So können Messenger den Datenschutz bei Nachrichten sicherstellen
Der Siegeszug der Messenger Apps
Wir schreiben das Jahr 2020 und der Großteil der Menschen verwendet mittlerweile ein Smartphone. Vielleicht lesen Sie diesen Beitrag ja sogar direkt auf Ihrem Handy. In so ziemlich allen Erhebungen behaupten sich Messenger als die beliebtesten und meistgenutzten Apps, allen voran natürlich WhatsApp. So wurden 2012 – fünf Jahre nach Markteinführung des ersten iPhones – in Deutschland noch knapp 163 Millionen SMS täglich versendet. Bei damaligen Preisen von jeweils ca. zehn Cent pro Nachricht präsentierte sich WhatsApp natürlich als eine günstige Alternative. Hierfür fielen nach dem Start als kostenloser Dienst jährlich Gebühren von lediglich 89 Cent oder weniger an. Seit 2016 ist WhatsApp wieder komplett kostenlos.
Mittlerweile sind die meisten Nutzer mit Flatrate-Verträgen ausgestattet und zahlen nicht mehr für jede einzelne SMS. Aber die hohe Benutzerfreundlichkeit der Messaging Apps sorgt dafür, dass die Nutzerzahlen konstant bleiben bzw. weiter stagnieren. Das unkomplizierte Austauschen von Nachrichten und Dateien wird ergänzt durch das Versenden von Standorten oder Kontaktdaten. So wird dem Nutzer deutlich mehr geboten als SMS oder MMS es könnten. Bereits 2013 hatte sich das Volumen von WhatsApp-Nachrichten auf 133 Millionen gegenüber dem Vorjahr fast versiebenfacht und das SMS-Volumen um 30% überstiegen. Zwei Jahre später lag WhatsApp bei knapp 670 Millionen Nachrichten, die SMS stürzte auf nicht einmal mehr 40 Millionen ab.
Wie kann ein Messenger Datenschutz gewährleisten?
- Ende-zu-Ende-Verschlüsselung: Speicherung und Transfer der Daten schützen
Grundsätzlich sollten so wenig Daten wie möglich auf dem Endgerät des Nutzers gespeichert werden. Wenn dies nicht möglich ist, müssen die Daten zumindest sicher verschlüsselt sein.
Da die Daten natürlich in Form von Nachrichten verschickt werden, müssen diese zwangsläufig auch während der Übertragung geschützt sein. Hierfür gibt es die sogenannten Public- und Private-Keys, mit denen die Nachricht beim Versender verschlüsselt und beim Empfänger wieder entschlüsselt werden. Der Schlüssel für das Auslesen der lokal auf dem Gerät gespeicherten Daten sollte ein anderer sein als diese Public- bzw. Private-Keys. Üblicherweise wird er aus dem Geräte-Pin des Nutzers abgeleitet.
- Session-Level Security, kurz SLS
SLS bedeutet vereinfacht gesagt, dass für jede Sitzung andere Schlüssel verwendet werden. Das heißt, dass bei jedem Starten und Stoppen der App (bzw. des Handys) die Schlüssel wechseln. Ohne diese Funktion wäre es technisch möglich bei einmaligem Ausspähen des Schlüssels alle Nachrichten zu lesen. Dabei wäre egal, ob Zugang zur Sender- oder Empfängerseite besteht.
- Verschlüsselte Server
Natürlich müssen auch die Server, auf denen Nachrichten und Dateien liegen, verschlüsselt werden. Da die lokale Speicherung bei den Nutzern nur bedingt möglich und sinnvoll ist, ist dieser Punkt besonders wichtig.
Vorab gesagt: Alle hier behandelten Apps erfüllen diese Punkte. Dies reicht jedoch nur bedingt, um zu beurteilen, wie sicher der Service ist. Um restlos zu überzeugen, muss der Programmcode von Servern und Apps des jeweiligen Anbieters einsehbar sein. Nur so kann wirklich beurteilt werden, welchen Standards die verschiedenen Verschlüsselungen entsprechend. Auch das Verhalten der Anbieter im Falle von Anfragen zur Offenlegung von Chats oder den entsprechenden Schlüsseln, z.B. durch Regierungen oder Gerichte, gibt Anhaltspunkte darüber, wie groß Ihre Privatsphäre wirklich geschrieben wird.
WhatsApp, Threema und Telegram: verschiedene Datenschutz-Ansätze der Messenger
WhatsApp: Datenschutz trotz Verzahnung mit Facebook?
WhatsApp ist der meistgenutzte Messenger in Deutschland. Über 80% der Nutzer von Messenger-Apps verwenden den Service, der 2014 von Facebook übernommen wurde, regelmäßig. Zwei Jahre nach der Übernahme wurden die beiden Dienste enger verzahnt. Seitdem werden die Telefonnummer und Nutzungsstatistiken von WhatsApp an Facebook weitergegeben. Hierdurch soll die Personalisierung der Werbung auf Facebook verbessert werden, was dann wiederum die Kosten für den Betrieb decken soll.
Über WhatsApp versendete Nachrichten sind seit 2016 per Ende-zu-Ende-Verschlüsselung geschützt. Nachrichten können also nur vom jeweiligen Sender und Empfänger entschlüsselt werden. Die Inhalte Ihrer Nachrichten sind also grundlegend geschützt. Darüber hinaus behält sich Facebook allerdings vor, die Metadaten Ihrer Nutzung zu speichern und auch kommerziell zu nutzen. Hierzu gehört die Nutzungsfrequenz, die IP-Adressen über die WhatsApp genutzt wurde, mit welchen Kontakten kommuniziert wird und ähnliche Informationen. Diese Daten müssen im Zweifelsfall auch an Behörden weitergegeben werden.
Problematisch finden Datenschützer an WhatsApp vor allem, dass die Software proprietär, also komplett Closed Source ist. Es kann nicht von unabhängiger Seite überprüft werden, welche Qualität der Programmcode und somit die Verschlüsselung haben.
Threema: Privatsphäre hat seinen Preis
Threema ist ein Instant Messaging-Dienst aus der Schweiz mit Hauptaugenmerk auf Datenschutz und Privatsphäre. Im Gegenzug zu WhatsApp und Telegram ist die Nutzung kostenpflichtig. Hierdurch soll die langfristige Finanzierung des Services sichergestellt werden, ohne Nutzerdaten monetarisieren oder Werbung schalten zu müssen.
Laut den Autoren bietet Threema standardmäßig eine starke End-to-End-Verschlüsselung. Verschiedene externe Audits belegen das auch regelmäßig. Trotzdem ist es wie WhatsApp komplett Closed Source-Software und der Programmcode nicht einsehbar. Für die Threema GmbH gelten als schweizer Unternehmen die schweizerischen Datenschutzgesetze. Zusätzlich muss sie sich an die Standards der EU-Datenschutzgrundverordnung halten. Nach Angaben des Unternehmens stehen die ISO-zertifizierten Server ausschließlich in der Schweiz.
Die Nutzerzahl ist mit insgesamt ca. fünf Millionen jedoch relativ beschränkt. Dies dürfte für die meisten potentiellen Kunden ein größeres Problem darstellen als die knappen vier Euro, die einmalig für ein Nutzerkonto anfallen.
Telegram: Datenschutz fängt beim Nutzer an
Telegram setzt im Vergleich zu den anderen Messengern zumindest teilweise auf quelloffenen Code. Die Software für Clients ist Open Source und kann somit unabhängig überprüft werden. Der Quellcode der Server ist jedoch auch hier Closed Source und somit nicht einsehbar.
Seit der Übernahme von WhatsApp durch Facebook erfreut sich Telegram steigender Beliebtheit. Die hochwertigen kostenlosen Apps für alle Endgeräte tragen dazu entscheidend bei. Viele Funktionen wie Sticker oder eine Dateiablage waren zuerst für Telegram verfügbar, bevor sie auch in den anderen Messengern Einzug erhielten. So kommt Telegram auf eine Verbreitung von 7% unter den Nutzern von Messaging Apps in Deutschland und 200 Millionen monatliche Nutzer insgesamt. Gegründet wurde Telegram 2013 in Russland von den Entwicklern des sozialen Netzwerks VK. Diese finanzieren auch den Betrieb und die Weiterentwicklung des Dienstes, wobei langfristig eine Art spendenähnliches Crowdfunding angestrebt wird.
Die „normalen“ Chats in Telegram sind cloud-basierte Chats. Diese werden auf weltweit verteilten Servern gespeichert und sind für Dritte nicht einsehbar. Telegram selbst kann jedoch theoretisch jederzeit auf die Nachrichteninhalte zugreifen. Und hierdurch hätten auch potentielle Angreifer wie Hacker bei Erfolg Zugriff auf eben diese Inhalte. Daneben gibt es zwar sogenannte private Chats, welche komplett Ende-zu-Ende verschlüsselt sind, aber weniger Funktionen bieten.
Dies hat zur Folge, dass der Großteil der Nutzer nur eine Verschlüsselung verwendet, die auf die Integrität des Betreibers angewiesen ist. In der Vergangenheit widersetzte sich Telegram der von staatlicher Seite angeforderten Herausgabe des Nachschlüssels, mit dem Nachrichten entschlüsselt werden können. Jedoch ist nicht absehbar, wohin sich das Unternehmen entwickelt und die cloud-basierten Chats öffnen Industriespionage durch Hacking oder Phishing Tür und Tor.
Realisieren Sie das Höchstmaß an Datenschutz in Ihrem Unternehmen mit ISO-zertifizierter IT-Security der abilis GmbH. Unsere erfahrenen IT-Sicherheitsexperten beraten Sie zukunftssicher.