Erfinder des digitalen Radiergummis: Der missverstandene Professor

Michael Backes hat die Software X-Pire entwickelt, mit der Bilder im Netz verschwinden. Technisch perfekt ist sie noch nicht - ebensowenig wie die Vermarktung.

Wann wohl die Fotos verfallen? Startseite von X-Pire. Bild: screenshot x-pire

Vielleicht hätte sich Prof. Dr. Michael Backes etwas weniger an Ilse Aigner anlehnen sollen. Die Bierzelt-gestählte Verbraucherschutzministerin der CSU ist unter Netzaktivisten als Facebook- und Google-Hasserin gebrandmarkt, seitdem sie sich aus dem sozialen Netzwerk mit Getöse verabschiedete und den Bilderdienst Street View rustikal bekämpfte. Doch ohne die Unterstützung Aigners hätte es wohl nicht so viel Aufmerksamkeit gegeben für Backes' Hochschule, die Universität des Saarlandes in Saarbrücken.

Ein Spin-off namens X-Pire hat der Hochschullehrer für Computersicherheit und Kryptografie gegründet, das eine Software entwickelt hat, mit der man Bilder im Internet nach einer gewissen Zeit verschwinden lassen kann. Die Idee wurde an der Uni entwickelt, doch die Firma selbst sei ganz mit privaten Geldern hochgezogen, betont der noch keine 35 Jahre alte IT-Spezialist im Gespräch mit der taz. 2005 wurde er, im Alter von gerade einmal 27, zum jüngsten Informatik-Professor Deutschlands ernannt - nicht etwa als Anfänger, sprich: Junior-Professor, sondern gleich auf Lebenszeit.

Nachdem Backes' Idee vom "digitalen Radiergummi" von Aigner als "höchster Datenschutz Made in Germany" bezeichnet wurde, nahmen sich einige Experten und Blogger die Technik genauer vor. Sie stellten fest, dass das Programm einige grundlegende Schwächen hat. Die erste: Es ist möglich, nach der Entschlüsselung Screenshots anzufertigen. Dazu sagt Backes, dass sich das technisch nie vermeiden lasse und die Zielgruppe, die X-Pire anspreche, hier weniger in Gefahr sei. Ein "Angreifer" speichere Bilder von Otto-Normal-Nutzern selten gezielt zwischen.

Außerdem funktioniert - und das ist das zweite Grundproblem - die Bilderverschlüsselung nur dann, wenn der Verschlüsselnde und der Betrachter von Internet-Fotos ein spezielles Plug-in einsetzen, das X-Pire kostenlos - zumindest für die Darstellung - zum Download für den Browser Firefox anbietet. "Ohne solche Zusatzsoftware geht das aber auch gar nicht", sagt Backes, "wir brauchen etwas, das dazwischengeschaltet ist". Im Browser selbst lasse sich die Technik nicht ohne Plug-in einbauen, auch wenn sein Unternehmen entsprechende Standards favorisieren würde.

X-Pire, das seit dieser Woche offiziell verfügbar ist, funktioniert in einem mehrstufigen Verfahren. Zunächst nimmt der Nutzer ein Bild, zieht es in das Browser-Plug-in, wo es dann verschlüsselt wird. Dabei kann er wählen, wo es landen soll - Netzwerke wie Facebook benötigen beispielsweise bestimmte Anpassungen, damit der Inhalt nicht verloren geht. Anschließend liegt ein verschlüsseltes Bild auf dem Desktop. In der Mitte befindet sich ein Hinweis, dass man sich X-Pire zum Betrachten herunterladen muss.

Das Bild wird dann hochgeladen - zum Beispiel bei Facebook. Schaut ein Nutzer die Aufnahme mit einem X-Pire-fähigen Browser an, fragt dieser bei einem Entschlüsselungsrechner (Keyserver) nach dem zugehörigen Schlüssel. Ist das Zeitlimit, in dem der Bild-Ersteller seine Aufnahme sichtbar lassen will, noch nicht überschritten, wird das Bild entschlüsselt. Ist es "abgelaufen", bleibt nur ein Rauschen - der Schlüsselserver verweigert die Herausgabe des Schlüssels.

Die Server-Lösung sorgte für viel Kritik. Der Blogger und IT-Experte Kristian Köhntopp meinte, der zentrale Schlüsselrechner stelle ein Sicherheitsproblem dar. "Die Tatsache, dass der Keyserver nach dem Verstreichen eines Verfallsdatums den Schlüssel nicht mehr ausliefert, heißt nicht, dass der Schlüssel nicht mehr existiert", sagte er der taz. Backes weist das weit von sich: Jeder Schlüssel werde unwiderbringlich gelöscht, wenn ein Bild "abgelaufen" sei. Außerdem werfe der Server auch Logdateien zu den Bildanfragen regelmäßig weg. "Die speichern wir nur kurzfristig, damit wir den Dienst ausführen können."

Wer ihm das nicht glaube, der könne außerdem einen eigenen X-Pire-Keyserver aufsetzen, kündigte Backes an. Diesen werde seine Firma Privatpersonen kostenlos zur Verfügung stellen. Damit könne man dann seine Schlüssel einfach selbst vorhalten. Allerdings muss dieser "Server im Keller", wie Backes ihn nennt, beim Verschlüsseln bei X-Pire nachfragen, ob die Person auch dazu berechtigt ist. "Das ist aber nur eine reine Account-Abfrage. Welche Bilder wo geladen werden, wird überhaupt nicht übertragen", sagt Backes.

Über das Problem mit den Servern will Backes nun auf seiner Website besser aufklären: "Danke, dass sie mich darauf hinweisen", sagt er. Genervt hat ihn, dass viele ihn nicht richtig gefragt hätten, was der "digitale Radiergummi" könne und was nicht. "Da wurde viel Quatsch geschrieben."

Auch beim Preis, der ausschließlich für das Verschlüsseln verlangt wird, hat Backes nachjustiert. Anfangs waren zehn Euro im Monat für eine "Flatrate" geplant oder ein Bildpaket mit 20 bis 30 Verschlüsselungen für ebenfalls zehn Euro. Im Netz lachten viele angesichts solcher Preise, schließlich haben viele Verlage Probleme, für ihre Inhalte nur wenige Cent zu verlangen. "Das war eindeutig zu teuer", räumt Backes ein. Nun ist das Unternehmen bei Preisen zwischen knapp 2 Euro 30 und 2 Euro im Monat gelandet. Gratis anbieten will er X-Pire nicht: "Das ist auch nicht im Interesse des Nutzers. Der will von uns ja, dass wir seine Daten schützen. Da können wir nicht Geld mit Werbung oder ähnlichem verdienen."

Dass Backes' Technik sich durchsetzt, ist trotzdem zumindest zweifelhaft. Das Problem, dass erst einmal genügend Nutzer das Plug-in installiert haben müssen, besteht weiter. "Das macht den Dienst aber grundsätzlich nicht schlechter. Er funktioniert auch mit wenigen Nutzern", betont Backes. Wie viele Kunden X-Pire in den ersten Tagen einsammeln konnte, wollte der Professor trotzdem nicht sagen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.