Messenger
Welches Tool bietet die beste Kombination aus Sicherheit und Komfort?
Vierzig Milliarden. Das ist die Zahl aller weltweit verschickten WhatsApp-Nachrichten – am Tag! Sie müssten täglich rund 490 Nachrichten versenden, um auf diese Zahl zu kommen. Und alle anderen 82 Millionen Mitbürger ebenfalls. Damit ist WhatsApp mit Abstand der meist genutzte Messenger-Dienst der Welt. Über seine Server fließt ein enormer Datenstrom. Seit 2016 soll dieser zwischen den Chatpartnern verschlüsselt sein. Doch wie steht es wirklich um die Sicherheit und den Datenschutz des Dienstes? Zu welchen Alternativen kann man guten Gewissens greifen? Und wo liegen die Schwachstellen von Messengern? Wir klären Sie auf.
Was heißt Verschlüsselung?
„Als Grundvoraussetzung sicherer Kommunikation gilt eine durchgängige Ende-zuEnde-Verschlüsselung und ein Schutz der Daten auf dem Smartphone selbst.“So Julian Schütte vom Fraunhofer-Institut für Angewandte und Integrierte Sicherheit.
Bei der Ende-zu-Ende-Verschlüsselung wird die Nachricht auf dem Sendegerät verschlüsselt und kann erst wie-
der beim Empfänger entschlüsselt werden. Niemand anderes kann die Daten im Klartext lesen. Sei es nun der Messenger-Dienst oder ein Hacker. Im Gegensatz dazu steht die SMS. Sie ist für jeden mit etwas Können offen lesbar wie eine Postkarte.
Bei der Ende-zu-Ende-Verschlüsselung wird im Prinzip diese Postkarte in einen Umschlag gesteckt, auf dem nur noch der Adressat sichtbar ist. Dann wird dieser Umschlag wiederum von einem Umschlag umgeben, der an den Server des Messenger-Dienstes adressiert ist. Dieser dient als Verteiler. Der Server kann nur den äußeren Umschlag öffnen, die Adresse auslesen, sie mit einem neuen Umschlag verhüllen und diesen weiterschicken. Somit wird verschleiert, von wem der Umschlag ursprünglich geschickt wurde. Der innere Umschlag, der die Postkarte mit dem Nachrichtentext enthält, bleibt unterwegs zu jeder Zeit ungeöffnet.
Julian Schütte bestätigt: „Verschlüsselung funktioniert. Verfahren, die dem Stand der Technik entsprechen und die fehlerfrei implementiert sind, können selbst staatliche Organisationen schwer aufbrechen.“Doch die Gefahren der verschlüsselten Kommunikation lauern woanders. Erst im März fanden Forscher des Fraunhofer-Instituts heraus, dass WhatsApp trotz Verschlüsselung unter Android Sicherheitslücken aufweist. Textnachrichten werden zwar verschlüsselt im Speicher des Gerätes abgelegt, für Mediendateien gilt dies aber nicht. So können andere Apps auf dem System Zugriff auf die Dokumente bekommen, diese auslesen oder verändern. „In der von uns untersuchten Version gibt es für Benutzer keine Möglichkeit, dieses Verhalten zu umgehen“, stellt Schütte klar.
Apple-Kunden haben es etwas besser: Sie können der Anwendung den Zugriff auf die Foto-Galerie entziehen. Wichtig ist, Apps aus unsicheren Quellen besser nicht zu nutzen. Schütte sieht sogar schon Angriffsszenarien, bei denen Apps aus Daten des Beschleunigungssensors das Tippverhalten des Benutzers erkennen und geschriebene Texte extrahieren können.
In ihrem neuen Überwachungsgesetz für MessengerDienste könnte die Bundesregierung genau auf solche Spionage-Software zurückgreifen. Damit würden Daten bereits vor der Verschlüsselung abgegriffen. So, als ob einem jemand beim Schreiben einer Postkarte über die Schulter schaut. >>
Umgang mit Metadaten
Schädliche Apps sind nicht die einzige Schwachstelle verschlüsselter Kommunikation. Um zu unserem Beispiel mit den Umschlägen zurückzukommen: Der Server des Messenger-Dienstes kennt zwar nicht die Nachricht, weiß aber trotzdem, wer wann mit wem kommuniziert hat. Durch die IP-Adressen kann er sogar den Standort der Kommunikationspartner herausfinden. Diese Metadaten sind mindestens genau so wertvoll wie die Nachricht selbst. Mit ihnen ist es möglich, Bewegungs- und Kommunikationsprofile anzulegen. Diese können dann wiederum für Werbemaßnahmen genutzt werden.
Seitdem WhatsApp zu Facebook gehört, ist ein Austausch solcher Daten zwischen den Unternehmen möglich. Die Telefonnummer wird im Übrigen bereits mit Facebook geteilt, sofern man dem nicht in den Einstellungen widerspricht.
Im Prinzip stellt sich also nicht unbedingt die Frage, welcher Dienst die Inhalte gut verschlüsselt, sondern wer darüber hinaus guten Datenschutz liefert. Dienste, die wenig Metadaten speichern und vorhandene Daten regelmäßig löschen, sollten die erste Wahl sein. WhatsApp lädt bei der Anmeldung beispielsweise das gesamte Adressbuch auf seine Server. Ein Abgleich der Daten zeigt einem an, welcher Freund ebenfalls bei WhatsApp ist. Doch zu welchem Preis?
Andere Dienste lassen Nutzern hier mehr Hoheit in Sachen Datenschutz. Meistens ist man jedoch auf das Wort der Anbieter angewiesen. Deswegen gilt: Je transparenter ein Dienst ist, desto besser. Wer seinen Quellcode offenlegt, gibt der Gemeinschaft ein Zeichen und die Möglichkeit unabhängiger Prüfung.
Die Zukunft der Messenger
Mit der Wahl eines Dienstes entscheidet man sich häufig für eine zentralisierte Verwaltung seiner Daten. Alle Informationen laufen über die Server der Anbieter. Der nächste Schritt ist demnach, die Zentralisierung aufzubrechen. Das geht beispielsweise mit einem dezentralisierten Protokoll wie XMPP und der App Conversations. Hier kann man sich nicht nur selbstständig einen Server suchen, sondern bei Bedarf auch einen eigenen verwenden. Julian Schütte sieht in Zukunft Peer-to-PeerTechnologien und Verfahren zur Minimierung von Metadaten immer wichtiger werden. Nachrichteninhalte zwischen den Kommunikationspartnern direkt zu vermitteln, könnte also eine Möglichkeit sein, wenigstens auf dem Übertragungsweg Herr seiner Daten zu bleiben.
„Messenger-Apps werden sich in puncto Transparenz messen lassen müssen. Wer Nutzer über Datenzugriffe der App informiert, schafft Vertrauen“
Julian Schütte, Fraunhofer Institut