Herausforderungen, aber auch Ambitionen

Nicht jedes Projekt, das in Schwierigkeiten gerät, ist eine Geschichte des Scheiterns. Secria.me ist ein Beispiel für ein jüngeres amerikanisches Projekt, das einen technisch anspruchsvollen Weg wählte - verschlüsselte E-Mail-Kommunikation mit Post-Quantum-Verschlüsselung. Die Fristen für die Veröffentlichung mobiler Anwendungen konnten nicht vollständig eingehalten werden, aber gerade der Einsatz der Post-Quantum-Kryptografie stellt eine äußerst komplexe technische Herausforderung dar, die die Entwicklung zwangsläufig verlangsamt.

Ein typisches Problem der Erstinbetriebnahme ist auch Zustellbarkeit von E-Mails (Zustellbarkeit: Nachrichten, die über einen neuen Dienst verschickt werden, landen oft im Junk-Mail-Ordner von großen Anbietern wie Google Mail oder Outlook. Dies ist eine Herausforderung, mit der praktisch alle kleineren E-Mail-Anbieter in den ersten Jahren ihres Bestehens konfrontiert sind - die großen Unternehmen gewähren nur langsam Vertrauen, und neue Server müssen ihren Ruf erst noch aufbauen. Es gibt Lösungen (richtige DMARC-Konfiguration, SPF, DKIM und die allmähliche Erwärmung der IP-Adressen), aber ihre Umsetzung erfordert Zeit und ständige Sorgfalt. Secria.me hat noch einen langen Weg vor sich, aber der Umfang und der technische Mut des Projekts sind offensichtlich.

Gescheiterte Projekte: Lehren für den Markt

SkiffDas Risiko der Abhängigkeit von Investoren

Modern Ökosystem Skiff versprach eine Ende-zu-Ende-verschlüsselte Alternative zu Google Workspace - E-Mail, Dokumente, Kalender und Cloud-Speicher. Das Projekt gewann schnell Nutzer, die nach einer vertrauenswürdigen Alternative zu den Diensten großer Unternehmen suchten.

Im Februar 2024 kam die kalte Dusche: Skiff kaufte das Unternehmen Begriff und die Einstellung der ursprünglichen Dienste wurde daraufhin angekündigt. Den Nutzern wurde zunächst eine Frist von sechs Monaten eingeräumt (die auf Druck der Gemeinschaft auf zwölf Monate verlängert wurde), um ihre Daten zu exportieren und anderweitig zu migrieren. Die konkreten Meilensteine veranschaulichen die Auswirkungen der ganzen Situation gut: Die Dienste selbst wurden am 9. August 2024 abgeschaltet, und die automatische Weiterleitung eingehender Post war noch bis zum 9. Februar 2025 in Kraft - allerdings nur für Konten, die die Weiterleitung rechtzeitig eingeschaltet hatten. Der Fall veranschaulicht eines der grundlegenden Paradoxe von Startups, die sich dem Schutz der Privatsphäre verschrieben haben: Wenn ein Projekt auf der Erwartung von Investoren beruht, langfristig aus dem Markt auszusteigen, können die Erwartungen der Nutzer - Stabilität, Kontinuität, langer Vertrauenshorizont - bei einer Übernahme mit den Marktrealitäten kollidieren.

Startseite: Änderung der Eigentumsverhältnisse und Treuhandschaft

Niederländisch Suchmaschine Startseite hat sich den Ruf erworben, einen privateren Ansatz für Google-Ergebnisse zu verfolgen. Im Oktober 2019 wurde bekannt, dass das US-Werbeunternehmen System1 wurde über seine Holding Privacy One Group zum Mehrheitseigentümer des Unternehmens. Die Gemeinschaft war gespalten: Einige Nutzer verließen den Dienst, andere blieben und argumentierten, dass sich die erklärten Regeln für die Datenerfassung nicht geändert hätten und der Betrieb weiterhin in den europäischen Rechtsrahmen eingebettet sei.

Stiller Kreis a Blackphone

Stiller Kreis nabízel šifrované hlasové hovory a zprávy, jejich smartphone Blackphone war zu seiner Zeit ein deutlich anderes Konzept. Doch die Idee allein reichte nicht aus: 2016 zog sich das Unternehmen aufgrund schwacher Verkaufszahlen faktisch aus dem Smartphone-Markt zurück und konzentrierte sich ausschließlich auf Software-Dienste.

Diaspora: Immer noch lebendig, aber weit entfernt von der ursprünglichen Vision

Eine dezentralisierte Alternative zu Facebook Diaspora wurde 2010 mit großen Ambitionen gestartet. Das Projekt existiert immer noch und wird von Freiwilligen gepflegt - Version 0.9.0.0 wurde im Juni 2024 veröffentlicht, was die Entwickler als Zwischenschritt auf dem Weg zu Version 1.0 beschreiben. Dies ist an sich schon ein Beispiel für einen realistischen Ansatz, um den Umfang des Projekts zu kommunizieren. Allerdings hat Diaspora keine kritische Masse an Nutzern erreicht. Das ist nicht unbedingt ein Scheitern im Sinne von Betrug oder Pleite - es ist vielmehr die Realität, dass Benutzerfreundlichkeit und Netzwerkeffekt in den sozialen Medien äußerst schwer zu überwindende Hürden sind.

Ello: Das Ende ohne Abschiedsgruß

Soziales Netzwerk Ello versprach eine Welt ohne Werbung und ohne Überwachung. Nach einem viralen Start im Jahr 2014 erlahmte das Interesse schnell und das Netzwerk konzentrierte sich wieder auf die Künstlergemeinschaft. Im Juni 2023 kam es auf den Servern zu erheblichen Ausfällen, und am 18. Juli 2023 wurde der Dienst schließlich eingestellt - ohne vorherige Ankündigung und ohne einen klar kommunizierten Weg für den Datenexport. Die Nutzer verloren jahrelange Inhalte, Portfolios und Community-Verbindungen; die Kommunikation mit den Nutzern war minimal oder kam den verfügbaren Beschreibungen zufolge zu spät.

Marketing vs. Realität: Wenn Versprechen über die technische Wahrheit hinausgehen

PureVPN und ein Fall aus dem Jahr 2017

PureVPN erklärte damals eine „Zero-Logs“-Politik und behauptete, dass es keine Daten speichere, die Nutzer identifizieren könnten. Im Jahr 2017 ergab eine Untersuchung eines Cyberstalking-Falls, dass das Unternehmen sogenannte Verbindungsdaten weitergegeben hatte. Metadaten - Aufzeichnungen von Verbindungszeitstempeln und ursprünglichen IP-Adressen, die zur Identifizierung einer bestimmten Person beigetragen haben. Es ging also nicht um Protokolle der besuchten Seiten, sondern um betriebliche Metadaten. Der Fall hat die Debatte darüber neu eröffnet, was verschiedene Anbieter in der Praxis mit „keine Protokolle“ meinen und welche Mindestdaten sie im Interesse des Dienstbetriebs und der Sicherheit aufbewahren können - oder nicht. PureVPN hat seine Richtlinien nach dem Vorfall von unabhängiger Seite überprüfen lassen, aber die anfängliche inkonsistente Kommunikation hat dem Ruf des Unternehmens einen bleibenden Schaden zugefügt.

DuckDuckGo und eine Ausnahme für Microsoft

Im Jahr 2022 deckte ein Sicherheitsforscher auf, dass mobile Browser DuckDuckGo - DuckDuckGo, das als datenschutzfreundliche Alternative vorgestellt wurde, blockierte zwar generell Tracker von Drittanbietern, aber einige Tracking-Skripte von Microsoft (z. B. von LinkedIn) auf ausländischen Websites wurden eine Zeit lang nicht blockiert. DuckDuckGo räumte die Angelegenheit öffentlich ein und begründete sie mit einer vertraglichen Einschränkung im Zusammenhang mit der Nutzung von Bing als Quelle für Suchergebnisse. Die Ausnahme wurde später im selben Jahr aufgehoben, aber für einige in der Community war allein die Tatsache ihrer Existenz - und die Art und Weise, wie sie auftrat - ein Warnzeichen.

TelegrammEin Bote, der nicht so privat ist, wie viele meinen

Telegramm wird in der Öffentlichkeit oft als sicherer und privater Messenger wahrgenommen. In Wirklichkeit sind Standardkonversationen nicht Ende-zu-Ende-verschlüsselt - nur die sogenannten geheimen Chats, die der Nutzer explizit aktivieren muss, sind verschlüsselt. Gruppenchats, Feeds und die reguläre Kommunikation finden typischerweise über die zentralen Server von Telegram statt (Cloud-Chats), auf die der Betreiber Zugriff hat. Dies ist ein architektonisch anderer Ansatz als bei Messengern, die Ende-zu-Ende-Verschlüsselung in den Standardmodus.

Darüber hinaus hat das zentralisierte Verwaltungsmodell die allgemeine Eigenschaft einer einzigen Schwäche: Der Betreiber hat die Kontrolle über die Serverebene und kann dem Druck der Gerichtsbarkeiten ausgesetzt sein, in denen er tätig ist. Dies ist keine Kritik, die speziell auf Telegram zutrifft - es ist ein allgemeiner Kompromiss zentralisierter Plattformen, den man bei der Wahl eines Kommunikationstools im Hinterkopf behalten sollte.

Warum ist dies der Fall? Strukturelle Probleme bei alternativen Projekten

Bei den meisten dieser Probleme lassen sich wiederkehrende Muster erkennen.

1. die Unterschätzung der operativen Intensität. Der Betrieb eines E-Mail-Servers, eines VPN oder eines sozialen Netzwerks für Hunderttausende von Nutzern ist eine technische, rechtliche und finanzielle Herausforderung. Viele Projekte beginnen mit Eifer und schätzen die Anforderungen an Infrastruktur und Support falsch ein.

2. Fehlen eines nachhaltigen Geschäftsmodells. Ein Projekt, das Werbung und Tracking ablehnt, muss in der Regel auf Abonnements setzen. Dies ist ein gesünderes Modell, erfordert aber eine ausreichende Basis zahlender Nutzer, die schwer aufzubauen ist. Und wenn stattdessen Risikokapital dominiert, wächst die Gefahr, dass der Ausstieg im Vordergrund steht und nicht die langfristige Stabilität des Dienstes - wie der Fall Skiff gezeigt hat.

3. gemeinschaftlich versus kommerziell. Projekte, die zwischen der Open-Source-Gemeinschaft und einem kommerziellen Produkt angesiedelt sind, befinden sich in einem schwierigen Spannungsfeld: Die Gemeinschaft will ein Höchstmaß an Transparenz und Kontrolle, während die kommerzielle Realität schnelle Entscheidungen und Kompromisse erfordert.

4. die Reputation von IP-Adressen und die Zustellbarkeit von E-Mails. Bei E-Mail-Projekten dauert es Jahre, Vertrauen aufzubauen. Darüber hinaus haben große Anbieter ab 2024 die Anforderungen an die Absenderauthentifizierung (SPF/DKIM/DMARC) von einer „Best Practice“-Kategorie zu einem de facto erwarteten Standard gemacht, insbesondere für größere Versandmengen.

5) Regulatorischer und rechtlicher Druck. Projekte, die den Schutz der Privatsphäre ernst nehmen, werden möglicherweise von den Behörden und der Öffentlichkeit genauer unter die Lupe genommen; die Kosten für die Einhaltung von Gesetzen und Vorschriften sind nicht unerheblich.

6. Transparenz der Marketingversprechen. Worte wie „keine Protokolle“ oder „vollständige Anonymität“ sind in der Praxis fast immer vereinfachend. Ohne klare Dokumentation und unabhängige Prüfung bleiben solche Behauptungen mehr Marketing als überprüfbare Fakten.

Ist das alles umsonst? Ganz und gar nicht.

Trotz all dieser Risiken gibt es eine Reihe von Projekten, die überlebt haben und heute das Rückgrat des privaten Internets bilden:

Proton (ProtonMail, ProtonVPN, Proton Drive) - ein Schweizer Ökosystem, das sich zu einer weltweit anerkannten Organisation entwickelt hat
Tuta (ehemals Tutanota) - eine deutsche Open-Source-verschlüsselte E-Mail, die an Post-Quantum-Entwicklungsrichtungen arbeitet
Mullvad VPN - Schwedisches VPN, bekannt für die Minimierung von Identifizierungsmerkmalen bei der Registrierung und die seit langem bestehende Kommunikation der „No-Logs“-Politik
Signal - Ende-zu-Ende-verschlüsselter Messenger, der heute als Referenzstandard für sichere Kommunikation gilt
Bitwarden - quelloffen Passwort-Manager auch in Unternehmen weithin akzeptiert
Nextcloud – selbst gehostet Alternative zu Google Workspace mit starker gemeinschaftlicher und kommerzieller Unterstützung
GrapheneOS / CalyxOS - pragmatischer als die Herstellung eines eigenen Telefons: Diese Projekte verwenden vorhandene, sicherheitsbewährte Hardware (Google Pixel-Telefone) und die Systemsoftware durch eine Version ersetzen, die weniger vom Google-Ökosystem abhängig ist

Was haben diese Akteure gemeinsam? Realistische Ziele, ein nachhaltigeres Finanzierungsmodell, eine transparente Kommunikation der Themen, eine stärkere Betonung der Überprüfbarkeit - und die Fähigkeit, sich ohne größenwahnsinnige Versprechungen kontinuierlich weiterzuentwickeln.

Fazit: Unterstützung mit offenen Augen

Alternative Projekte für digitale Privatsphäre brauchen unsere Unterstützung - aber Unterstützung muss nicht blind sein. Bei der Auswahl eines Anbieters lohnt es sich, genau hinzuschauen:

Ist das Projekt in finanzieller Hinsicht transparent? Veröffentlicht es Jahresberichte oder Rechnungsprüfungen?
Kommuniziert sie offen über Probleme und Verzögerungen?
Verfügt sie über ein nachhaltiges Modell - oder ist sie auf Risikokapital mit ungewissem Ausgang angewiesen?
Es gibt ein unabhängiges Sicherheitsaudit von einer angesehenen Organisation (z. B. Heilung53)?
Werden die Marketingversprechen der „Anonymität“ durch konkrete technische Unterlagen untermauert?

Der digitale Datenschutz ist zu wichtig, um sich auf ein einziges Projekt mit einer guten Marketingvision zu verlassen. Die Verteilung des Risikos, die Überwachung des Status von Projekten und die Unterstützung von Projekten, die sich als langfristig tragfähig erweisen, ist der verantwortungsvolle Ansatz für jeden, der seine Daten ernst nimmt.

Die Informationen und Bewertungen in diesem Artikel beruhen auf öffentlich zugänglichen Quellen und den persönlichen Erfahrungen des Autors zum Zeitpunkt der Veröffentlichung und können sich im Laufe der Zeit ändern. Der Text soll einen informativen Überblick über den Bereich der digitalen Datenschutzprojekte geben - er erhebt keinen Anspruch auf eine abschließende oder rechtsverbindliche Bewertung einzelner Dienste. Wir empfehlen, den aktuellen Stand der einzelnen Projekte direkt bei den Betreibern zu erfragen, bevor Sie eine Entscheidung treffen.