Skip to content Skip to navigation

Das Projekt Verbraucherrechte in der digitalen Welt endet am 31.12.2015, so dass diese projektbezogene Internetseite www.surfer-haben-rechte.de nicht mehr weiter aktualisiert werden kann.

Verschlüsselt unterwegs

Verschlüsselt unterwegs
Neue Kryptomessenger fürs Smartphone

Mobile Messenger machen für viele Menschen das Smartphone erst sinnvoll. Bislang häufig ohne Verschlüsselung. Das ändert sich jetzt – zum Nutzen der Verbraucher, die davon wenig merken müssen.

Whatsapp ist mit über einer Milliarde Installationen im Playstore und über 23 Millionen Kommentaren unangefochtener Marktführer unter den Messengern, noch vor dem Facebook-Messenger. Die Meldung aus dem vergangenen Jahr, endlich sicher Ende-zu-Ende zu verschlüsseln, polierte das nicht gerade datenschutzfreundliche Image des Messengers etwas auf. Doch seitdem ist es still geworden um das Versprechen. Facebook hat Whatsapp geschluckt, beide Firmen versichern aber, dass Whatsapp unabhängig bleibt und die Daten seiner Nutzerinnen und Nutzer nicht zu Werbezwecken vermakten will. Aber sind die Nachrichten jetzt endlich sicher Ende-zu-Ende verschlüsselt? Man weiß es nicht.

Wer nicht länger auf die Ende-zu-Ende-Verschlüsselung bei Whatsapp warten will, sollte einen Blick auf den Kryptomessenger Signal für iOS und Android werfen (nicht wundern: bis November 2015 hieß die Android-Version der App noch TextSecure). Dabei handelt es sich um eine ausgereifte Open-Source-Lösung für sicheres Chatten auf dem Smartphone.

Sichere Alternativen zu Whatsapp

Wer bisher sicher und vertraulich von unterwegs chatten wollte, benutzte meist Threema und kann dies natürlich auch weiterhin tun. Die Verschlüsselung dieses Messengers ist Open-Source, der komplette Messenger ist es aber nicht. Insofern hat das Team von Open Whisper Systems da jetzt einen Pluspunkt gegenüber dem bisher beliebtesten Kryptomessenger, der gut eine Million Downloads verzeichnet.

Grundsätzliche Hinweise zum Verschlüsseln

Aber warum ist Open-Source gut? Gerade bei Verschlüsselungen ist es wichtig, dass es keine Hintertüren gibt, mit denen die Verschlüsselung nutzlos wird. Bei Software, die Open-Source ist, kann genau das sichergestellt werden. Denn der Quellcode der Software liegt offen und kann von vielen Menschen geprüft und verbessert werden. Das ist noch keine Garantie, dass der Quellcode auch tatsächlich fehlerfrei ist. Aber es ist eine notwendige Voraussetzung dafür. Denn wenn Fehler gefunden werden, können sie schnell geschlossen werden. Der im letzten Jahr aufgetauchte Heartbleed-Bug zeigte das eindrucksvoll: Die Lücke in der Verschlüsselung kam zwar in Open-Source-Software vor, aber nur weil die Software Open-Source war, wurde sie überhaupt gefunden und geschlossen.

Gleiches gilt für die App Signal: Open-Source-Apps kann jeder mit entsprechenden Kenntnissen überprüfen. Threema ist zwar auch sehr transparent in Bezug auf die verwendete Verschlüsselung, aber sagt – legitimerweise – dass die App an sich kostenpflichtig sein soll, um damit Geld zu verdienen. Da der Quellcode von Open-Source-Software aber immer offenliegen muss, können Programmierer die App oder Software daraus auch nachbauen – weshalb sich mit Open-Source-Software direkt oft kein Geld verdienen lässt. Allerdings kann man diesen Umstand auch als einen Vorteil für Threema werten: Denn immerhin gibt es hier ein tragfähiges Geschäftsmodell.

Komfort versus Datenschutz: Telefonnummernabgleich?

Whatsapp steht immer noch in der Kritik, weil es die wohl größte Sammlung von Telefonnummern weltweit besitzt – schließlich wollen die Nutzerinnen und Nutzer ja untereinander chatten. Hier wird es grundsätzlich. Man muss zwischen dem Komfort und dem vollständigen Datenschutz abwägen: Will ich mein Adressbuch abgleichen und somit sofort loschatten können oder will ich lieber nur per Synonym oder ID chatten können, aber das erst allen meinen Kontakten mitteilen müssen. Threema gibt einem zumindest die Wahl. Whatsapp hat einen Großteil seines Erfolges sicherlich auch dem Komfort zu verdanken, gleich loslegen zu können. Dabei werden aber alle Nummern von Menschen mit Whatsapp im Klartext gespeichert, obwohl es andere Möglichkeiten gäbe. Signal etwa war ursprünglich eine SMS-App. Sie funktioniert ganz ohne zentrale Speicherung der Telefonnummern.

Entscheidet man sich für den Komfort, sollte man aber auch bedenken, dass es nicht um die eigene Nummer geht, sondern eben um alle Nummern im Adressbuch. Sollte die geheime Nummer des Chefs wirklich auf amerikanischen Servern landen?

Schein oder Sein: Wer ist wirklich auf der anderen Seite?

Ein weiteres Verschlüsselungsproblem ist die Überprüfung des Gegenübers. Bei Threema geht das mittels QR-Code-Scanner. Um ganz sicherzugehen, dass man wirklich mit dem gewünschten Chatpartner schreibt, sollte man einmal überprüfen, ob die ID, mit der man chattet, auch wirklich zu der Telefonnummer gehört, mit der man chatten will. Bei Whatsapp ist diese Möglichkeit bisher nicht vorgesehen, dort wird darauf vertraut, dass Nummer und Account zusammenpassen. Doch konnte genau das in der Vergangenheit wegen einer Sicherheitslücke bei Whatsapp ausgetrickst werden.

Weitere Informationen: 
Schlagworte: