Messenger wie WhatsApp, Signal, Threema oder Telegram werden vor allem auf Smartphones gern und viel genutzt. Allerdings reißen die kritischen Nachrichten über teils gravierende Mängel bei Datenschutz und Informationssicherheit nicht ab. Die Frage, welches System aus dieser Perspektive das beste ist, lässt sich nur individuell und bezogen auf die jeweilige Nutzung beantworten. Doch es gibt allgemeingültige Kriterien und Fakten, die für eine persönliche Beurteilung herangezogen werden können. Hier eine Zusammenstellung von Susanne Lenz, Informationssicherheitsbeauftragte im IT-Referat.
Messenger ermöglichen Online-Kommunikation in Form von Chat-Gesprächen. Weil diese im Unterschied zu E-Mails auf direkte Kommunikation in Echtzeit abzielt, spricht man oft auch von „Instant Messaging“ also „sofortiger Übermittlung“. In einem Messenger-Chat können sich zwei Teilnehmende austauschen, aber auch Teams, Familien oder sonstige Gruppen. Neben Chats sind weitere Funktionen wie der Dateitransfer von Bildern, Videos und Dokumenten, Sprachnachrichten, gemeinsame Whiteboards oder Videokonferenzen möglich.
Messenger: geschlossen, offen oder Open Source
Messenger-Apps gibt es für die unterschiedlichsten Betriebssysteme, Plattformen und Geräte. Voraussetzung für den Einsatz ist ein Benutzerkonto. Zu den bekanntesten Anbietern zählen WhatsApp, Facebook-Messenger, Threema, Telegram, Skype, Ginlo, Wire und Signal, dessen Einsatz beispielsweise Edward Snowden empfiehlt. Sie alle bieten eine Ende-zu-Ende-Verschlüsselung, die jedoch bei manchen Messengern wie Telegram nicht standardmäßig aktiviert ist. Als geschlossene Systeme kann man mit diesen Messengern ausschließlich mit Nutzerinnen und Nutzern des gleichen Diensteanbieters kommunizieren.
Weniger verbreitet, aber in der IT-Szene durchaus populär sind offene Systeme, die überwiegend auf den Kommunikationsprotokollen Jabber (XMPP) oder Matrix basieren. Hier kann man sich einen Anbieter aussuchen, aber auch mit den Nutzerinnen und Nutzern anderer Messenger desselben Protokolls chatten.
Grundsätzlich gilt es als Zeichen von Transparenz und Zuverlässigkeit, wenn ein Messenger seine Software als Open Source zur Verfügung stellt. Denn hier liegt der Quelltext in einer für Kundige lesbaren Form vor und kann auf Einhaltung der Versprechen hinsichtlich Informationssicherheit und Datenschutz geprüft werden. Open Source Produkte sind beispielsweise Signal und Wire.
Für die bekannteren geschlossenen Messenger liegen viele sicherheitsrelevante Informationen vor. Im Folgenden sind einige wesentliche Aspekte aufgeführt, die bei der Tool-Auswahl helfen können.
Schutz der personenbezogenen Daten im Messanger
Der Schutz der eigenen Privatsphäre beginnt bereits beim Anmeldevorgang: Werden personenbezogenen Daten abgefragt und wenn ja welche? Besonders vertrauensvolle Messenger verzichten gänzlich darauf. Bei TeleGuard, einem Produkt aus der Schweiz, erfolgen Identifikation und Vernetzung beispielsweise ausschließlich über eine 9-stellige ID oder einen eigens erzeugten QR-Code.
Zudem sollte man vor der Inbetriebnahme eines Messengers prüfen, welche Rechte dem Anbieter auf dem Smartphone eingeräumt werden müssen. Der Zugriff auf Kontaktlisten und andere persönliche Nutzerdaten sowie eine fehlende Löschfunktion des Kontos sind immer kritisch zu sehen. Falls man beispielsweise bei WhatsApp die Funktion zum Hochladen der Kontakte nutzt – ohne sinkt die Nutzerfreundlichkeit erheblich – stellt man damit regelmäßig die Telefonnummern in seinem Adressbuch zur Verfügung. Und das, ohne diese Kontakte vorher gefragt zu haben!
Kommunikationssicherheit der Messenger
Da über Messenger häufig vertrauliche Informationen und Bilder ausgetauscht werden, ist die Frage der Verschlüsselung und des Speicherortes der Nachrichten wichtig. Im Optimalfall ist niemand außer der oder dem Adressierten technisch in der Lage, die Nachrichten zu lesen – auch nicht der Provider! Dieses Ziel wird durch eine Ende-zu-Ende-Verschlüsselung jeder einzelnen Botschaft erreicht.
Standard ist diese Funktion beispielsweise bei Threema, Signal und Ginlo. Bei Telegram gibt es für normale Chats nur eine Server-Client-Verschlüsselung, die den Weg vom Sender zum Server und vom Server zum Empfänger absichert. Nur die „Secret-Chats“, die extra ausgewählt werden müssen, bieten eine Ende-zu-Ende-Verschlüsselung. Zudem liegen bei Telegram die Nachrichtenverläufe auf Servern in der Cloud, während sie bei beispielsweise bei Signal verschlüsselt auf dem Endgerät gespeichert werden.
Schutz der Messenger-Daten vor ungewollten Zugriffen
Ein weiterer Punkt ist die Absicherung gegen ungewollte Zugriffe von außen. Hier gilt die einfache Weisheit: Werden weder Personendaten noch private Mitteilungen hinterlegt, können sie durch Hackerangriffe auch nicht in falsche Hände geraten. Daher verzichten vertrauensvolle Messenger auf unnötige Angaben sowie auf Cloud- und Hosting-Dienste anderer Anbieter. Kontakt- und Metadaten speichern zum Beispiel Telegram, Wire und Ginlo. Threema dokumentiert hingegen nicht, wer wann und mit wem kommuniziert. Signal speichert ausschließlich jene Metadaten, die für die ordnungsgemäße Funktionalität der App, für den Anrufaufbau und die Übertragung der Daten erforderlich sind.
Auch der Serverstandort kann ein Auswahlkriterium sein, denn er ist entscheidend dafür, welche Datenschutzrichtlinien gelten. So unterliegen die Messenger TeleGuard und Threema den strengen Schweizer Datenschutzrichtlinien. Signal untersteht den bekanntlich geheimdienstfreundlichen US-amerikanischen Regelungen. Für Ginlo gilt deutsches beziehungsweise europäisches Gesetz. Bei Telegram ist der Serverstandort unbekannt und damit unklar, welche Datenschutzrichtlinien gelten.
Messenger-Tipps von Verbraucherzentrale und BSI
Die Verbraucherzentrale Nordrhein-Westfalen hat sich Funktionen von acht Messenger-Apps angeschaut und diese nach elf Kriterien bewertet, vor allem hinsichtlich des Datenschutzes. Die Ergebnisse sind in Form eines ausführlichen Textes oder einer übersichtlichen Tabelle (PDF) verfügbar.
Weitere Hinweise zur Messenger-Nutzung gibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Kommentare (0)
Schreiben Sie doch den ersten Kommentar zu diesem Thema.