Haben Sie sich auch im Zuge der immer intensiveren Diskussionen zum Thema Datenschutz und nach dem Aufkauf von WhatsApp durch facebook die Frage gestellt, wie sicher das Versenden von Texten und Bildern mittels verschiedener Messenger auf dem Smartphone, Tablet und PC ist?
Vielleicht haben Sie sich auch gefragt, wie Sie ohne großen Mehraufwand ein Quäntchen mehr Sicherheit in diese Kommunikationsform bringen können?
Die Electronic Frontier Foundation (eff) hat auf ihrer Webseite eff.org kürzlich eine tolle Übersicht zu dem Thema erstellt. Dort werden diverse Programme anhand verschiedener Kriterien bewertet und übersichtlich dargestellt, sodass man auf den ersten Blick einen Überblick bekommt, welche Programme – zumindest was die Sicherheit betrifft – gut sind. Die Prüfkriterien sind
- Nachricht während des Versands verschlüsselt?
Diese Frage beschäftigt sich mit dem Problem, dass theoretisch unautorisierte Personen die Kommunikation nach dem Absenden einer Nachricht abfangen und dann auch lesen könnten, falls keine (ausreichende) Verschlüsselung vorliegt. Nicht bewertet wurde an dieser Stelle jedoch das Sicherheitsniveau der Verschlüsselung. Einen grünen Haken gab’s, sobald die Nachricht (Metadaten, wie z.B. Username oder Adresse müssen nicht verschlüsselt sein) auf dem kompletten Weg verschlüsselt ist. - Ist die Nachricht Verschlüsselt, sodass der Provider die Daten nicht lesen kann?
Hier befasst sich eff.org mit der Frage, ob die zum Ver- und Entschlüsseln notwendigen Schlüsselpaare auf einem Server generiert, d.h. diesem auch bekannt, werden oder ob die Schlüsselpaare Lokal auf dem PC, Tablet oder Smartphone erstellt werden. Sicherlich ein sinnvolles Kriterium. Ein Messenger erhält einen grünen Haken auch für den Fall, dass ein Backup die Schlüsselpaare auf dem Server speichert oder Schlüssel zwischen den eigenen Geräten ausgetauscht werden, sofern diese Aktion explizit durch Zutun des Users initiiert wird. - Können Kontakte verifiziert werden?
Können Gesprächspartner zweifelsfrei als die jeweils bekannte Person identifiziert werden? Dies wäre z.B. durch den Austausch eines Fingerabdrucks/Hashwertes möglich, wenn man den Gesprächspartner persönlich trifft. Sobald dies der Fall ist, gibt’s einen grünen Haken.
- Sind vergangene Unterhaltungen sicher im Fall eines Schlüsseldiebstahls?
Hinter dieser Frage steckt das technische Konzept von „forward secrecy„. Das ist, einfach ausgedrückt, die Notwendigkeit Nachrichten mit dynamischen Schlüsseln zu ver-/entschlüsseln, sodass letztlich eine mit allen Metadaten gelöschte Nachricht auch im Nachhinein nicht mehr rekonstruiert werden kann, da keine Anhaltspunkte mehr zum „Nachmachen“ des Schlüssels existieren. Ebensowenig lässt sich von der Nachricht auf den Sender oder Empfänger rückschließen. Einen grünen Haken kann es hier nur geben, solange auch die zweite Frage („Ist die Nachricht Verschlüsselt, sodass der Provider die Daten nicht lesen kann?“) positiv beantwortet wurde.
- Steht der Programmcode für unabhängige Kontrollen zur Verfügung, d.h. wurde er offen gelegt?
Sofern der Code offengelegt wurde, können unabhängige kontrollen durchgeführt werden, dies erhöht die Akzeptanz der verwendeten Sicherheitstechniken. Allen Leser,n die nun denken, wenn der Code bekannt ist, kann doch die Nachricht nicht mehr sicher sein, sei gesagt: eine sichere Verschlüsselung basiert heutzutage nicht mehr darauf, dass die Methode nicht bekannt ist. Dies war früher z.B. bei der Cäsar-Verschlüsselung der Fall. Inzwischen sind die Methoden derart komplex und auch zufällig, dass die Methodenkenntnis allein nicht ausreicht um eine Nachricht zu entschlüsseln.
- Wurde das Sicherheitskonzept adäquat dokumentiert?
- Wurde der Programmcode vor Kurzem einem Sicherheitsaudit unterzogen?
Hier gibt’s ein grünes Häkchen, solange der Audit in den letzten 12 Monaten stattgefunden hat und von einer unabhängigen Organisation/Person durchgeführt wurde.
Das Tolle daran: Die Liste wird stetig aktualisiert, sodass sich neuere Messenger-Apps dort ebenso finden lassen wie die Berücksichtigung von Updates einzelner Programme.
Man sieht, dass leider nur wenige Programme allen Sicherheitsanforderungen genügen und somit eine sichere Kommunikation bieten.
Für Android gibt es z.B. TextSecure von der Firma WhisperSystems. Auf iOS heißt das Programm Signal – Private Messenger. Die Entwickler haben offensichtlich Alles richtig gemacht und werden deshalb mit 7 von 7 grünen Haken belohnt. Vergleicht man dieses Ergebnist mit WhatsApp (2/7), dem facebook Messenger (2/7) oder Skype (1/7) wird schnell deutlich wie leichtfertig wir oft mit unseren privaten Daten umgehen – einfach weil’s einfach ist. Das ansonsten auch bekannte Programm Threema erhält deshalb nur 5 von 7 grüne Haken, da es einerseits nicht vollständig offengelegten Programmcode besitzt und andereseits kein Sicherheitsaudit durchgeführt wurde. Trotzdem bietet es der Einschätzung zufolge einen adäquaten Sicherheitsstandard.
Schauen Sie doch selbst – Secure Messaging Scorecard – eff.org – und suchen Sie das für Sie passende Programm.
Leider gilt, wie auch bei dem Versand von sicherern Mails, Sie müssen derzeit noch Ihre Kommunikationspartner davon überzeugen auch auf einen sicheren Kanal zu wechseln. Das tolle ist jedoch, dass die hier vorgestellten Messenger im Regelfall einen simplen Weg zur sicheren Kommunikation darstellen, während sich dies für die Sicherung von Mails in Form von PGP oder S/MIME noch deutlich unkomfortabler gestaltet.