Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Sichere Messenger - Verschlüsselung und Metadaten

Die klassische SMS hat als primäres Kommunikationsmedium ausgedient, lediglich für einige Dienste wie 2FA wird sie erhalten bleiben. Hohe Gebühren der Mobilfunkanbieter haben das Nachfolgeprodukt MMS klein gehalten und in die Lücke sind die heute bekannten Messengerdienste gestoßen. Dabei handelt es sich fast ausnahmslos um zentralisierte Dienste, die eine Verwendung spezielles Apps voraussetzen. Dezentralisierung wäre zwar prinzipiell wünschenswert, ist aber mittelfristig aussichtslos, wenn man sich den Markt ansieht.

Je mehr Informationen wir über diese Dienste teilen, desto prekärer das Datenschutzproblem. Längst werden nicht mehr nur Textnachrichten, Bilder und Videos geteilt, sondern auch Orte, Sprachnachrichten und vieles mehr. Viele Dienste haben seit einiger Zeit auch Sprach- und Videoanrufe integriert. Neben den Inhalten sind auch die auf den Smartphones gespeicherten (Kontakt-)Informationen interessant und natürlich die obligatorischen Metadaten.

Im Gegensatz zu den eher abstrakten Risiken bei Cloudprodukten sind viele Verbraucher bei Messengern sehr sensibel. Ausufernde Debatten und regelmäßige Skandale um diesen oder jenen Messenger zeigen dies ziemlich deutlich.

Die vorgestellten Dienste eignen sich mehr oder minder als sichere Alternative zu bekannten Produkten. Eine uneingeschränkte Empfehlung kann leider für keinen Messenger gegeben werden. Es zeigt sich im übrigen auch, dass Open Source nicht das einzige Kriterium ist, dass man beachten sollte.

Keiner der angeboten Dienste ist vollumfänglich sicher, man nähert sich diesem Ziel höchstens in unterschiedlichem Maße an. Insbesondere Metadaten sind ein neuralgischer Punkt der meisten Kommunikationslösungen, da sich zwar Inhalte schützen lassen, die Tatsache, dass Kommunikation stattfand und der Zeitpunkt eben oft nicht.

Messenger

Signal

Signal ist sicherlich das Flaggschiff der sicheren Messenger. Seit 2015 firmieren die Kommunikationslösungen von Open Whisper Systems einheitlich unter der Marke Signal und lösen damit die Vorgänger TextSecure für Android ab. Finanziert wird das ganze durch Spenden und sonstige Einnahmen. Die Verschlüsselungslösung von Signal, das vormals so genannte Axolotl-Protokoll, gilt als absolut sicher und findet auch in den konkurrierenden Lösungen WhatsApp und Wire Verwendung.

Insbesondere letzteres verleitet viele zu glauben, dass WhatsApp genau so sicher ist. Hinter WhatsApp steht aber ein Konzern, der mit Datenschutz nicht viel anzufangen weiß - Facebook - und die Verschlüsselung der verschickten Inhalte ist nur ein Baustein der sicheren Kommunikation.

Signal versucht hingegen seit längerem die anfallenden Metadaten und Informationen zum Kontaktabgleich zu minimieren. Der Zugriff auf das Adressbuch ist sowieso optional. Verschlüsselung ist hier nur nicht ein Placebo für die besorgte Anwenderseele.

Apps stehen für iOS und Android in den jeweiligen App Stores zur Verfügung. Es gibt eine Electron-basierte Desktop-App, aber ein Smartphone ist trotzdem notwendig. Die Desktopapp ist momentan die größte Schwäche des Produkts. Es gab einige Sicherheitslücken in der Vergangenheit (macOS hielt Nachrichten vor und es gab Probleme mit HTML Code in der Desktop-App) und und die Electron-Lösung ist bei Experten umstritten.

URL: https://signal.org

Play Store iOS

Telegram

Telegram ist unter den hier vorgestellten Lösungen sicherlich die populärste. Gleichzeitig aber auch eine Lösung mit zweifelhafter technischer Qualität. Hinter Telegram steht mit Pawel Durow eine ebenso schillernde, wie umstrittene Person, von dessen finanzieller Zuwendung des Projekt vollständig abhängig ist.

Die technische Qualität von Telegram wird bereits seit längerem kritisch diskutiert. Insbesondere die technische Umsetzung der Verschlüsselung steht dabei im Zentrum der Aufmerksamkeit. Bereits Wikipedia widmet der Sicherheit von Telegram einen langen, sehr kritischen Abschnitt. Auch außerhalb der Tech-Filterblase sind kritische Artikel erschienen. Telegram setzt scheinbar bei der Verschlüsselung nicht auf eine bewährte Lösung, wie sie z.B. Open Whisper System anbietet, sondern auf eine unbekannte Eigenentwicklung. Nachrichten werden in der Cloud gespeichert und sind mindestens für den Betreiber einsehbar. Lediglich so genannte "Geheime Chats" bieten mehr Sicherheit, sind aber nur zwischen zwei Personen möglich und nicht für Gruppen. Genau wie WhatsApp gleicht Telegram das Adressbuch des Anwenders ab um Kontakte zu ermitteln. Das BKA scheint zudem in der Lage zu sein Telegram Nachrichten abzufangen. Ohne diese Aktion bewerten zu wollen, muss man festhalten: Was das BKA kann, können andere auch. Eine umfangreiche Sicherheitsanalyse liefert das Paper "Security Analysis of Telegram" aus dem Mai 2017.

Ein wesentlicher Vorteil ist die Zulassung einer Vielzahl von Clients. Dadurch stehen Telegram-Apps nicht nur in den offiziellen App Stores zur Verfügung, sondern auch in alternativen Stores wie F-Droid oder für alternative Betriebssysteme wie Sailfish OS. Die Desktopapps (eine Registrierung via Smartphone-App ist jedoch erforderlich) sind, verglichen mit konkurrierenden Diensten, qualitativ relativ hochwertig.

URL: https://telegram.org

Play StoreF-Droid — iOS

Threema

Im Gegensatz zu Signal oder Telegram ist Threema nicht Open Source - weder die Clients, noch der Serverpart - und auch nicht kostenlos. Die App wird von der Threema GmbH mit Sitz in der Schweiz entwickelt. Die Apps sind kostenpflichtig und finanzieren die Entwicklung des Angebots.

Im Gegensatz zu vielen anderen Lösungen hat Threema sein Produkt einem Audit unterzogen, bei dem keine Sicherheitsmängel festgestellt wurden.

Threema setzt viele Funktionen besser um als die Konkurrenz. Nicht nur sind Nachrichten und Anrufe verschlüsselt, es ist auch keine SIM-Karte oder Telefonnumer nötig, da eine Identifizierung auch über die Threema-ID möglich ist. E-Mail Adresse und Telefonnumer sind nur zusätzliche, optionale Zuordnungsmöglichkeiten. Der optionale Telefonbuchabgleich zur Ermittlung anderer Threema-Nutzer anonymisiert die Telefonnummern und löscht sie anschließend wieder (siehe FAQ). Weiterhin unterliegen die Kontakte unterschiedlichen "Vertrauensstufen". Erst wenn man die Identität eines anderen Teilnehmers manuell abgeglichen hat bekommt er die höchste Vertrauenswürdigkeit. Ein z. B. auch von GPG bekanntes System. Telefonanrufe erfolgen zudem standardmäßig nicht über die Server, sondern direkt zwischen den beteiligten Kommunikationspartnern und ihren Geräten.

Der einzige Nachteil besteht in der schmalen Plattformunterstützung. Lediglich Android (hier aber auch ohne Play Store/Services) und iOS werden unterstützt. Eine Desktop-App gibt es ebenfalls nicht. Lediglich eine Web-Lösung, Threema Web genannt, steht zur Verfügung.

URL: https://threema.ch/

Android-APKPlay StoreiOS

Wire

Wire ist technisch eine der stärksten Plattformen, leider aber zu spät am Markt eingetroffen. Wire ist inzwischen komplett quelloffen und verfügt über stabil funktionierende Lösungen für den Desktop und die großen Mobilbetriebssysteme. Man verwendet die gleiche Verschlüsselung wie Signal (und Whatsapp) und hat sich auch einem Audit unterzogen.

Es gab allerdings immer wieder Vorwürfe, das Sicherheitskonzept von Wire wäre nicht komplett durchdacht und teilweise würden zu viele Metadaten erhoben.

Die sehr geringe Verbreitung von Wire als Messenger macht es jedoch etwas müßig sich damit näher zu befassen. Als Videotelefonie-Applikation sollte man sie aber in Erwägung ziehen (siehe: Verschlüsselte (Video-)Kommunikation mit Wire), da eine Verbreitung hier nur eine nachrangige Rolle spielt, weil lediglich zwei Kommunikationspartner sich auf ein System einigen müssen.

URL: https://wire.com

Android-APKPlay StoreiOS

XMPP ("Jabber")

In Open Source-Kreisen ist XMPP der heilige Gral zur Kommunikation. Dabei handelt es sich im Gegensatz zu den anderen Diensten um ein dezentrales Protokoll, das mal das Potenzial hatte sozusagen die E-Mail für den Messenger zu werden. Egal welchen Anbieter und welche App man nutzt, man kann alle anderen erreichen. Eine gewisse Zeit lang konnte man sich der Illusion hingeben, die Unterstützung durch Google und andere große Mailanbieter würde XMPP zur Durchsetzung verhelfen.

Heute ist XMPP tendenziell auf dem Rückzug und selbst in der Open Source-Community nicht mehr so verbreitet. Nichts desto trotz ist XMPP mit einigen Erweiterungen (OMEMO) immer noch eine sehr sichere Lösung. Insbesondere OMEMO ermöglichte es XMPP den Sprung auf Mobilgeräte, da die bisherige OTR-Lösung keine Offline-Nachrichten ermöglichte. Mit Conversations für Android und ChatSecure für iOS stehen auch relativ einfach zu benutzende Apps für die großen Mobilsysteme zur Verfügung. Die OMEMO-Erweiterung erzeugt aber leider selbst eine Mauer innerhalb des XMPP-Ökosystems. Bei weitem nicht alle Clients, insbesondere im Desktopbereich, können damit umgehen.

Andere Dienste

Es gibt noch dutzende andere Dienste. Die großen IT-Firmen Apple und Google betreiben mit iMessage und Allo eigene Lösungen. Microsoft hat Skype erworben und zusätzlich tummeln sich auf dem gesättigten Markt noch viele Start Ups. Einige dieser Lösungen sind in einigen Regionen der Welt sehr erfolgreich. Andere sind reine Open Source-Community Projekte, aber noch nicht wirklich ausgereift. Die vier oben genannten Dienste können zumindest ein gewisses Maß an Verbreitung im deutschen Sprachraum für sich verzeichnen, keiner kommt jedoch an die Nutzerzahlen der proprietären Dienste der großen Datenkraken heran. Es macht daher nicht viel Sinn den Fokus auf noch abseitigere Dienste zu richten, deren Sicherheitskonzept in der Regel keine/kaum Vorzüge zu den hier genannten Alternativen bietet.

Zusammengefasst

Eine uneingeschränkte Empfehlung für einen Dienst kann man kaum geben. Letztlich dürfte für die meisten entscheidend sein, wo sie die Mehrheit ihrer Kommunikationspartner finden. Das kann je nach sozialem Umfeld höchst unterschiedlich sein.

Das beste Produkt hinsichtlich Stabilität, Sicherheit und Bedienkomfort bietet gegenwärtig Threema. Der Dienst ist nicht quelloffen, was in der Open Source-Szene als Totschlagargument dient, aber nur Ideologen glauben, dass Quelloffenheit das einzige Argument ist (siehe auch: Kommentar: Datenschutz und -sicherheit - Open Source wird überbewertet und Schlagwort "Sicherheit" - Marketing, Open Source und andere Entwicklungen). Threema finanziert sich außerdem sehr transparent durch die Einnahmen aus den App-Verkäufen.

Am schwächsten ist definitiv Telegram aufgestellt. Die langfristige Finanzierung ist unklar, die Sicherheit wird von Experten begründet angezweifelt aber im Kampf um Aufmerksamkeit gewinnt oft nicht das beste Produkt, sondern das beste Marketing. Telegram ist zudem der beste Beweis, dass Open Source und eine vielfältige App-Landschaft nicht unbedingt Hand in Hand mit Sicherheit geht.

XMPP ist an konzeptionellen Unzulänglichkeiten gescheitert und außerhalb eines sehr kleinen Anhängerkreises faktisch tot. Das Konzept mit den unterschiedlichen Clients und separaten Kontaktadressen ist einfach nicht mehr zeitgemäß.

"

Tags: Sicherheit, Open Source, Verschlüsselung, Kommunikation, Messenger, Wire, Signal, Telegram, Threema, XMPP, Jabber

  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1