Spätestens seit dem 25.5.2018 sollte jeder seinen WhatsApp Messenger vom Handy gelöscht haben, zumindest dann wenn er auf seinem Gerät auch geschäftliche Kontakte gespeichert hat. Denn seit dem 25.5.2018 ist die EU-Datenschutzgrundverordnung (DSGVO) in Kraft, welche bei einem Verstoss Strafen bis zu 2 Millionen oder 4% des Jahresumsatzes, je nachdem welcher Betrag höher ist, verhängen kann.
Wer in den vergangenen Tagen genauer in die neuen Nutzerinformationen von WhatsApp hineingeschaut hat, der konnte dort eine interessante neue Passage lesen. Denn der Mutterkonzern Facebook nutzt die neuen Möglichkeiten der EU-Datenschutzgrundverordnung, um seine Nutzerinformationen mit Facebook abzugleichen. Dies ist jedoch illegal und jeder Handy-Nutzer der auf diesem Weg Daten an WhatsApp weitergibt, ohne die Genehmigung der Personen zu haben, macht sich nach der Datenschutzgrundverordnung strafbar.
Facebook lässt sich von seiner Tochterfirma all die Daten übermitteln, die es zum sicheren Identifizieren von Facebook-Nutzern unter den WhatsApp-Nutzern benötigt – etwa die Gerätekennung, die auch die Facebook-App ermittelt, oder die Telefonnummer, die die WhatsApp-Nutzer auch bei Facebook hinterlegt haben. Laut Facebook sollen diese Daten vor allem dazu genutzt werden um Fake-Accounts zu erkennen. Die Daten aus dem Adressbuch werden also aktiv mit Facebook abgeglichen und kontrolliert ob mit diesen Daten ein Facebook-Account existiert und wenn ja, ob die Daten dort korrekt angegeben sind.
Es ist Zeit WhatsApp zu löschen!
Wer sich nur halbwegs an Recht & Gesetz halten will, der sollte schleunigst einen anderen Messenger wählen, welcher es mit dem Datenschutz ernst meint. Alternativen gibt es wahrlich genug.
Auf einen Blick
- Threema: Schweizer Qualitätsprodukt – hier zahlt der Kunde noch selbst.
- Signal: Die Mutter aller Krypto-Messenger aus den USA.
- Telegram: Newcomer aus Russland. Beeindruckende Nutzerzahl, doch unter Experten umstritten.
- WhatsApp: Der Standard aus dem Hause Facebook – jetzt auch mit Verschlüsselung.
Mit Messenger-Apps lassen sich Textnachrichten, Bilder, Videos und sogar Dateianhänge über das Internet verschicken. Bei den meisten Apps sind auch Gruppenchats möglich. Messenger unterscheiden sich damit von der SMS-Funktion, bei der Text- oder Bildnachrichten über das Mobilfunknetz geschickt werden.
Lange Zeit verschickten Messenger-Apps Nachrichten weitgehend ungesichert über das Internet. Dritte konnten sehr einfach mithören oder mitlesen. Erst seit den Enthüllungen von Edward Snowden begannen die Anbieter nach und nach, Verschlüsselungsverfahren einzuführen. Am sichersten ist es dabei, wenn die Nachricht direkt vom Absendergerät verschlüsselt wird und zwar so, dass nur das Empfängergerät sie wieder entschlüsseln kann.
Dieses System nennen Experten „Ende-zu-Ende-Verschlüsselung“. Inzwischen gibt es viele Messenger-Apps mit Ende-zu-Ende-Verschlüsselung. Jede davon hat ihre Besonderheiten, ihre Vor- und Nachteile. Die beliebtesten stellen wir hier vor.
Welcher Messenger hat die stärkste Verschlüsselung?
Das lässt sich nicht eindeutig beantworten. Signal und WhatsApp etwa setzen auf die gleiche technische Grundlage, das Signal-Protokoll, unterscheiden sich aber in Nuancen. Threema hat ein eigenes, nicht ganz schlechtes Protokoll, das aber beispielsweise keine ‘Perfect Forward Secrecy’ garantiert. Die Technik verhindert, dass jemand mir in der Zukunft meinen geheimen Schlüssel vom Handy klaut und damit meine gesamte verschlüsselte Kommunikation entschlüsseln kann, die ich über das Handy geführt habe. Signal und WhatsApp haben das. Telegram kombiniert auf ungewöhnliche Weise kryptographische Einzelteile und schafft damit nicht gerade Vertrauen.
Threema
Threema ist eine Entwicklung der Schweizer Firma „Threema GmbH“ und kam 2012 auf den Markt. Ihre Server befinden sich nach eigenen Angaben ausschließlich in der Schweiz. Aktuell hat der Dienst über 4,5 Millionen NutzerInnen (Stand März 2017), das teilte die Firma auf Anfrage von mobilsicher.de mit. Die App ist kostenpflichtig.
Threema fragt beim ersten Start, ob das eigene Adressbuch mit den Threema-Servern abgeglichen werden soll, um andere NutzerInnen zu finden. Es wird anonymisiert (gehasht) abgeglichen und anschließend wieder gelöscht. Kontakte werden in drei Sicherheitsstufen dargestellt. Die sicherste Stufe wird nur erreicht, wenn die beiden Gesprächspartner ihre Identitäten über das Scannen eines QR-Codes bestätigt haben.
Android-NutzerInnen können Threema direkt auf der Threema-Webseite kaufen. Die App nutzt standardmäßig „Google Play-Dienste“, man kann diese Funktion aber ausschalten. Bei Threema kann man sich anonym, ohne Telefonnummer oder E-Mail-Adresse anmelden. Zur Identifizierung nutzt die App eine ID, die sie beim ersten Start erstellt.
Seit September 2017 ist über die Android- und iOS-App auch verschlüsselte Internet-Telefonie möglich. Auch die Telefonie läuft über die Threema-ID und kommt ohne die Telefonnummer der NutzerInnen aus. Die Telefonie-Funktion lässt sich auf Wunsch komplett deaktivieren.
Positiv:
- Versionen für Android, iOS, Windows Phone, Desktop
- Standardmäßige Ende-zu-Ende-Verschlüsselung
- Anonyme Anmeldung möglich, keine SIM-Karte nötig
- Speichert Nachrichten maximal 14 Tage
- Speichert keine Metadaten und Kontakte
- Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
- Gruppenchats
- Auch ohne Google Play-Dienste und Google-Konto nutzbar (bei Android, iOS-Nutzerinnen müssen Apples App-Store nutzen, es sei denn, sie haben ihr Gerät gejailbreakt)
- Keine Werbung
Besonderheiten:
- Wer Sprachnachrichten verschicken möchte, muss eine Erweiterungsapp installieren
- App und Chat lassen sich mit extra Passwort sichern
- Umfrage-Funktion
- Verschlüsselte Anrufe möglch
Negativ:
- Quellcode nicht frei zugänglich. Dadurch ist eine unabhängige Überprüfung der Sicherheit des Programms nicht möglich. Allerdings wurde Threema im Herbst 2015 einem Sicherheits-Audit der IT-Firma Cnlab Security AG unterzogen. Die Prüfer kamen zu dem Ergebnis, dass die Ende-zu-Ende-Verschlüsselung keine Schwächen aufweist.
- Kostenpflichtig, aber nur einmalig ca. 2-3 Euro
- Abgleich der Kontakte standardmäßig aktiviert (verschlüsselt), jedoch nur bei Nutzung mit Telefonnummer! Aber: Nach dem Abgleich werden die Daten immer wieder sofort vom Server gelöscht. Threema & Dritte hat somit kein Zugriff auf die Kontakte!
Signal
Die beiden Entwickler Moxie Marlinspike und Stuart Andersen arbeiten bereits seit 2008 an Apps für die verschlüsselte Kommunikation – und sie haben mit Edward Snowden einen wichtigen Fürsprecher. Anfang 2015 haben sie eine neue Version ihrer Android-App TextSecure und der dazu passenden iOS-Variante Signal vorgestellt. Da der Namensunterschied viele Nutzer verwirrte, wurde die App im November 2015 einheitlich zu Signal umbenannt. Die Entwicklung erfolgt im Rahmen der Organisation „Open Whisper Systems“ (nicht zu verwechseln mit der Twitter-Tochter Whisper-Systems), die sich aus Spenden und Förderungen finanziert. Das Verschlüsselungsprotokoll von Signal gilt als „Goldstandard“ in der Kryptoszene und wurde auch von WhatsApp und dem Facebook-Messenger übernommen.
Signal ist im Google Play-Store und in Apples App-Store erhältlich. Ab Version 3.30.0 (veröffentlicht am 28.02.2017) kann Signal auch ohne Google-Play-Dienste genutzt werden, standardmäßig sind sie allerdings aktiviert. Bis dahin funktionierte die App nicht ohne die Play-Dienste, was viele NutzerInnen heftig kritisierten. Seit März 2017 steht die App auch als .apk-Datei auf der Open-Whisper-Webseite zur Verfügung.
Beim ersten Start muss man sich mit seiner Handynummer anmelden, man kann den Dienst nicht ohne SIM-Karte nutzen. Signal verlangt bei der Installation Zugriff auf das Adressbuch, um andere NutzerInnen zu finden, und während der Nutzung, um Kontakte zu verwalten. Verweigert man den Zugriff, muss man die Telefonnummer des Empfängers per Hand eintippen und kann sie nicht in der Kontaktliste speichern. Nach Angaben von Signal werden Kontaktdaten anonymisiert (gehasht) auf Signals Servern abgeglichen und anschließend wieder gelöscht.
Mit der App lassen sich Nachrichten verschicken, aber auch verschlüsselte Anrufe über die Internetverbindung des Mobiltelefons tätigen. Seit Version 3.29 unterstützt Signal auch Videotelefonie (Teststadium). Der Messenger bietet seit 2017 auch eine Desktop-Version für den PC an.
Die Nachrichten werden über die Server von Open Whisper Systems geleitet, die sich in den USA befinden. Da sie verschlüsselt sind, können die Inhalte jedoch vom Betreiber nicht gelesen werden. Nutzerzahlen veröffentlicht Open Whisper Systems nicht.
Positiv:
- Versionen für iOS, Android, Desktop (nur in Verbindung mit Smartphone)
- Standardmäßige Ende-zu-Ende-Verschlüsselung
- Offener Quellcode
- Gruppenchats
- Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
- Speichert keine Metadaten und Kontakte
- Speichert keine Nachrichten
- Kostenlos
- Keine Werbung
- Auch ohne Google Play-Dienste und Google-Konto nutzbar (bei Android, iOS-Nutzerinnen müssen Apples App-Store nutzen, es sei denn, sie haben ihr Gerät gejailbreakt)
Besonderheiten:
- Verschlüsselte Anrufe möglich
- Videotelefonie (Testphase)
- Auto-Zerstörungs-Timer für Nachrichten (Zeitraum zwischen fünf Sekunden und einer Woche möglich)
Negativ:
- Benötigt Zugriff auf Adressbuch, kann aber deaktiviert werden.
- SIM-Karte für Nutzung nötig, keine absolute Anonymität
Telegram
Pavel Durov ist der Mark Zuckerberg Russlands. Er hat das dort beliebte soziale Netzwerk Vkontakte aufgebaut. Die russischen Behörden hatten Durov jedoch 2014 ins Visier genommen, so dass er sich aus dem Unternehmen zurückziehen musste und Russland verlassen hat.
Mittlerweile kümmert sich Durov um seine neueste Entwicklung: Die Messenger-App Telegram, dessen Mutterunternehmen in Berlin sitzt. Laut eigenen Angaben hatte die App im Februar 2016 mehr als 100 Millionen Nutzer. Momentan finanziert Pavel Durov die Entwicklung aus seinem Vermögen, später soll das Projekt durch Spenden oder kostenpflichtige Zusatzfunktionen finanziert werden.
Die App verschlüsselt die Chats standardmäßig aber nur Nutzer-zu-Server und speichert sie in der hauseigenen Cloud. Telegram selber könnte diese Nachrichten entschlüsseln. Lediglich in der Variante „Geheimer Chat“ wird auf eine solche Speicherung verzichtet und die Unterhaltung Ende-zu-Ende verschlüsselt. Der Dienst benötigt Zugriff auf das Adressbuch, und lässt sich ohne diesen Zugriff nicht nutzen. Kontakte werden auf Telegrams Servern dauerhaft gespeichert. Wie Telegram mit sonstigen Metadaten verfährt (wer wann mit wem kommuniziert) ist nicht bekannt. Telegram gibt selber an, bislang keine Nutzerdaten an Behörden weitergegeben zu haben, da seine Server in vielen Ländern verteilt sind, und daher richterliche Beschlüsse mehrerer Länder vorliegen müssten.
Im Gegensatz zu den anderen hier vorgestellten Messengern kann Telegram auch über den alternativen App-Store F-Droid bezogen werden. Für die Nutzung ist ein Google- oder Apple-Konto nicht erforderlich. Die Registrierung erfolgt über die SIM-Karte des Benutzers.
Positiv:
- Versionen für Android, iOS, Windows Phone, Desktop (nur in Verbindung mit Smartphone)
- Offener Quellcode (nur App, nicht Serverinfrastruktur)
- Gruppenchats
- Versendet Dateien, Bilder, Videos, GIFs, Kontakte, Standorte, Audio
- Kein Google- oder Apple-Konto nötig
- Kostenlos
- Keine Werbung
Besonderheiten:
- Auto-Zerstörungs-Timer für verschlüsselte Nachrichten
- Zeigt standardmäßig an, ob Nutzer in Kontaktliste online sind
- App lässt sich durch Pin oder Fingerabdruck extra sichern
- Verschlüsselte Telefonie ab Version 3.18 (März 2017)
Negativ:
- Chats sind standardmäßig nicht Ende-zu-Ende verschlüsselt.
- Verschlüsselte Chats („Geheime Chats“) müssen eigens eingerichtet werden und der Schlüssel muss mit dem Gesprächspartner abgeglichen werden
- SIM-Karte für Nutzung nötig, keine Anonymität
- Benötigt Zugriff auf Adressbuch, kann aber deaktiviert werden.
- Speichert Kontakte!
- keine Angaben zu Speicherung von Metadaten
WhatsApp
Mit WhatsApp kann man Textnachrichten, Photos, Videos und Dateien über das Internet versenden. Inzwischen bietet die App auch eine Anruf-Funktion.
Der Dienst zählt weltweit etwa 1,3 Millarden Nutzer pro Monat (Stand Juli 2017). Der Betreiber und Hersteller, WhatsApp Inc., wurde 2014 von Facebook gekauft und gehört seitdem zur Facebook Gruppe. Firmensitz ist in Kalifornien, USA.
Die App ist auch unter Jugendlichen sehr beliebt. In der JIM-Studie 2016 gaben über 90 Prozent der befragten Jugendlichen zwischen 12 und 19 Jahren an, dass WhatsApp zu ihren drei wichtigsten Apps gehört. WhatsApp darf laut eigener AGB aber erst ab 16 Jahren genutzt werden.
Seit April 2016 versendet WhatsApp angeblich alle Nachrichten standardmäßig Ende-zu-Ende-verschlüsselt.
WhatsApp-Backups auf Google Drive, iCloud und lokal auf dem Gerät sind zwar ebenfalls verschlüsselt, aber nicht Ende-zu-Ende. Es gibt den bergründeten Verdacht, dass die Schlüssel zu diesen Backups auf den Servern von WhatsApp liegen. Aufgrund der Gesetzeslage in den USA können US-Amerikanische Behörden WhatsApp in dem Fall zur Herausgabe der Schlüssel zwingen, ohne dass Nutzer davon etwas erfahren.
Metadaten, also wer wann mit wem kommuniziert, sammelt WhatsApp weiterhin. Zudem fragt die App das Adressbuch ab und gibt diese Daten zur weiteren Auswertung an Facebook weiter. Dort werden die Daten zum Abgleich mit Facebook-Konten missbraucht und vermutlich zu Werbezwecken weiter genutzt.
Ende August 2016 verkündete WhatsApp, Telefonnummern und Analytics-Daten mit der Konzernmutter Facebook zu teilen. Ob dieser Schritt rechtswidrig ist, wird seitdem vor Gericht verhandelt.
Im September 2017 teilte WhatsApp mit, dass die Nutzung für Unternehmen künftig kostenpflichtig sein soll. Wenn Unternehmen per WhatApp mit Kunden kommunizieren, müssen sie also bald dafür zahlen. Im Oktober wurden dazu passend einige Erweiterungen des Dienstes für Unternehmen vorgestellt.
Positiv:
- Versionen für Android, iOS, Windows Phone, Desktop (nur in Verbindung mit Smartphone)
- Gruppenchats
- Standardmäßig angebliche Ende-zu-Ende-Verschlüsselung
- Versendet jedes Dateiformat
- Kostenlos
Besonderheiten:
- Verschlüsselte Anrufe
- Videotelefonie
Negativ:
- Nicht Open Source
- Nur mit Google- oder Applekonto nutzbar
- Metadaten werden gesammelt, analysiert und mit anderen Unternehmen des Facebook-Konzerns ausgetauscht
- Speichert Kontakte und verwertet diese weiter
- kein Datenschutz
- Nutzung nur mit SIM-Karte, also nicht anonym
- Arbeitet mit Ermittlungsbehörden und Geheimdiensten zusammen und gibt breitwillig Daten weiter.
- Erlaubt Marketing von Unternehmen
- Unverschlüsseltes Backup via Google Drive
Fazit:
WhatsApp & Facebook-Messenger sollten unter keinen Umständen genutzt werden, wogegen die Nutzung von Threema in allen Bereichen absolut empfehlenswert ist. Zwar kostet Threema einmalig 2-3 Euro, doch dies sollte jedem die Sicherheit wert sein. Bei anderen Messenger zahlen sei deutlich mehr: nämlich mit Ihren Daten! Wer absolut kein Geld ausgeben will, kann jedoch auch ohne große Bedenken SIGNAL nutzen.
Gefällt mir Wird geladen …