23. August 2021

Messenger im Fokus: Tipps aus Perspektive der Informations­sicherheit


Kategorie: Service


Ein Gastbeitrag von:
Susanne Lenz, - Informations­sicherheits­­beauftragte im IT-Referat Susanne Lenz,
Informations­sicherheits­­beauftragte im IT-Referat

Co-Autoren­schaft:
Elisabeth Wagner - Elisabeth Wagner

Messenger wie WhatsApp, Signal, Threema oder Telegram werden vor allem auf Smartphones gern und viel genutzt. Allerdings reißen die kritischen Nachrichten über teils gravierende Mängel bei Datenschutz und Informations­sicherheit nicht ab. Die Frage, welches System aus dieser Perspektive das beste ist, lässt sich nur individuell und bezogen auf die jeweilige Nutzung beantworten. Doch es gibt allgemein­gültige Kriterien und Fakten, die für eine persönliche Beurteilung herangezogen werden können. Hier eine Zusammen­stellung von Susanne Lenz, Informations­sicherheits­beauftragte im IT-Referat.

Messenger ermöglichen Online-Kommunikation in Form von Chat-Gesprächen. Weil diese im Unterschied zu E-Mails auf direkte Kommunikation in Echtzeit abzielt, spricht man oft auch von „Instant Messaging“ also „sofortiger Übermittlung“. In einem Messenger-Chat können sich zwei Teilnehmende austauschen, aber auch Teams, Familien oder sonstige Gruppen. Neben Chats sind weitere Funktionen wie der Dateitransfer von Bildern, Videos und Dokumenten, Sprachnachrichten, gemeinsame Whiteboards oder Videokonferenzen möglich.

Messenger: geschlossen, offen oder Open Source

Messenger-Apps gibt es für die unterschied­lichsten Betriebssysteme, Plattformen und Geräte. Voraussetzung für den Einsatz ist ein Benutzerkonto. Zu den bekanntesten Anbietern zählen WhatsApp, Facebook-Messenger, Threema, Telegram, Skype, Ginlo, Wire und Signal, dessen Einsatz beispiels­weise Edward Snowden empfiehlt. Sie alle bieten eine Ende-zu-Ende-Verschlüsselung, die jedoch bei manchen Messengern wie Telegram nicht standardmäßig aktiviert ist. Als geschlossene Systeme kann man mit diesen Messengern ausschließlich mit Nutzerinnen und Nutzern des gleichen Dienste­anbieters kommunizieren.

Weniger verbreitet, aber in der IT-Szene durchaus populär sind offene Systeme, die überwiegend auf den Kommunikations­protokollen Jabber (XMPP) oder Matrix basieren. Hier kann man sich einen Anbieter aussuchen, aber auch mit den Nutzerinnen und Nutzern anderer Messenger desselben Protokolls chatten.

Grundsätzlich gilt es als Zeichen von Transparenz und Zuverlässigkeit, wenn ein Messenger seine Software als Open Source zur Verfügung stellt. Denn hier liegt der Quelltext in einer für Kundige lesbaren Form vor und kann auf Einhaltung der Versprechen hinsichtlich Informations­sicherheit und Datenschutz geprüft werden. Open Source Produkte sind beispielsweise Signal und Wire.

Für die bekannteren geschlossenen Messenger liegen viele sicherheits­relevante Informationen vor. Im Folgenden sind einige wesentliche Aspekte aufgeführt, die bei der Tool-Auswahl helfen können.

Schutz der personenbezogenen Daten im Messanger

Der Schutz der eigenen Privatsphäre beginnt bereits beim Anmeldevorgang: Werden personen­bezogenen Daten abgefragt und wenn ja welche? Besonders vertrauens­volle Messenger verzichten gänzlich darauf. Bei TeleGuard, einem Produkt aus der Schweiz, erfolgen Identifikation und Vernetzung beispiels­weise ausschließlich über eine 9-stellige ID oder einen eigens erzeugten QR-Code.

Zudem sollte man vor der Inbetrieb­nahme eines Messengers prüfen, welche Rechte dem Anbieter auf dem Smartphone eingeräumt werden müssen. Der Zugriff auf Kontaktlisten und andere persönliche Nutzerdaten sowie eine fehlende Löschfunktion des Kontos sind immer kritisch zu sehen. Falls man beispiels­weise bei WhatsApp die Funktion zum Hochladen der Kontakte nutzt – ohne sinkt die Nutzer­freundlichkeit erheblich – stellt man damit regelmäßig die Telefonnummern in seinem Adressbuch zur Verfügung. Und das, ohne diese Kontakte vorher gefragt zu haben!

Kommunikationssicherheit der Messenger

Da über Messenger häufig vertrauliche Informationen und Bilder ausgetauscht werden, ist die Frage der Verschlüsselung und des Speicherortes der Nachrichten wichtig. Im Optimalfall ist niemand außer der oder dem Adressierten technisch in der Lage, die Nachrichten zu lesen – auch nicht der Provider! Dieses Ziel wird durch eine Ende-zu-Ende-Verschlüsselung jeder einzelnen Botschaft erreicht.

Standard ist diese Funktion beispielsweise bei Threema, Signal und Ginlo. Bei Telegram gibt es für normale Chats nur eine Server-Client-Verschlüsselung, die den Weg vom Sender zum Server und vom Server zum Empfänger absichert. Nur die „Secret-Chats“, die extra ausgewählt werden müssen, bieten eine Ende-zu-Ende-Verschlüsselung. Zudem liegen bei Telegram die Nachrichten­verläufe auf Servern in der Cloud, während sie bei beispiels­weise bei Signal verschlüsselt auf dem Endgerät gespeichert werden.

Schutz der Messenger-Daten vor ungewollten Zugriffen

Ein weiterer Punkt ist die Absicherung gegen ungewollte Zugriffe von außen. Hier gilt die einfache Weisheit: Werden weder Personen­daten noch private Mitteilungen hinterlegt, können sie durch Hackerangriffe auch nicht in falsche Hände geraten. Daher verzichten vertrauensvolle Messenger auf unnötige Angaben sowie auf Cloud- und Hosting-Dienste anderer Anbieter. Kontakt- und Metadaten speichern zum Beispiel Telegram, Wire und Ginlo. Threema dokumentiert hingegen nicht, wer wann und mit wem kommuniziert. Signal speichert ausschließlich jene Metadaten, die für die ordnungs­gemäße Funktionalität der App, für den Anrufaufbau und die Übertragung der Daten erforderlich sind.

Auch der Serverstandort kann ein Auswahl­kriterium sein, denn er ist entscheidend dafür, welche Datenschutz­richtlinien gelten. So unterliegen die Messenger TeleGuard und Threema den strengen Schweizer Datenschutz­richtlinien. Signal untersteht den bekanntlich geheimdienst­freundlichen US-amerikanischen Regelungen. Für Ginlo gilt deutsches beziehungs­weise europäisches Gesetz. Bei Telegram ist der Serverstandort unbekannt und damit unklar, welche Datenschutz­richtlinien gelten.

Messenger-Tipps von Verbraucherzentrale und BSI

Die Verbraucherzentrale Nordrhein-Westfalen hat sich Funktionen von acht Messenger-Apps angeschaut und diese nach elf Kriterien bewertet, vor allem hinsichtlich des Datenschutzes. Die Ergebnisse sind in Form eines ausführlichen Textes oder einer übersichtlichen Tabelle (PDF) verfügbar.

Weitere Hinweise zur Messenger-Nutzung gibt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Kommentare (0)

 
Schreiben Sie doch den ersten Kommentar zu diesem Thema.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Weitere Beiträge

Wie hat Ihnen dieser Beitrag gefallen?
[Gesamt: 4   Durchschnitt:  5/5]
Teilen