26.03.2020, 11:29 Uhr

Wir nehmen das Thema Verschlüsselung sehr ernst

Und wie ernst genau, das möchten wir dir hier einmal etwas detaillierter vorstellen.
Da es ohne technische Details nicht geht, können wir dich auf diesem Teil unserer Homepage leider nicht vollständig von einigen Fachbegriffen und Abkürzungen aus der Welt der Verschlüsselung verschonen, geben uns aber Mühe, dir unsere Herzensangelegenheit – die Sicherheit deiner Daten – so anschaulich wie möglich näherzubringen.

Stufe 1: Die Transportverschlüsselung

Du kennst ja sicherlich das kleine Schloss-Symbol deines Browsers (also beispielsweise Firefox, Chrome oder Safari)? Das wird in der Adresszeile (ganz oben) gleich neben der Adresse von entzettelt .de angezeigt und das ist auch gut so. Das verrät dir schon einmal, dass die Kommunikation zwischen dem Browser und unseren Servern ausschließlich verschlüsselt stattfindet. Da zwischen deiner App und unseren Servern ständig Daten ausgetauscht werden, spricht man auch von einem „Transport“. Und der ist bei uns grundsätzlich mit „TLS 1.2“ verschlüsselt. Wenn dein Browser modern genug ist, verschlüsseln wir auch mit „TLS 1.3“. TLS steht übrigens für „Transport Layer Security“ (Link zu Wikipedia) .

Leider hört genau hier bei vielen Anbietern DSGVO-konformer Software die Sicherheit auch schon fast wieder auf. Das finden wir enorm schade, denn würden wir an dieser Stelle schon von Sicherheit sprechen, wären wir nicht gut beraten, daher verschlüsseln wir deine Daten schon lange bevor sie deinen Browser verlassen, in…

Stufe 2: Die Inhaltsverschlüsselung

Bereits bei der Registrierung für die Nutzung von entzettelt legst du den Grundstein für eine solide Verschlüsselung all deiner Daten. Du legst einen Nutzernamen und ein Kennwort fest (das hoffentlich NICHT „Passwort“ oder „123456“ lautet) und hinterlegst eine E-Mail-Adresse. Noch bevor es wirklich losgeht, erzeugt unsere App im Hintergrund einen digitalen Schlüsselbund, der mit allen Wassern gewaschen ist. Das heißt: Dein Passwort entsperrt lediglich einen Schlüsselbund. Es verschlüsselt aber nicht deine Daten, sondern nur den Schlüssel dafür. Und so hat jedes einzelne Element, das du in der App anlegst, eine digitale Signatur und einen eigenen Schlüssel, mit dem es verschlüsselt wird.

Richtig gelesen : Jedes Element, also jede Klasse, jeder Schüler und selbst jede noch so einfache Notiz hat einen eigenen Schlüssel. Es gibt kein Master-Passwort, mit dem einfach alles lesbar werden würde, sondern lediglich einen Haufen Schlüssel, die mit Passwörtern gesichert sind. Und dieser Haufen Schlüssel dient – vorausgesetzt man kennt das Passwort des passenden Schlüssels – dazu, einen Haufen Elemente zu entschlüsseln. Klingt kompliziert? Ist es auch, aber davon bekommst du nichts mit. Wir haben uns sehr viel Mühe dabei gegeben, die Arbeit mit entzettelt trotz maximaler Sicherheit so intuitiv wie möglich zu gestalten.

Die Verschlüsselung ist dabei trotzdem so stark, dass wir – selbst wenn wir es unbedingt wollten – keinen Zugriff auf deine Daten hätten. Aus diesem Grunde bekommst du im Anmeldeprozess auch eine PUK mitgeteilt: Das ist in der Tat die einzige Möglichkeit, ein verlorenes Passwort zu ersetzen.

Am Beispiel einer Liste haben wir einmal skizziert, wie die Verschlüsselung funktioniert:

Während du also entzettelt nutzt, kannst du deine Daten lesen und bearbeiten. Du hast deinen digitalen Schlüsselbund mit deinem Passwort entsperrt und bist so in der Lage, mit deinen Daten zu machen, was du möchtest. Allerdings : Selbst auf deinem Smartphone, Tablet oder Browser werden die Daten zu keiner Zeit entschlüsselt gespeichert: Man muss tatsächlich direkten Zugriff auf das Gerät und dein Passwort haben, um damit arbeiten zu können.

Noch ein Beispiel: Echte Daten, wie sie in entzettelt abgelegt werden

So sieht üblicherweise ein Listen-Datensatz in entzettelt aus:

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

Der Datensatz ist „echt“ und stammt aus einem Test-Account, den wir für die Entwicklung verwenden. Wenn du ihn entschlüsseln konntest, wirst du keine echt geheimen Daten finden. In diesem Fall würden wir uns allerdings über einen Hinweis von dir freuen.

Wenn du dir Sorgen machst…

dass wir deine Schülerdaten mit deiner Schule und deiner Person als Lehrer verknüpfen können, so sei dir nochmals versichert: Wir können das nicht und wir wollen das auch gar nicht können . Und sollte es wirklich jemand schaffen, die von uns verwendete Verschlüsselung zu knacken, wird es unser erstes Ziel sein, sie durch ein sichereres Verfahren zu ersetzen, damit deine Daten auch weiterhin sicher sind und nur dir gehören.

Ja: Es mag übertrieben klingen…

aber es sind eben auch einfach deine Daten und wenn du entzettelt nutzt, soll das bitte auch so bleiben!