Facebook hat What's App gekauft. Ein großer Aufschrei geht durch die Handywelt und mit dem Ausfall von Whats App am vergangenen Wochenende laufen die Benutzer zu Konkurrenzprodukten über. Verschlüsselung ist das neue Schlagwort. Doch was steckt dahinter und wie Sicher ist denn Sicher?
Schauen wir zunächst einmal auf die Übernahme zwischen Facebook (FB) und Whats App (WA). Was ist denn an der Übernahme überhaupt dramatisch? Mark Zuckerberg hat betont, dass sich für die Benutzer nichts ändern wird. Ähnliches hat man damals schon beim Zukauf vom Fotodienst Instagram gehört. Und tatsächlich ist der Dienst steht eigenständig geblieben und wird von FB Programmierern gepflegt. Bis auf einen kleinen Schönheitsfehler. Kurz nach der Übernahme wurden bei Instagram die Datenschutzbedingungen aktualisiert. Neuer Punkt war die Erlaubnis Daten zwischen FB und Instagram auszutauschen. Das ist auch genau das, was bei WA zu befürchten ist. Naja WA hat ja nur die Telefonnummer. Nicht ganz, es hat außerdem auch Zugriff auf das Adressbuch. Facebook kann über mehrere Methoden herausfinden, wer man ist, selbst wenn man WA nicht seinen Namen mitgeteilt hat.
Beispielsweise:
1. Triangulation. Man gleicht das Telefon Adressbuch mit dem von FB ab.
2. Abgleich mit der FB App, wenn diese installiert ist.
3. Abgleich des Profilbildes (Gesichtserkennung ist ja kein Hexenwerk mehr)
4. Abgleich des Adressbuchs eines Bekannten. Wenn dieser Namen und Nummer zugeordnet hat kann man dieses Ergebnis übernehmen.
Gerade Fall 4 zeigt also dass FB durchaus zukünftig von fast jedem FB Nutzer eine Handynummer dem Benutzer zuordnen kann, selbst wenn diese WA gar nicht nutzt.
Aber es geht über die Mobilfunknummer hinaus. FB hat dann das gesamte Handy Adressbuch (auch von nicht FB und WA Nutzern) und kann Stichworte aus den Chats auslesen um die Interessen und relevanten Themen mehrerer Benutzer besser zuzuordnen.
Das sind recht umfangreiche Profildaten, die sich so ergeben könnten.
Jetzt schreien alle Datenschutzt und Ende zu Ende Verschlüsselung und viele wechseln den Dienst. Aber wie sicher oder sinnvoll ist denn WA eigentlich (gewesen)?
Whats App verschlüsselt seine Konversationen ebenfalls. Das scheinen im Moment aber viele Leute zu übersehen oder gar nicht zu wissen. Whats App steht allerdings seit vielen Jahren immer wieder unter Feuer was die Sicherheit angeht. Hier mal eine kurze Historie:
08/2012 - Whats App verschlüsselt jetzt die Konversationsdaten, weil Chats von jedem mitgelesen werden konnten. Wie das (also die Verschlüsseliung) funktioniert ist ungeklärt. Die beteiligten Telefonnummern sind weiterhin Klartext. Quelle
01/2012 - eine Webseite ermöglicht es den Status von Fremden WA Konten zu ändern. WA selbst schließt die Sicherheitslücke indem sie einfach die Webseite sperren. Der Betreiber der Seite bringt eine Windows App heraus, die diese Sperre umgeht. Jetzt erst reagiert WA anscheinend richtig und veröffentlichen eine neue Version in der die Sicherheitslücke geschlossen wurde (zumindest funktioniert es danach nicht mehr auch wenn in den Änderungsnotizen nichts erwähnt wird). Quelle1 Quelle2
09/2012 - Ein Test der Stiftung Warentest ergibt, dass WA alle gespeicherten Telefonnummern und den Provider unverschlüsselt und ohne Rückfrage an deren Server überträgt. Quelle
09/2012 - Eine Sicherheitslücke erlaubt es ein fremdes Konto zu kapern. Dazu sind vergleichsweise wenige Informationen notwendig die sich alle mit freien Tools ermitteln lassen. Quelle
11/2012 - Die oben genannte Sicherheitslücke, die zwischenzeitlich geschlossen wurde, trat erneut auf. Quelle
01/2013 - Kanadische und Niederländische Datenschützer warnen vor Whats App, da es gegen den jeweils nationalen Datenschutz verstößt. Quelle
07/2013 - Eine Sicherheitslücke ermöglicht das Ausspähen der Zahlungsinformationen von Paypal und Google Wallet. Quelle
10/2013 - Es bestehen allgemeine Bedenken an der Sicherheit der Verschlüsselung. Quelle
Also sicher war Whats App nie. Was auch viele nicht wissen, der Dienst darf erst ab 16 Jahren genutzt werden.
Dass nun viele nach einer Verschlüsselung rufen, ist sicherlich dem Umstand der NSA Enthüllungen durch Edward Snowden geschuldet. Welcher Fehler nun aber nicht begangen werden sollte, ist der, dass auch Whats App verschlüsselt hat und Verschlüsselung nicht gleich Sicherheit ist.
Sicherheit geht heute mit Vertrauen einher.
Ein Programm das auf einem Handy läuft ist potentiell unsicher. Handys sind generell vertrauensunwürdige Geräte auf denen man nichts speichern sollte, was man nicht der Allgemeinheit mitteilen will.
Ein Programm dessen Quellcode man nicht kennt, könnte im Prinzip machen was es will. Diese Berechtigung die da im System erteil wird ist eh ein Witz.
Eine Cloud oder Server Lösung läuft in der Regel auf einem Server der jemand anderem gehört und man nicht weiß was der damit macht. Und Zugriff bekommt man auch juristisch nicht, denn der Server steht in der Regel im Ausland.
Sicherheit bedeutet Vertrauen zu haben. Zu Google, dass sie Android sicher gemacht haben. Zu Samsung, dass sie das Handy sicher gemacht haben und beim anpassen von Android keine Backdoor eingebaut haben. Zu whats App, dass die App tatsächlich sicher ist und nicht auf etwas zugreift was sie nicht soll und das deren Server wirklich nur das nötigste Speichern. Und natürlich dass die ganzen Verschlüsselungen von all den Beteiligten so sicher sind, dass nicht irgendwem bereits eine einfache Methode bekannt ist, diese auszuhebeln. Ist ne Menge Vertrauen, das man da grundsätzlich haben muss.
Zurück zum Thema.
Schauen wir mal auf einige Konkurrenten von Whats App:
Telegram
Wurde von zwei russischen Entwicklern geschrieben (die aber betonen, dass Telegram in Berlin beheimatet ist und nichts mit Russland zu tun hätte). Die Verschlüsselungsmethode kann man sich hier ansehen. Ist die gut? Treten Sie bitte zurück, wir haben einen Doktor der Mathematik. Unter diesem Motto hat sich jemand der Verschlüsselung angenommen und bringt es auf den kurzen Punkt: Vermeiden um jeden Preis. Telegram nutzt altbekannte Algorithmen mit selbstgestrickten Mängeln, die keine Sicherheit bieten.
Threema
Ist in der Schweiz beheimatet, was an sich ja schon mal Sicher wirkt. Naja, die Verkaufen mittlerweile auch Steuersünderdaten auf CD's warum nicht auch Messenger Daten? Threema erzeugt einen eigenen Schlüssel für das Mobiltelefon und einen öffentlichen für die Gegenseite. Laut Hersteller wird eine Ende zu Ende Verschlüsselung vorgenommen. Das bedeutet, dass der Versender die Nachricht vor dem Versenden Verschlüsselt und sie erst der Empfänger auf seinem Gerät wieder entschlüsselt. Da Threema einen nicht offenen Quellcode hat, lässt sich nicht nachprüfen wie sicher das ganze ist, und ob wirklich nur die genannten Daten übertragen werden. Es gibt aber zumindest Hinweise von einigermaßen vertrauenswürdigen Personen, dass Threema es versucht richtig zu machen. Die Verschlüsselung lässt sich zumindest teilweise nachvollziehen. Threema scheint damit eine einigermaßen geeignete App zu sein, die eigenen Daten zu verschlüsseln.
Viber
Ist eher eine VoIP Lösung wie Skype. Es hat einen nicht öffentlichen Quellcode und empfehlen würde ich das noch weniger als Skype - eigentlich würde ich nur empfehlen einen Bogen um diese Software zu machen. Viber sammelt eine erhebliche Menge an Daten (teilweise ohne Zustimmung und Wissen des Nutzers) und sendet diese an seinen Server. Dazu gehören vor allem auch die Kontaktdaten von unbeteiligten Dritten. Wenn also ein Rechtsanwalt Viber nutzt hat dieses die gespeicherten Kontaktdaten seiner Mandanten (Rechtsanwälten und Ärzten sollte das Internet generell verboten sein...). Deshalb steht Viber auch seit Jahren massiv in der Kritik der Datenschützer. Quelle Seit neuestem gehört Viber der Firma Rakuten. Rakuten? Nie gehört? Komisch, das ist einer der 10 größten Internetkonzerne der Welt. 4,7 Milliarden Dollar Umsatz. Heimatsitz in Japan. Haben auch einen nicht gerade kleinen Onlineshop in Deutschland. Hier mal der Wiki Artikel dazu. Was die jetzt genau mit den Daten vor haben weiß kein Mensch.
Surespot
Das ist eigentlich der Beste Kandidat. Es ist Quelloffen, verwendet eine gute Verschlüsselung. Leider verstehen die Programmierer von Design recht wenig weshalb es sehr ... ungewohnt ist. Vermutlich auch der Grund warum es kaum verbreitet ist. Schade.
Kik
Der Messenger (nicht der Betriebsratskandidatenentlassende, in der Dritten Welt mit Arbeitsrechtsverletzungen produzierende und Qualitätsmängeln behaftete Discounter) bietet eine ganze Menge Funktionen. Dazu ist er noch Kostenfrei. Das Programm ist nicht Quelloffen so dass man wieder nicht weiß was es macht. Von Verschlüsselung ist zwar die Rede aber es ist wenig darüber zu finden, ob die was taugt. Ich wäre generell erst mal skeptisch wenn jemand etwas verschenkt und trotzdem so viele Funktionen bietet.
Line
Line ist sehr verbreitet, vor allem außerhalb von Europa. Da gilt aber das gleiche wie für Kik: Nicht Quelloffen, kostenlos, viele Funktionen. Sollte man generell als nicht vertrauenswürdig einstufen.
Hike
Brüstet sich damit ebenfalls sehr sicher zu sein (da sie mittlerweile eine SSL Verschlüsselung haben), ist aber wie viele andere nicht Quelloffen, so dass keine sagen kann ob das stimmt. Außerdem senden sie die Adressbücher nach Indien. Quelle (Verschlüsselung als Kritik in der Quelle wurde mittlerweile implementiert)
Hangouts
Google hat auch einen Messenger integriert. Das sollte man sich durchaus überlegen, denn wer ein Android Phone nutzt und ein Google Konto besitzt muss hie nicht noch einem weiteren Konzern das Vertrauen schenken.
Ich könnte die Liste noch lange fortführen, denn an Messegern herrscht wirklich kein Mangel. Generell lässt sich sagen, dass Surespot eigentlich die Beste Alternative wäre, wenn sie nicht so wenig verbreitet wäre. Der Beste Kompromiss dürfte dann also Threema sein. Wer Dinge hat, die er nicht der Allgemeinheit mitteilen will, sollte diese Dinge auf einen Zettel schreiben und nicht in einem Smartphone speichern.
Keine Kommentare:
Kommentar veröffentlichen