In kürzester Zeit hat sich verschlüsselte Kommunikation dank Whatsapp im Mainstream etabliert. Wo man vor ein paar Monaten noch Kommunikationspartner_innen überzeugen musste, zusätzliche Messenger wie Signal oder Telegram zu installieren, profitieren heute über eine Milliarde Menschen, vielleicht sogar ohne ihr Wissen, von Verschlüsselung. Rufe nach Hintertüren zur Kriminalitätsbekämpfung werden allerdings immer lauter.
Wie am vergangenen Freitag angekündigt, führt Facebook nach der im April begonnenen Ende-zu-Ende Verschlüsselung von WhatsApp nun auch die Option ‚geheimer Unterhaltungen’ beim Facebook Messenger ein. Anders als bei WhatsApp werden also nur von Nutzern ausgewählte Unterhaltungen verschlüsselt. Der Gedanke hinter dieser Optionalität ist, so Facebook, dass Nutzer_innen den Messenger geräteübergreifend gebrauchen wollen. Eine verschlüsselte Nachricht ist aber nur auf dem Ausgangs- bzw. Empfangsgerät lesbar. So soll also ermöglicht werden, den Messenger weiterhin für alltägliche Unterhaltungen auf Computern und Smartphones zu nutzen und bei Bedarf in den geheimen Modus zu wechseln.
Sowohl WhatsApp als auch der Facebook Messenger nutzen das Signal-Protokoll von Open Whisper Systems zur Verschlüsselung der Nachrichten. Das Protokoll ist Open-Source und kann potentiell von jedem auf Schwachstellen überprüft sowie für die Entwicklung von Ende-zu-Ende verschlüsselten Kommunikationstools verwendet werden. Vorteil bei WhatsApp und dem Facebook Messenger ist die Verbreitung der Services – anders als bei z.B. Signal, der App, die dem Protokoll seinen Namen gibt, muss man seine Kommunikationspartner_innen nicht erst davon überzeugen, den neuen Service zu installieren.
Abhörgefahr durch Metadaten
Der Teufel liegt allerdings wie immer im Detail. Zwar sind die Inhalte jeder Nachricht, die via Signal-Protokoll-Plattformen verfasst und versendet werden, verschlüsselt und nur von Absender und Empfänger lesbar. Ob darüber hinaus entstehende Metadaten, d.h. Verbindungsdaten wie Uhrzeit und Telefonnummer des Senders und Empfängers, aber gespeichert werden, liegt im Ermessen der Anbieter. Die Signal App tut das nicht – und wird deshalb wohl auch von Snowden und Konsorten empfohlen – WhatsApp und Facebook Messenger allerdings schon.
Die Gefahr liegt in der Aussagekraft solcher Metadaten. Zahlreiche Studien haben bereits nachweisen können, dass schon eine Handvoll scheinbar ‚anonymer’ Datenpunkte ausreichen, um Personen eindeutig zu identifizieren und Schlüsse über sie zu ziehen. Andererseits verzichten Facebook und WhatsApp aber darauf, die gespeicherten Verbindungsdaten für Data-Mining und darauf basierender personalisierter Werbung zu nutzen. Darin unterscheiden sie sich von Google. Potentiell analysiert würden die Metadaten also wohl nur zu Zwecken der Strafverfolgung. Die Verschlüsselung mag dementsprechend keine hundertprozentige Privatheit garantieren, ist aber dennoch ein großer Schritt in die richtige Richtung.
Entschlüsselung für Sicherheitsbehörden?
Missfallen findet diese Trendwende hin zur Privatsphäre allerdings bei Sicherheitsbehörden. Diese fordern immer wieder Hintertüren, also die Möglichkeit zur Entschlüsselung der Nachrichten, für Regierungsbehörden. Zuletzt erregte die Aufforderung des FBI an Apple, ihnen Zugang zum iPhone des Attentäters von San Bernardino zu gewähren, große Aufmerksamkeit. Dagegen spricht, dass eine Hintertür jegliche Verschlüsselungsanstrengungen untergrübe. Darüber hinaus wären nicht nur Sicherheitsbehörden in der Lage, durch die Hintertür in verschlüsselte Systeme einzudringen, sondern auch Kriminelle. Zudem ist Verschlüsselung nicht ausschließlich zur Absprache krimineller Machenschaften interessant, sondern auch für wirtschaftliche und politische Akteure, sowie Privatpersonen – um eben auch mal in einer geheimen Unterhaltung per Facebook Vertrauliches auszutauschen.
Im Hinterkopf sollte man dabei behalten, dass vertrauliche Inhalte auf WhatsApp und dem Facebook Messenger nicht sicher sind, solange Nutzer_innen die Gesprächsprotokolle weiterhin im Klartext auf ihren Geräten speichern und beispielsweise durch Beschlagnahmung, Verlust oder Diebstahl eines Gerätes ihre Daten ‚verlieren‘ können. Dennoch: Unterm Strich ist eine automatische Verschlüsselung ohne aktives Zutun der Nutzer ein großer Gewinn für den Datenschutz, weil zumindest das Abfangen oder Belauschen von Unterhaltungen unterbunden wird.
Titelbild: Smartphone by Sean DuBois via unsplash licenced CC0
Interessanter Artikel, nur seltsam, dass Threema nicht erwähnt wird, stellt es doch gerade einen Dienst dar, welcher anonym verwendet werden kann, womit die Metadaten an Relevanz verlieren. Bei Messengern wie Signal oder WhatsApp muss der Nutzer seine Rufnummer hinterlegen und gibt damit seine Identität preis. Dass WhatsApp die Metadaten nicht auswertet bzw. mit der Facebook-Datenbank zusammenführt, ist schwer zu glauben, zumal die App ja nicht direkt ein Schnäppchen war und Facebook keinen direkten Profit daraus ziehen kann.
Vielen Dank für Ihren Kommentar,
der Hinweis auf Threema ist richtig. Wer an größtmöglicher Anonymität interessiert ist, sollte sich überlegen, darin zu investieren anstatt sich auf die kostenfreien Services zu verlassen, auf die sich der Artikel konzentriert. Denn wie Sie korrekt andeuten, muss man sich immer fragen, womit sich ein gebührenfreier Dienstleistungsanbieter finanziert. Über das genaue Geschäftsmodell von Whatsapp kann man nur spekulieren. Laut Nutzungsbedingungen werden die Daten nicht zu Zwecken personalisierter Werbung benutzt, sondern nur für die üblich schwammigen Produktverbesserungen, mein Artikel ist hier ungenau.
Ich gehe mal davon aus, dass das Verschlüsselungsprotokoll bei Facebook und WhatsApp richtig implementiert ist, ausschließen kann man aber natürlich nicht, dass Kommunikationsmuster von Whatsapp Nutzer_innen in die Facebook Datenbanken einfließen. Falls das der Fall sein sollte, wäre interessant zu erforschen, wieviel Neu-Information dadurch tatsächlich gewonnen wird. Generell wird es interessant, die Geschäftsmodelle von sozialen Netzwerken zu verfolgen, da die Monetisierung von Nutzerdaten wie am Fall (oder Verfall) Twitters zu sehen ist, gar nicht so einfach ist.
Ich denke, das Mass an Neu-Informationen, welches Facebook durch WhatsApp über seine Nutzer gewinnt, ist kaum zu überschätzen. Ich war nie bei Facebook und habe WhatsApp verlassen, als es übernommen wurde, aber da viele meiner Kontakte (noch) bei WhatsApp sind, dürfte Facebook auch ziemlich genau über mich Bescheid wissen, denn bekanntlich willigen WhatsApp-Nutzer ein, dass ihr Adressbuch ausgelesen wird. Wenn nun jemand zwar nicht bei Facebook ist, aber WhatsApp verwendet, wird er noch viel deutlicher erschlossen sein, und es wird ihm ein eindeutiger Platz im Beziehungs-Netz der Nutzer zugewiesen werden können. Zusammen mit den (öffentlichen) Daten, die Facebook-Nutzer ins Netz stellen, kann so ein detailliertes Bild eines Nutzers gezeichnet werden. Zwar setze ich Threema aus Bequemlichkeit auch nicht anonym ein, aber ich finde beruhigend zu wissen, dass es möglich wäre. Wie Sie aber richtig erwähnen, ist Threema nicht gratis, und somit lässt sich vermutlich auch nicht direkt mit WhatsApp & al. vergleichen.
Um wirklich sicher zu kommunizieren, muß man einiges an Aufwand betreiben: Tails als Betriebssystem mit Internetzugang via TOR, OTR- Verschlüselung via XMPP auf einem hidden server und so einiges mehr.
Unbedarften Mitmenschen vorzumachen, sie könnten mit kommerziellen Apps sicher kommunizieren, nur weil es damit einfach ist, halte ich für nicht ganz fair. Das Einzige, was solche Apps bringen ist Zusatzaufwand für sie professionellen Abhörer, aber keine Sicherheit für die Nutzer.
Gefährlich wird es dann, wenn hier auch mal Zustände wie derzeit in der Türkei herrschen sollten. Unmöglich? 1911-1922-1933-1944!
@Oydenos Wie tauglich TOR in der Praxis ist, sei mal dahingestellt, denn es hat hiermit nichts zu tun, da ein Chat über Threema mit NaCl Ende-zu-Ende-verschlüsselt und somit abhörsicher ist. Wenn Sie denken, Abhörer hätten nur einen Mehraufwand, könnten so einen Chat aber entschlüsseln, dann liegen Sie falsch.
@L.Bianchi: Threema läuft über dedizierte Server in der Schweiz, kein Mench außer den Betreibern kennt den Code der Server. Wenn Sie das als sicher betrachten, dann können Sie das sicher für sich so halten, es aber anderen zu empfehlen halte ich für fahrlässig.
Ohne die Offenlegung aller Codebestandteile, auch und gerade der Serversoftware ist keine Sicherheit zu gewährleisten, die ich irgendjemandem derzeit in der Türkei oder sonst wo auf der Welt empfehlem würde, wenn er/sie auf diesese Sicherheit angewiesen ist. Diese vollständige Offenlegung aller Codes ist nur gegeben, wenn Sie den Server selbst betreiben und im einfachsten Fall das OTR Protokoll via XMPP (früher als Jabber bekannt) verwenden.
Dann und nur dann sind Sie auf der sicheren Seite was das Thema Verschlüsselung angeht. Wenn Sie zusätzlich Wert darauf legen, daß Sie beispielsweile vom türkischen Geheimdienst nicht zu identifizieren sind, führt an Tor kein Weg vorbei. Um die üblichen Fehler bei der Installation von Tor zu vermeiden, empfehle ich Tails:
https://tails.boum.org/install/
·
@Oydenos Dass, wie Sie schreiben, nur die Betreiber die Server-Software kennen, ist nicht korrekt, denn es wurde ein externes Audit durchgeführt, welches alle Sicherheits-Aspekte untersuchte und die Sicherheit des Dienstes bestätigt. Nun kann man die alte Debatte vom Zaun brechen, ob nicht besser wäre, den Code offenzulegen. Festzuhalten ist hierbei aber, dass weder die Code-Offenlegung, noch das Betreiben eines eigenen Servers hinreichend für Sicherheit ist, solange nicht systematisch geprüft wurde, ob keine Schwachstellen bestehen. (Man denke auch an Heartbleed.)
Sie weichen übrigens von Ihrem ursprünglichen Punkt ab, wonach mit kommerziellen Apps nicht sicher kommuniziert werden kann. Ihr jetziges Argument würde bestenfalls zeigen, dass die Sicherheit nicht nachgewiesen werden kann oder kontingenterweise nicht besteht, nicht aber, dass sie notwendigerweise nicht besteht.
@L.Bianchi: Lesen Sie noch mal den ersten Satz von 4. Soviel zum Thema.
ansonsten: plonk.
@Oydenos Meinen Sie diesen Satz: “Um wirklich sicher zu kommunizieren, muß man einiges an Aufwand betreiben”? Das bestreite ich ja, zumal Threema ein Gegenbeispiel ist.