CREO zwischen Anspruch und Beweis
Warum technische Kritik wichtig ist – aber nicht das ganze Bild zeigt
CREO verspricht digitale Privatsphäre jenseits der bekannten Messenger: unknackbar, dezentral, kompromisslos.
Ein aktuelles Video aus dem Bereich IT-Security nimmt diese Aussagen auseinander und stellt sie technisch infrage.
Das ist legitim – und notwendig.
Was mir dabei jedoch fehlt, ist die Einordnung zwischen berechtigter Skepsis und vorschneller Abwertung.
Genau diese Lücke möchte ich hier schließen – aus meinem begrenzten, aber reflektierten Wissensstand heraus.
Ich schreibe diesen Text nicht als Entwickler, nicht als Kryptograf und nicht als Sprachrohr eines Projekts.
Sondern als jemand, der sich seit Jahren mit Datenschutz, Open Source, Überwachung und digitaler Macht beschäftigt
– und der die Menschen hinter CREO auch persönlich kennengelernt hat, unter anderem in Luxemburg.
Ausgangspunkt der Debatte
data-instgrm-permalink=
Warum ich mich zu Wort melde
Kritik an Sicherheitsversprechen ist kein Angriff, sondern Pflicht.
Problematisch wird es dort, wo Kritik selbst absolut wird – wo aus „nicht belegt“ implizit „unseriös“ gemacht wird.CREO wird derzeit oft an einem Maßstab gemessen, der eigentlich nur für fertige, vollständig dokumentierte Systeme gilt.
CREO ist das aber (noch) nicht.
Es ist ein Projekt, ein Gegenentwurf, ein politisch-technischer Versuch, Kontrolle über Kommunikation zurückzuholen.
„Unknackbar“ – ein Wort, das mehr schadet als hilft
Ja: In der IT-Sicherheit gibt es kein „unknackbar“.
Solche Begriffe sind technisch nicht haltbar und erzeugen falsche Erwartungen.
Das sollte man klar benennen – und das wird in der Kritik auch zu Recht getan.Was man dabei aber nicht übersehen sollte:
Hier wird ein Marketingbegriff wie eine formale Sicherheitszusage behandelt.
Das ist ein Kategorienfehler.
Das Wort ist schlecht gewählt – aber kein Beweis für Unsicherheit oder Täuschung.Die eigentliche Frage lautet nicht, ob das Wort perfekt ist, sondern:
Welche Bedrohungsmodelle adressiert CREO – und welche nicht?
AES-512, „Individual Adaptive Encryption“ und Offenlegung
Auch hier ist die Kritik im Kern berechtigt.
AES kennt offiziell 128- und 256-Bit-Schlüssel.
„AES-512“ ist kein etablierter Standard.
Ohne technische Spezifikation bleibt unklar, was konkret gemeint ist.Aber:
Nicht standardisiert heißt nicht automatisch schlecht.
Und nicht offengelegt heißt nicht automatisch unsicher.Was CREO liefern muss, sind klare technische Beschreibungen.
Was Kritiker liefern sollten, ist Nachfrage statt Spott.
Dezentralität heißt nicht Regellosigkeit
Der häufige Vorwurf lautet:
Dezentral – aber Accounts können gesperrt werden?Das ist kein technischer Widerspruch, sondern eine Governance-Frage.
Vollständig herrschaftsfreie Systeme scheitern in der Praxis fast immer an
Spam, Betrug, Missbrauch oder illegalen Inhalten.CREO behauptet nicht, es gäbe keine Regeln.
CREO behauptet, es gebe keine zentrale Datenmacht.
Das ist ein entscheidender Unterschied.
Wallet, Bank, Realität
Sobald Zahlungsinfrastruktur ins Spiel kommt, greifen Regulierung,
Banken, Partner und Compliance.
Das ist Realität.Aussagen wie „niemand kann es sehen“ oder „100 % sicher“ sind hier besonders sensibel,
weil Nutzer daraus schnell falsche Schlüsse ziehen.Auch hier gilt:
Man muss technische Ebenen und regulatorische Ebenen sauber trennen.
Nicht alles ist entweder total privat oder total transparent.
Fazit: Kritik ja – Demontage nein
Technische Kritik an CREO ist richtig und notwendig.
Aber Kritik braucht Maßstab – genauso wie Vertrauen.CREO ist nicht Signal.
CREO will nicht Signal sein.
Es ist ein politisch-technischer Gegenentwurf, der sich erst noch beweisen muss.Dafür braucht es:
- Offenlegung
- Spezifikation
- unabhängige Prüfung
- Zeit
Nicht das lauteste Versprechen zählt – aber auch nicht der schnellste Zweifel.
Haltung statt Hormon.
Digitale Privatsphäre entsteht nicht durch Superlative,
sondern durch Transparenz, Verantwortung und ehrliche Debatten.
Das vollständige Video
