Mir ist diese Plattform Creo.ws noch gar nicht präsent gewesen bis mich eine Bekannte darauf aufmerksam gemacht hat: das sei doch nun eine Kommunikationsalternative, bei der man sich wirklich sicher fühlen könnte und sie sei von einem absoluten Crack entwickelt worden, den die Behörden wegen seiner Fähigkeiten schon lange im Visier haben.
Tatsächlich: in vielen Diskussionen um Datenschutz und Überwachung steht derzeit besonders eines im Fokus: die EU scheint, wenn auch mit etwas Umwegen, ernst machen zu wollen mit Plänen zur Chat-Kontrolle. Ich will hier nicht über die Sinnhaftigkeit oder die politischen Motive dieser Initiativen spekulieren – ich halte sie für eine Katastrophe, will das hier aber nicht weiter diskutieren. Und genau in diesen Tagen geistert eine neue, angeblich absolut abhörsichere Chat-Möglichkeit durch das Internet – CREO.ws.
CREO.ws tritt mit großen Versprechen an: mit starker Verschlüsselung, Peer-to-Peer-Netzwerk und Zero-Knowledge-Ansätzen. Auf dem Papier klingt das beeindruckend. Doch je genauer man hinschaut, desto mehr Fragezeichen tauchen auf:
Proprietäre Kryptografie
Ein zentrales Versprechen lautet: AES-512. Das klingt, wenn man keine Kryptografie-Expertise hat, extrem sicher – nur: Eine solche Variante ist nicht Teil des offiziellen AES-Standards. AES ist in seiner Spezifikation auf 128, 192 oder 256 Bit ausgelegt. Wer von „AES-512“ spricht, verlässt den geprüften Standard und bewegt sich in proprietären Konstruktionen. Kryptografie lebt nicht von geheimen Zutaten, sondern von unabhängiger öffentlicher Prüfung. Eine selbst erfundene Variante kann theoretisch sicher sein, praktisch aber fehlen jegliche Nachweise für ihre Vertrauenswürdigkeit.
Mangelhafte Überprüfbarkeit
Hinzu kommt: Sicherheit ist nicht nur eine Frage der Theorie, sondern der Überprüfbarkeit. Bei CREO gibt es bisher keine offenen Details, keinen öffentlich einsehbaren Quellcode, keine unabhängigen Audits und – soweit bekannt – nicht einmal eine fertige, nutzbare Software. Solange niemand sehen oder testen kann, wie die behaupteten Schutzmechanismen tatsächlich implementiert sind, bleiben sie reine Behauptung. Wer Sicherheit verspricht, muss Transparenz liefern.
Was ist mit den Metadaten?
Doch selbst die beste Verschlüsselung ist nur ein Teil eines komplexen Systems. Was passiert, wenn das Endgerät kompromittiert ist? Was, wenn Malware den Text liest, bevor er verschlüsselt wird? Und was ist mit den unvermeidlichen Metadaten – also wer wann mit wem kommuniziert? Kommunikationsmuster können oft mehr verraten als Inhalte. Viele reale Angriffe zielen nicht auf die Mathematik, sondern auf Implementierung, Nutzerfehler oder das Drumherum.
Fragwürdige Finanzierung
Ein weiteres Fragezeichen ergibt sich aus der Finanzierung: Kritiker berichten, CREO werde über einen Token finanziert. Dieses Modell taucht in der Vergangenheit bei vielen Projekten auf, die große technische Visionen versprachen, aber kein funktionierendes Produkt lieferten – dafür aber frühe Investitions-/Spekulationsmöglichkeiten. Nicht jedes Token-Modell ist automatisch unseriös, doch es verschiebt Gewicht: Im Zweifel steht der Hype vor der tatsächlichen Technologie.
Unterm Strich
Unterm Strich bleibt ein ambivalentes Bild. Die Idee hinter CREO – dezentrale, verschlüsselte Kommunikation – mag durchaus sinnvoll und wichtig sein. Und technisch kann so etwas funktionieren – in der Theorie, viele etablierte Messenger zeigen das täglich. Aber die Versprechen von CREO.ws sind derzeit besser belegt als ihr tatsächlicher Entwicklungs- und Realitätsstand. Ohne offenen Code, ohne Prüfungen, ohne klare Nachweise . Am Ende bleibt der Verdacht im Raum, dass es um Geldabzocke geht und nicht um echte Sicherheit.
Wer heute schon von "absoluter Abhörsicherheit "spricht, sollte zeigen können, wie sie entsteht – und bereit sein, Experten hineinschauen zu lassen. Solange das nicht der Fall ist, bleibt der nüchterne Rat: aufmerksam bleiben, Fragen stellen, nicht blenden lassen. Misstrauen ist in der Kryptografie kein Zeichen von Paranoia, sondern von Kompetenz.
