Sind Messenger wie WhatsApp oder Threema wirklich sicher?

 In Messenger Kommunikation

Ist WhatsApp sicher? Liest WhatsApp meine Nachrichten? Was ist eine Ende-zu-Ende-Verschlüsselung? Werden meine Daten verkauft? Welcher Messenger ist wirklich sicher? Das sind Fragen, die mir immer wieder gestellt werden! Dagegen gelten Telegram, Signal oder Threema allgemein als sicher! Das dem bei Weitem nicht so ist, möchte ich in diesem Artikel aufzeigen. In diese Analyse sind neben meiner Erfahrung als MessengerPeople CMO auch die Ausführungen verschiedener Experten, Forscher, Hacker und Rechtsanwälte eingeflossen, die das Thema aus der Perspektive ihres jeweiligen Fachgebietes beurteilt haben.


Messenger-Apps sind mit Abstand das beliebteste Kommunikationsmedium unserer Zeit. Ob Signal, Facebook Messenger, Telegram, Threema oder WhatsApp – Messenger werden mehr genutzt als jede andere App. Beim Thema Sicherheit herrschen aber große Vorurteile und verhärtete Fronten statt Fakten. Besonders bei den beiden Messengern aus dem Hause Facebook Inc. – WhatsApp und Facebook Messenger scheiden sich die Geister.


Privatsphäre, DSGVO, Verschlüsselung Datenspeicherung und Co.:

  1. WhatsApp sicherer als Signal-App?!
  2. Sicherheit ist mehr als nur Datenschutz
  3. Können Messenger wie WhatsApp meine Chats mitlesen?
  4. Welcher Messenger hat die sicherste Verschlüsselung?
  5. Wie funktioniert end-to-end Verschlüsselung?
  6. Wo speichern Messenger-Unternehmen wie WhatsApp meine Daten?
  7. Metadaten: Was kann WhatsApp lesen?
  8. Noch sicherer: WhatsApp Business API
  9. Werden meine Daten verkauft? Haben Regierungen Zugriff auf WhatsApp?
  10. Sicherheit vs. Hacker

1) „Signal aus dem EU-Parlament“: WhatsApp sicherer als Signal-App?!

„EU-Parlament verwehrt Abgeordneten die Installation des Messengers Signal“: Diese Schlagzeile bei netzpolitik.org sorgte für einiges Aufsehen. Schnell wurde in Insiderkreisen über die Sicherheit von Messenger-Apps – vor allem: WhatsApp vs. Signal – diskutiert. Doch: Was heißt eigentlich sicher?

Wer den Artikel und die Begründung übrigens genauer las, verstand schnell, dass die Parlamentsdirektion Signal nicht aus Sicherheitsmängeln ablehnte, sondern weil es sich bei Signal um „keine Standardsoftware im Europäischen Parlament“ handelt. Das Messenger-Tool kann von Abgeordneten und Mitarbeitern „nicht installiert werden, ohne dass es vom Sicherheitsdienst und dem Standardkonfigurationsteam getestet und zugelassen wird“, so der IT-Support des EU-Parlaments.


Weiterführende Artikel


2) Sicherheit ist mehr als nur Datenschutz

Viele werfen mit „Datenschutz“ und „Sicherheit“ zwei vollkommen unterschiedliche Themen in denselben Topf der Gerüchteküche. Davon haben sich nur wenige grundlegend mit der Europäischen Datenschutzgrundverordnung (DSGVO) beschäftigt. Diese regelt nämlich im Wesentlichen den Umgang mit den Daten – also welche Daten ein Unternehmen in welchem Umfang von seinen Kunden/ Usern etc. verarbeiten darf. Mit diesem Thema gehen sämtliche Messenger unterschiedlich um.

Wie mir der auf IT-Recht spezialisierte Rechtsanwalt Dr. Carsten Ulbricht („Rechtzweinull“) versicherte, sind allerdings sämtliche Messenger von WhatsApp bis Threema mittlerweile DSGVO-konform. Wie Unternehmen DSGVO-konform via Messenger kommunizieren können (Voraussetzungen u.a.: Information und Einverständniserklärung des Nutzers, sauberer Opt-In und Opt-Out), habe ich in meinem Podcast mit Carsten Ulbricht bereits näher erläutert.

Noch ein häufiges Missverständnis: Die private Nutzung von Messengern ist übrigens vom Anwendungsbereich der DSGVO in keinster Weise betroffen – die Datenschutzgrundverordnung bezieht sich lediglich auf juristische Personen.


3) Können Messenger wie WhatsApp meine Chats mitlesen?

Ein zweiter Punkt, der immer wieder kritisch angemerkt wird, ist die Annahme, dass die Chats zwischen Privatpersonen – ebenso wie die zwischen Unternehmen und Kunden – von dem Messenger-Betreiber, der Behörde und / oder einem Hacker „mitgelesen“ werden können. Doch stimmt das? Das hängt im Wesentlichen von der Qualität der Verschlüsselung eines Messenger-Dienstes ab. „Verschlüsselung“ beschreibt dabei viele Möglichkeiten, welche sich in der Qualität untereinander deutlich unterscheiden: Wieviel Aufwand müssen Angreifer aufbringen, um Zugriff auf die Chats zu bekommen?

Bildlich gesprochen: Eine starke Verschlüsselung bedeutet, dass ein Angriff einen Rechenaufwand von mehreren Milliarden Jahren erfordert. „Schwache Verschlüsselung hingegen versetzt Angreifer in die Lage, diesen Zeitraum so drastisch zu reduzieren, dass die Attacke praktikabel wird,“ erklärt Frieder Steinmetz, der an der TU Hamburg zu Messenger-Sicherheit forscht.


4) Welcher Messenger hat die sicherste Verschlüsselung?

WhatsApp und Signal nutzen beide End-to-End-Verschlüsslung: Das heißt, die zu übertragenden Daten werden auf Senderseite verschlüsselt und erst beim Empfänger wieder entschlüsselt. Diese Technik ist, da sind sich (ausnahmsweise) alle Experten einig, heute die sicherste Verschlüsselungsmethode. Auch WhatsApp kann somit die Chats des Anwenders nicht mitlesen – selbst, wenn es das Unternehmen wollte (übrigens auch deshalb nicht, weil die Daten gar nicht bei WhatsApp gespeichert werden; siehe „Datenspeicherung“).

Das Signal-Protokoll unterscheidet sich lediglich geringfügig davon. Threema hat ein eigenes, meines Erachtens nicht ganz schlechtes Protokoll, das aber beispielsweise keine „Perfect Forward Secrecy“ garantiert. Diese Technik verhindert, dass jemand mir in der Zukunft meinen geheimen Schlüssel vom Handy stiehlt und damit meine gesamte verschlüsselte Kommunikation entschlüsseln kann, die ich über das Handy geführt habe. „Signal und WhatsApp haben das,“ so Experte Frieder Steinmetz. „Telegram kombiniert auf ungewöhnliche Weise kryptographische Einzelteile und schafft damit nicht gerade Vertrauen.“

datenschutz-sicherheit-messenger-whatsapp

WELCHER MESSENGER PUNKTET WO? BILD: SABRINA SCHRÖDL / MOTHERBOARD Quelle: Vice

5) Wie funktioniert end-to-end Verschlüsselung (bei WhatsApp)?

Die englische Bezeichnung für die Verschlüsselung ist „end-to-end encryption“ (E2E) und bezeichnet die Verschlüsselung von Daten über alle Übertragungsstationen bis zum Empfänger. Die Ver- und Entschlüsselung findet also nur an den Endpunkten der Übertragung statt. Daher ist die Sicherheit bei dieser Art der Verschlüsselung sehr hoch, denn ohne den geheimen Schlüssel kann kein Geheimtext entschlüsselt werden.

YouTube

By loading the video, you agree to YouTube's privacy policy.
Learn more

Load video


6) Wo speichern Messenger wie WhatsApp meine Daten?

Bei Facebook Messenger und Telegram können sich Anwender von jedem Ort der Welt einloggen und haben Zugriff auf ihre Chats. Möglich wird das, weil Telegram und Facebook die Daten zentral auf ihren Servern speichern. Diese sind, laut Anbieter, natürlich verschlüsselt – aber theoretisch haben die Unternehmen Zugriff darauf. Da somit für die Betreiber prinzipiell die Nutzerprotokolle und -daten zugänglich sind, sind die Dienste auch für staatliche Akteure attraktiv. Um einen Zugriff zu erzwingen, wird etwa Telegram in Russland seit zwei Jahren blockiert.

Bei Threema hingegen liegen die Daten nur auf dem Handy des Nutzers. Bei einem Wechsel des Smartphones müssen Anwender selbst ein Backup machen und die Daten dann wieder neu aufspielen. Nur auf Wunsch des Nutzers erstellt Threema regelmäßig ein verschlüsseltes, anonymes Backup dieser Daten. Vorteil: Niemand außer dem Nutzer selbst hat darauf Zugriff. Sollte das Smartphone allerdings verloren gehen (oder gestohlen werden) und es wurde kein Backup gespeichert, sind auch alle Daten weg.

Ähnlich sicher, und das dürfte sicher einige Leser überraschen, ist: WhatsApp! Auch hier ist bei einem Verlust des Smartphones ohne Backup jede Hilfe zu spät. Die Chats und Bilder werden lediglich auf dem Smartphone gespeichert und liegen nicht auf WhatsApp-Servern – eine Wiederherstellung ohne Backup ist mithin unmöglich.

Zwar laufen die Gespräche, technisch betrachtet, über den WhatsApp Server – kommen da aber ausschließlich verschlüsselt – also unlesbar für WhatsApp – an. Ruft der Chat-Partner die Nachricht ab, kann nur er die Daten entschlüsseln und lesen (siehe „Verschlüsselung“). Nach der Auslieferung werden die Daten vom WhatsApp-Server wieder gelöscht. Bei 55 Milliarden Nachrichten, 4,5 Milliarden Fotos und 1 Milliarde Videos, die pro Tag via WhatsApp verschickt werden, spart das dem Betreiber jede Menge Speicherplatz.


7) Metadaten: Was kann WhatsApp lesen?

Die Kritik an WhatsApp richtet sich meist an das Dokumentieren von Metadaten: Wer WhatsApp benutzt und dadurch den Bedingungen zugestimmt hat, stellt WhatsApp die Telefonnummer und die Kontakte im Telefonbuch zur Verfügung. Die braucht WhatsApp auch – damit der Chat zwischen zwei Telefonen stattfinden kann (Deine Nummer ist deine Identifikation, im Gegensatz zu Apple, die eine anonyme Apple ID verwenden oder Threema die auch eine eigne ID haben). Genauso werden die GPS, Zeit- und Datenstempel von erfolgreich zugestellten Nachrichten gespeichert. WhatsApp sieht also, welche Nummern zu welcher Uhrzeit und wo gechattet hat – aber nicht was gechattet wurde!


8) Noch sicherer: WhatsApp Business API

Unternehmen müssen, so die AGB von WhatsApp, die WhatsApp Business App (für kleine Unternehmen) oder die WhatsApp API (für mittelständische und große Unternehmen) nutzen, um beispielsweise Kundenservice über WhatsApp anzubieten. Zugriff auf diese API bekommen Unternehmen nur über einen verifizierten „Business Solution Provider“, der das Hosting der API auf seinen eigenen Servern übernimmt. Die Verschlüsselung und Entschlüsselung findet dabei nicht auf WhatsApp-Servern statt, sondern auf den Endgeräten der Nutzer bzw. auf den Servern der zertifizierten Solution Provider. WhatsApp hat somit auch in diesem Szenario keinen Zugriff auf nicht-verschlüsselte Chats und Daten, sondern die Übertragung ist genauso stark abgesichert wie bei der Benutzung der „klassischen“ Smartphone-App. (Kleine Randbemerkung in eigener Sache: Beim Business Solution Provider MessengerPeople stehen diese Server in Europa und sind voll Datenschutz-verifiziert.)

Damit ist der Dienst auch für sensible Branchen zunehmend attraktiv: „WhatsApp geht hier einen unerwarteten und lobenswerten Weg, um verantwortungsbewusst mit Nutzerdaten umzugehen. Als Anbieter für Software, die medizinische Daten verarbeitet, legen wir besonderes Augenmerk auf die Vertraulichkeit und Sicherheit von Nutzerdaten. Wir haben zwar (noch) keine Messenger-Dienste im Einsatz, aber dies ist ein Schritt in die richtige Richtung, um so etwas in Zukunft zu ermöglichen“, sagt entsprechend Andreas Schwinger, Head of Digital Business bei Melos GmbH, einem der führenden IT-Unternehmen für Laborsoftware.


9) Werden meine Daten verkauft? Haben Regierungen Zugriff auf WhatsApp?

Innenminister Seehofer wollte laut SPIEGEL einige Messenger-Betreiber dazu zwingen, private Chats ihrer Nutzer an die Behörden herausgeben. WhatsApp hätte dazu keine Möglichkeit (siehe „Verschlüsselung“ und „Datenspeicherung“) – und auch Threema winkte ab:

„Absolute Vertraulichkeit der Kommunikation liege in der DNA“.

Aber auch bei Versicherungen oder Kreditinstituten wecken, die während der Messenger-Kommunikation anfallenden Metadaten, Begehrlichkeiten. Natürlich schließen alle Messenger die Weitergabe von Daten an Behörden oder Firmen aus. Kritisch wird es laut Messenger-Forscher Roland Schilling lediglich bei kleineren Anbietern: „Zugleich muss die App auch eigene Kosten decken, das Personal bezahlen und die technische Infrastruktur aufrechterhalten. Und dann fällt denen auf, dass sie mit den Daten, die sich von ihren Nutzern täglich zugespielt bekommen, auch noch einen anderen Markt bedienen können.“ Bei diesen Zeilen stellt sich dem Leser die Frage, welche Messenger am ehesten auf zusätzliche Erlösquellen angewiesen sind – und das ist wahrscheinlich in erster Linie nicht der Marketing-Riese Facebook.


10) Sicherheit vs. Hacker

Letztendlich ist es nirgendwo einfacher einzubrechen als da, wo man den Schlüssel besitzt. Deshalb greifen Hacker – meist übrigens rein der Herausforderung halber und ohne große kommerzielle Interessen – gerne verschlüsselte Systeme an.

Dabei gibt es vor allem zwei Schwachstellen: zum einen den Nutzer, der sich z.B. unbemerkt eine Malware installiert, und zum anderen den Anbieter selbst. Vergleicht man beispielsweise die IT-Abteilung von Facebook mit der kleinerer Anbieter, wird schnell klar, wer über mehr Schlagkraft in der Abwehr von Eindringlingen verfügt.

Auf der anderen Seite wäre WhatsApp mit seinen rund 2 Milliarden Nutzern sicher der „Ritterschlag“ für jeden Hacker – während der Hack eines „Nischen-Messengers“ in der Szene, aber auch in der Öffentlichkeit weitaus weniger prestigeträchtig ist. Fakt ist: Mir ist bis heute noch kein einziger erfolgreicher Hack von WhatsApp bekannt (außer ein paar recht plumpe, und sehr-sehr spezielle Fälle – wie der von Manipulationen in Gruppen Chats, über die Wired berichtete).


Fazit

Zusammenfassend sind alle Messenger-Apps (Ausnahme: der asiatische Messenger-Riese WeChat) relativ sicher. Doch letztlich ist für den Bürger wie bei der Aufbewahrung von erspartem Geld: Im Tresor zu Hause ist es recht sicher – aber dafür sehr unpraktisch. Im Portemonnaie verfügt man über einen schnellen Zugriff – aber eben auch weniger Sicherheit.

Was also die praktische Anwendung (und um die geht es ja bei Messenger-Apps) betrifft: Vom Kommunikations-Gesichtspunkt aus macht es wenig Sinn, auf die maximalst sichere Alternative zu setzen, wenn ein etwas weniger „sicherer“ Messenger vom Großteil meiner Kontakte bzw. meiner Zielgruppe für die Kommunikation genutzt wird.


Weiterführende Artikel


 

hr-messenger-kommunikationLebensmittel-Messenger-Kommunikation