Hintergrund

Messenger: Verschlüsselt kommunizieren per App

PGP-Verschlüsseln
Foto: Christoph Löffler, CC by 2.0

Lange Zeit war verschlüsselte Kommunikation vor allem über E-Mail möglich. Seit den Enthüllungen von Edward Snowden gibt es jedoch immer mehr Dienste, die eine sichere Kommunikation durch Messenger-Apps versprechen. Und zwar ohne großen Einrichtungsaufwand.

Veröffentlicht am
Autor
Schlagworte
Ende-zu-Ende · Messenger · Nachrichten · SMS · Verschlüsselung · WhatsApp
Drucken

Update 11.04.2016: WhatsApp verbessert Ende-zu-Ende-Verschlüsselung

 

Bei digitaler Kommunikation können viele mitlesen und mithören – es sei denn, die Nachrichten werden verschlüsselt. Damit diese Verschlüsselung nicht unterwegs geknackt oder umgangen werden kann, ist sie am sichersten, wenn die Nachricht direkt vom Absender verschlüsselt wird. Und zwar so, dass nur der Empfänger die Nachricht wieder entschlüsseln kann.

Dieses System nennen Experten eine Ende-zu-Ende-Verschlüsselung. Bei E-Mails wurde die Ende-zu-Ende-Verschlüsselung bereits vor Jahrzehnten eingeführt. Besonders häufig genutzt wird das sogenannte PGP-System. Allerdings: Die Handhabung ist nichts für Anfänger und vor allem für Mobilgeräte ist dies nicht ganz unkompliziert.

Neue Apps machen es einfach

Seit den Enthüllungen von Edward Snowden hat sich jedoch einiges getan. In den letzten Monaten haben Entwickler Messenger-Apps mit Ende-zu-Ende-Verschlüsselung veröffentlicht, oder um eine solche erweitert. Mit diesen Apps können Mobilnutzer ihre Kommunikation relativ einfach verschlüsseln.

Mit Messenger-Apps lassen sich Textnachrichten, aber auch Bilder, Videos oder sogar Dateianhänge über das Internet verschicken. Bei einigen Apps sind zudem Gruppenchats möglich. Messenger unterscheiden sich damit von der SMS-Funktion, bei der Text- oder Bildnachrichten über das Mobilfunknetz geschickt werden.

Regelmäßig testet die US-amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) die Kommunikationssicherheit verschiedener Apps. Die Ergebnisse werden in einer Art Checkliste veröffentlicht.

Einige der getesteten und empfohlenen Apps stellen wir hier genauer vor.

Threema

Threema ist eine Schweizer Entwicklung, die Server befinden sich in der Schweiz und der Dienst unterliegt dem eidgenössischen Datenschutzrecht. Threema erhielt viele neue Nutzer, nachdem Facebook 2014 angekündigt hatte, den populären Messenger-Dienst WhatsApp zu kaufen. Bis Mitte 2015 wurde Threema mehr als 3,4 Millionen mal im App-Store oder Google Play-Store gekauft. Die App ist kostenpflichtig.

Threema-Nutzer können ihre Kontaktliste mit den Threema-Servern abgleichen und so andere Nutzer finden. Kontakte werden in drei Sicherheitsstufen dargestellt. Die sicherste Stufe wird nur erreicht, wenn die beiden Gesprächspartner ihre Identitäten über das Scannen eines QR-Codes bestätigt haben.

Wer sein Android-Gerät ohne Google-Konto nutzt, kann Threema auch direkt auf der Threema-Webseite kaufen. Dazu muss die App als .apk-Datei installiert werden. Allerdings muss die Google-App „Google-Play Dienste“ installiert sein, damit Threema funktioniert.

Positiv:

  • Versionen für Android, iOS und Windows Phone
  • Keine Werbung
  • Verschlüsselte Kontaktliste
  • Die App und die Chats können mit einem extra Passwort abgesichert werden.
  • Keine Speicherung der Nachrichten auf Threema-Servern
  • Versand von Dateien (max. 20 MB)
  • Gruppenchats
  • Auch ohne Google-Konto nutzbar

Negativ:

  • Quellcode nicht offen. Dadurch keine unabhängige Überprüfung der Sicherheit des Programms. Allerdings wurde Threema im Herbst 2015 einem Sicherheits-Audit der IT-Firma Cnlab Security AG unterzogen. Die Prüfer kamen zu dem Ergebnis, das die Ende-zu-Ende-Verschlüsselung keine Schwächen aufweist.
  • Nur eine Threema-ID pro Gerät, so dass beispielsweise nicht mehrere Smartphone-Nutzerkonten mehrere Threema-IDs haben können.

Signal

Die beiden Entwickler Moxie Marlinspike und Stuart Andersen arbeiten bereits seit 2008 an Apps für die verschlüsselte Kommunikation – und sie haben mit Edward Snowden einen wichtigen Fürsprecher. Anfang 2015 haben sie eine neue Version ihrer Android-App TextSecure und der dazu passenden iOS-Variante Signal vorgestellt. Da der Namensunterschied zusehends zu Verwirrungen führte, wurde die App im November 2015 einheitlich zu Signal umbenannt.

Signal kann nur über den Google Play-Store oder über Apples App-Store bezogen werden. Das bedeutet, dass die App nur mit einem Google- oder Apple-Konto benutzt werden kann. Zusätzlich wird die Mobiltelefonnummer mit der App verknüpft, da auch hier – wie bei Threema – die Registrierung über die SIM-Karte authentifiziert wird.

Der Vorteil der App ist ihre einfache Handhabung. Installation und Inbetriebnahme klappen innerhalb von Minuten. Signal importiert die Kontaktliste des Mobiltelefons, das heißt, sie wird auf den Server vom Dienstbetreiber hochgeladen. Dadurch erkennt die App, welche der vorhandenen Kontakte auch Signal nutzen, und somit für eine verschlüsselte Kommunikation zur Verfügung stehen.

Laut eigenen Angaben wird das Telefonbuch auf dem Server nach Datenabgleich zum identifizieren bekannte Kontakte wieder gelöscht. In einem unser Tests ist es hier leider zum kompletten Verlust der Daten aus dem Adressbuch gekommen, so dass vor Installation der App ein Backup (zumindest des Adressbuchs) anzuraten ist.

Mit der App lassen sich Nachrichten verschicken, aber auch verschlüsselte Anrufe über die Internetverbindung des Mobiltelefons tätigen – immer unter der Voraussetzung, dass der Gesprächspartner das gleiche System nutzt. Bei unseren Tests war die Sprachqualität der Anrufe jedoch so eingeschränkt, dass sie für eine Alltagsnutzung aus unserer Sicht noch nicht taugt.

Die Nachrichten werden über die Server von Open Whisper Systems geleitet. Da sie verschlüsselt sind, können die Inhalte jedoch nicht gelesen werden. Open Whisper Systems ist das spendenfinanzierte Open-Source-Projekt mit Sitz in San Francisco, das hinter Signal steckt.

Positiv:

  • Versionen für iOS und Android kompatibel
  • Offener Quellcode
  • Gruppenchats möglich
  • Verschlüsselte Anrufe möglich
  • Kostenlos
  • Keine Werbung

Negativ:

  • Nur mit Google- oder Apple-Konto nutzbar

Telegram

Pavel Durov ist der Mark Zuckerberg Russlands. Er hat das dort beliebte soziale Netzwerk Vkontakte aufgebaut. Die russischen Behörden hatten Durov jedoch 2014 ins Visier genommen, so dass er sich aus dem Unternehmen zurückziehen musste und Russland verlassen hat.

Mittlerweile kümmert sich Durov um seine neueste Entwicklung: Die Messenger-App Telegram, dessen Unternehmen in Berlin sitzt. Laut eigenen Angaben hatte die App im September rund 60 Millionen Nutzer, die täglich mehr als 12 Milliarden Nachrichten verschicken. Momentan finanziert Pavel Durov die Entwicklung aus seinem Vermögen, später soll das Projekt durch Spenden finanziert werden.

Bislang sind keine Sicherheitslücken bekannt geworden, allerdings speichert die App die Chats und Konversationen in der hauseigenen Cloud. Lediglich in der Variante „Geheimer Chat“ wird auf eine solche Speicherung verzichtet und die Unterhaltung bei Bedarf automatisch nach einem bestimmten Zeitfenster gelöscht.

Im Gegensatz zu den anderen hier vorgestellten Messengern kann Telegram auch über den alternativen App-Store F-Droid bezogen werden. Für die Nutzung ist ein Google- oder Apple-Konto also nicht erforderlich. Die Registrierung erfolgt auch hier über die SIM-Karte des Benutzers.

Bei Android kann man andere Inhalte (zum Beispiel einen Kontakt) direkt über das Teilen-Menü an einen Telegram-Nutzer senden. Außerdem lässt sich die App nicht nur durch einen PIN, sondern auch durch Fingerabdruck sichern.

Positiv:

  • Versionen für Android, iOS und Windows Phone sowie für Browser, Mac OS und Windows
  • Keine Werbung
  • Offener Quellcode
  • Auto-Zerstörungs-Timer für Nachrichten
  • Dateiaustausch in Gruppen bis 200 Personen
  • Kein Google- oder Apple-Konto nötig
  • Kostenlos

Negativ:

  • Chats sind generell nicht verschlüsselt. „Geheime Chats“ müssen eigens eingerichtet werden und die optische Darstellung des Schlüssels muss mit dem Gesprächspartner abgeglichen werden

 

WhatsApp

Ende 2014 kündigte WhatsApp an, dass Nutzer-Nachrichten zukünftig verschlüsselt würden – und zwar nach der gleichen Methode, wie bei der App Signal. Viele Medien lobten diesen Schritt, denn mit einem Schlag konnten nun über eine Milliarde Nutzer über die App, die zu Facebook gehört, verschlüsselt kommunizieren.

Inzwischen ist die Verschlüsselung vollständig in den Dienst integriert. Alle Nachrichten und übertragenen Dateien und auch Anrufe werden seit Anfang April 2016 verschlüsselt. Eine entsprechende Nachricht im Chat-Protokoll weist darauf hin. Zudem gibt es die Möglichkeit, den Gesprächspartner zu verifizieren. Die verschlüsselte Kommunikation funktioniert auch zwischen iOS- und Android-Geräten.

WhatsApp selber gibt an, die verschlüsselten Nachrichten selber nicht mehr lesen zu können. Prüfen lässt sich das jedoch nicht, weil die Software nicht offenliegt und für Dritte nicht überprüfbar ist. Da Mitarbeiter von Open Whisper Systems die Verschlüsselung bei WhatsApp implementiert haben, gilt sie als relativ vertrauenswürdig.

Metadaten, also wer wann mit wem kommuniziert, werden von WhatsApp weiterhin gesammelt. WhatsApp gehört dem Facebook-Konzern. Gesammelte Daten aller Facebook-Unternehmen dürfen untereinander ausgetauscht und verknüpft werden.

Die Nachrichten, die nicht Ende-zu-Ende verschlüsselt werden, sind auch gesichert – und zwar über eine sogenannte Transportverschlüsselung. Das bedeutet, dass niemand die Nachricht zwischen dem Absenden auf dem Smartphone und dem Whatapp-Server abfangen und lesen kann. Allerdings kritisieren Experten, dass die dafür eingesetzte Methode RC4 längst als unsicher gilt.

Positiv:

  • Versionen für Android, iOS und Windows Phone
  • Keine Werbung
  • Gruppenchats möglich
  • Versand von Dateien möglich
  • Verschlüsselte Anrufe möglich

Negativ:

  • Nicht open source
  • Nur mit Google- oder Applekonto nutzbar
  • Metadaten werden mit anderen Unternehmen des Facebook-Konzerns ausgetauscht

 

Völliger Datenschutz? Nein.

Auch wenn Apps eine sichere Ende-zu-Ende-Verschlüsselung möglich machen – vollständig anonym ist die Kommunikation trotzdem nicht. Da die Messenger-Apps meist über eine Apple-ID oder ein Google-Konto installiert werden müssen und bei der Registrierung eine SIM-Verifikation vornehmen, sind Nutzer auf jeden Fall identifizierbar, zum Beispiel von Behörden oder Geheimdiensten. Zudem könnten weitere Metadaten anfallen, zum Beispiel wann wer mit wem Kommuniziert hat. Was mit diesen Daten passiert, und wer sie erhält, ist unbekannt.

Wenn sich Unberechtigte Zugriff auf ein Gerät verschaffen, etwa durch Diebstahl oder auch mit Schadprogrammen, können Sie eventuell bereits entschlüsselte Nachrichten lesen. Sicherheitsbehörden können die Herausgabe von Daten erzwingen. Welche Regeln dafür gelten, hängt von den Gesetzen des Landes ab, in dem die Server stehen.

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!