Mes­sen­ger

Wel­ches Tool bie­tet die bes­te Kom­bi­na­ti­on aus Si­cher­heit und Kom­fort?

connect - - INHALT - LENN­ART HOLTKEMPER

Vier­zig Mil­li­ar­den. Das ist die Zahl al­ler welt­weit ver­schick­ten Whats­App-Nach­rich­ten – am Tag! Sie müss­ten täg­lich rund 490 Nach­rich­ten ver­sen­den, um auf die­se Zahl zu kom­men. Und al­le an­de­ren 82 Mil­lio­nen Mit­bür­ger eben­falls. Da­mit ist Whats­App mit Ab­stand der meist ge­nutz­te Mes­sen­ger-Di­enst der Welt. Über sei­ne Ser­ver fließt ein enor­mer Da­ten­strom. Seit 2016 soll die­ser zwi­schen den Chat­part­nern ver­schlüs­selt sein. Doch wie steht es wirk­lich um die Si­cher­heit und den Da­ten­schutz des Di­ens­tes? Zu wel­chen Al­ter­na­ti­ven kann man gu­ten Ge­wis­sens grei­fen? Und wo lie­gen die Schwach­stel­len von Mes­sen­gern? Wir klä­ren Sie auf.

Was heißt Ver­schlüs­se­lung?

„Als Gr­und­vor­aus­set­zung si­che­rer Kom­mu­ni­ka­ti­on gilt ei­ne durch­gän­gi­ge En­de-zu­En­de-Ver­schlüs­se­lung und ein Schutz der Da­ten auf dem Smart­pho­ne selbst.“So Ju­li­an Schüt­te vom Fraun­ho­fer-In­sti­tut für An­ge­wand­te und In­te­grier­te Si­cher­heit.

Bei der En­de-zu-En­de-Ver­schlüs­se­lung wird die Nach­richt auf dem Sen­de­ge­rät ver­schlüs­selt und kann erst wie-

der beim Emp­fän­ger ent­schlüs­selt wer­den. Nie­mand an­de­res kann die Da­ten im Kl­ar­text le­sen. Sei es nun der Mes­sen­ger-Di­enst oder ein Ha­cker. Im Ge­gen­satz da­zu steht die SMS. Sie ist für je­den mit et­was Kön­nen of­fen les­bar wie ei­ne Post­kar­te.

Bei der En­de-zu-En­de-Ver­schlüs­se­lung wird im Prin­zip die­se Post­kar­te in ei­nen Um­schlag ge­steckt, auf dem nur noch der Adres­sat sicht­bar ist. Dann wird die­ser Um­schlag wie­der­um von ei­nem Um­schlag um­ge­ben, der an den Ser­ver des Mes­sen­ger-Di­ens­tes adres­siert ist. Die­ser dient als Ver­tei­ler. Der Ser­ver kann nur den äu­ße­ren Um­schlag öff­nen, die Adres­se aus­le­sen, sie mit ei­nem neu­en Um­schlag ver­hül­len und die­sen wei­ter­schi­cken. So­mit wird ver­schlei­ert, von wem der Um­schlag ur­sprüng­lich ge­schickt wur­de. Der in­ne­re Um­schlag, der die Post­kar­te mit dem Nach­rich­ten­text ent­hält, bleibt un­ter­wegs zu je­der Zeit un­ge­öff­net.

Ju­li­an Schüt­te be­stä­tigt: „Ver­schlüs­se­lung funk­tio­niert. Ver­fah­ren, die dem Stand der Tech­nik ent­spre­chen und die feh­ler­frei im­ple­men­tiert sind, kön­nen selbst staat­li­che Or­ga­ni­sa­tio­nen schwer auf­bre­chen.“Doch die Ge­fah­ren der ver­schlüs­sel­ten Kom­mu­ni­ka­ti­on lau­ern wo­an­ders. Erst im März fan­den For­scher des Fraun­ho­fer-In­sti­tuts her­aus, dass Whats­App trotz Ver­schlüs­se­lung un­ter An­dro­id Si­cher­heits­lü­cken auf­weist. Text­nach­rich­ten wer­den zwar ver­schlüs­selt im Spei­cher des Ge­rä­tes ab­ge­legt, für Me­di­en­da­tei­en gilt dies aber nicht. So kön­nen an­de­re Apps auf dem Sys­tem Zu­griff auf die Do­ku­men­te be­kom­men, die­se aus­le­sen oder ver­än­dern. „In der von uns un­ter­such­ten Ver­si­on gibt es für Be­nut­zer kei­ne Mög­lich­keit, die­ses Ver­hal­ten zu um­ge­hen“, stellt Schüt­te klar.

App­le-Kun­den ha­ben es et­was bes­ser: Sie kön­nen der An­wen­dung den Zu­griff auf die Fo­to-Ga­le­rie ent­zie­hen. Wich­tig ist, Apps aus un­si­che­ren Qu­el­len bes­ser nicht zu nut­zen. Schüt­te sieht so­gar schon An­griffs­sze­na­ri­en, bei de­nen Apps aus Da­ten des Be­schleu­ni­gungs­sen­sors das Tipp­ver­hal­ten des Be­nut­zers er­ken­nen und ge­schrie­be­ne Tex­te ex­tra­hie­ren kön­nen.

In ih­rem neu­en Über­wa­chungs­ge­setz für Mes­sen­gerDi­ens­te könn­te die Bun­des­re­gie­rung ge­nau auf sol­che Spio­na­ge-Soft­ware zu­rück­grei­fen. Da­mit wür­den Da­ten be­reits vor der Ver­schlüs­se­lung ab­ge­grif­fen. So, als ob ei­nem je­mand beim Schrei­ben ei­ner Post­kar­te über die Schul­ter schaut. >>

Um­gang mit Me­t­a­da­ten

Schäd­li­che Apps sind nicht die ein­zi­ge Schwach­stel­le ver­schlüs­sel­ter Kom­mu­ni­ka­ti­on. Um zu un­se­rem Bei­spiel mit den Um­schlä­gen zu­rück­zu­kom­men: Der Ser­ver des Mes­sen­ger-Di­ens­tes kennt zwar nicht die Nach­richt, weiß aber trotz­dem, wer wann mit wem kom­mu­ni­ziert hat. Durch die IP-Adres­sen kann er so­gar den Stand­ort der Kom­mu­ni­ka­ti­ons­part­ner her­aus­fin­den. Die­se Me­t­a­da­ten sind min­des­tens ge­nau so wert­voll wie die Nach­richt selbst. Mit ih­nen ist es mög­lich, Be­we­gungs- und Kom­mu­ni­ka­ti­ons­pro­fi­le an­zu­le­gen. Die­se kön­nen dann wie­der­um für Wer­be­maß­nah­men ge­nutzt wer­den.

Seit­dem Whats­App zu Face­book ge­hört, ist ein Aus­tausch sol­cher Da­ten zwi­schen den Un­ter­neh­men mög­lich. Die Te­le­fon­num­mer wird im Üb­ri­gen be­reits mit Face­book ge­teilt, so­fern man dem nicht in den Ein­stel­lun­gen wi­der­spricht.

Im Prin­zip stellt sich al­so nicht un­be­dingt die Fra­ge, wel­cher Di­enst die In­hal­te gut ver­schlüs­selt, son­dern wer dar­über hin­aus gu­ten Da­ten­schutz lie­fert. Di­ens­te, die we­nig Me­t­a­da­ten spei­chern und vor­han­de­ne Da­ten re­gel­mä­ßig lö­schen, soll­ten die ers­te Wahl sein. Whats­App lädt bei der An­mel­dung bei­spiels­wei­se das ge­sam­te Adress­buch auf sei­ne Ser­ver. Ein Ab­gleich der Da­ten zeigt ei­nem an, wel­cher Freund eben­falls bei Whats­App ist. Doch zu wel­chem Preis?

An­de­re Di­ens­te las­sen Nut­zern hier mehr Ho­heit in Sa­chen Da­ten­schutz. Meis­tens ist man je­doch auf das Wort der An­bie­ter an­ge­wie­sen. Des­we­gen gilt: Je trans­pa­ren­ter ein Di­enst ist, des­to bes­ser. Wer sei­nen Qu­ell­code of­fen­legt, gibt der Ge­mein­schaft ein Zei­chen und die Mög­lich­keit un­ab­hän­gi­ger Prü­fung.

Die Zu­kunft der Mes­sen­ger

Mit der Wahl ei­nes Di­ens­tes ent­schei­det man sich häu­fig für ei­ne zen­tra­li­sier­te Ver­wal­tung sei­ner Da­ten. Al­le In­for­ma­tio­nen lau­fen über die Ser­ver der An­bie­ter. Der nächs­te Schritt ist dem­nach, die Zen­tra­li­sie­rung auf­zu­bre­chen. Das geht bei­spiels­wei­se mit ei­nem de­zen­tra­li­sier­ten Pro­to­koll wie XMPP und der App Con­ver­sa­ti­ons. Hier kann man sich nicht nur selbst­stän­dig ei­nen Ser­ver su­chen, son­dern bei Be­darf auch ei­nen ei­ge­nen ver­wen­den. Ju­li­an Schüt­te sieht in Zu­kunft Peer-to-PeerTech­no­lo­gi­en und Ver­fah­ren zur Mi­ni­mie­rung von Me­t­a­da­ten im­mer wich­ti­ger wer­den. Nach­rich­ten­in­hal­te zwi­schen den Kom­mu­ni­ka­ti­ons­part­nern di­rekt zu ver­mit­teln, könn­te al­so ei­ne Mög­lich­keit sein, we­nigs­tens auf dem Über­tra­gungs­weg Herr sei­ner Da­ten zu blei­ben.

„Mes­sen­ger-Apps wer­den sich in punc­to Trans­pa­renz mes­sen las­sen müs­sen. Wer Nut­zer über Da­ten­zu­grif­fe der App in­for­miert, schafft Ver­trau­en“

Ju­li­an Schüt­te, Fraun­ho­fer In­sti­tut

Newspapers in German

Newspapers from Germany

© PressReader. All rights reserved.