Wieso es nicht reicht, einfach ein wenig Verschlüsselung beim Messenger anzubieten

WhatsApp wurde gekauft, massenweise verkünden überraschte Nutzer ihren Abschied von der Plattform – meist auf Facebook oder anderen sozialen Netzwerken – denn man will ja Mark Zuckerberg nicht die eigenen Daten wie die Telefonnummer oder Email geben, und auch überhaupt sind ja diese ganzen unverschlüsselten Messenger böse, weil die NSA einfach abhören kann.

Facebook hat WhatsApp gekauft - die Panik um die Daten hätte aber schon lange vorher stattfinden müssen

Facebook hat WhatsApp gekauft – die Panik um die Daten hätte aber schon lange vorher stattfinden müssen

Von dem 19-Milliarden-Kauf von WhatsApp durch Facebook profitieren nicht nur die 50 Mitarbeiter von WhatsApp erheblich, sondern auch viele alternative Nachrichtendienste, denn nach/durch Medienberichte scheint mittlerweile ja jeder Nutzer die App nicht mehr nutzen wollen und sucht deswegen händeringend eine Alternative, denn die konsequente Enthaltung von solchen Diensten will dann doch keiner eingehen. Die Gewohnheit und Bequemlichkeit siegen mal wieder. Doch was mal wieder keiner so recht bedenken will oder einfach nie so weit gedacht hat: Facebook, Google und Co brauchen gar nicht diese extra-Dienste mehr um einen großen Teil dieser Daten zu bekommen, nur ist das durch den Nutzer selber halt noch mal einfacher. Denn bereits jetzt verzeichnet Google über eine Millionen Aktivierungen von Androidhandys jeden Tag, die so gut wie alle ein Google Konto für die Apps aus dem Play Store haben, ihre Kontakte im Telefonbuch hinterlegt haben und vor allem nichts an den Standardeinstellungen geändert haben und so eifrig eben all diese doch so wichtigen Daten wie die Telefonnummern der Freunde an Google weiterleiten. Facebook ist sowohl auf Android als auch iPhone jeweils über 500.000.000 mal heruntergeladen worden und auch hier wird – immerhin erst nach Bestätigung – gerne auf diese so wertvollen Daten zugegriffen und im Namen der Verbesserung der Nutzererfahrung zur weiteren Verarbeitung nach Kalifornien geschickt.

An sich nichts neues, auch die wichtigen Veröffentlichungen von Snowden zu den Ausspähprogrammen der NSA und anderer Behörden ändern nichts an der Tatsache, dass das alles schon seit Jahren so geht. Leider verhält es sich dann doch wie immer: nach einigen Wochen und Monaten kehrt nach einigen Säbelrasseln wieder der Normalzustand ein, Merkel zieht mit dem sehr realistischen Versprechen, dass ihr ganz persönliches Leben in Zukunft nicht mehr so gezielt ausgehorcht wird, den Schwanz ein, die Medien brauchen wieder echte Schockmeldungen für die Titelseite und die mit einem gewaltigen Aufschrei reagierende Mehrheit tauschen den ach so bösen Dienst gegen einen anderen ein, denn der verspricht ja zumindest nicht so hinterhältig wie die Konkurrenz zu sein.

Im Bereich der Messenger-Dienste heißt das dann, dass man sich eben für einen der vielen anderen Angebote entscheiden muss, die um die eigene Gunst buhlen. Dabei das aktuell besonders beliebte Aushängeschild: Sicherheit. Sicherheit ist immer gut, denn der Mensch liebt dann doch immer gewisse Sicherheiten. Ein Punkt, der immer wieder gerne genannt wird, ist dabei die Verschlüsselung der Nachrichten, doch wenn man hier eines ehrlich sagen muss: ein gewisses Maß an Sicherheitsfunktionen wie Verschlüsselung sind ohne großen Aufwand zu implementieren (genügend Bibliotheken sei dank) und deren Abstinenz ein fahrlässiges Versäumnis, für das es keine Entschuldigung gibt.

Threema wird als aktuell sicherster Messenger gehandelt - Made in Swiss

Threema wird als aktuell sicherster Messenger gehandelt – Made in Swiss

Aber wie heißt es doch so schön? Besser spät als nie. In diesem Sinne buhlen aktuell insbesondere der Dienst „Telegram“, „Threema“oder der ehemals im Geschäftsbereich stark vertretene Blackberry Messenger (BBM) mit dem neuen Buzzword um die Gunst. Doch hier gibt es bereits gewaltige Unterschiede in der Qualität. Während das kostenpflichtige Programm Threema grundsätzlich alle Nachrichten mit asymmetrischen Verfahren basierend auf dem Public-Private-Key-Verfahren verschlüsselt, ist dies bei Telegram nur optional bei ausgewählten Chats möglich. Blackberry geht mit dem BBM Protected geht sogar noch einen Schritt weiter (oder weniger, je nach Betrachtung), denn hier hat man groß auf dem MWC 2014 in Barcelona eine abgesicherte Variante angekündigt, die einen Schlüsselaustausch beim gemeinsamen Treffen ermöglicht, um dann mit diesem per symmetrischer Verschlüsselung Nachrichten auszutauschen – man könnte es also auch gleich lassen, denn wenn bei einem Nutzer eben dieser Schlüssel bekannt wird, sind auch alle Nachrichten der anderen Gesprächsteilnehmer mit diesem Schlüssel aufgeflogen.

Was lernen wir also daraus? Erst einmal: es gibt kein perfektes System und auch keine hundertprozentige Sicherheit. Doch als Service-Anbieter kann man genügend tun, um seinen Kunden ein gutes und vor allem möglichst sicheres System zu bieten. Am Beispiel Threema sind schon einige Punkte, die in der Kryptografie zum Standard gehören, angewendet worden, doch auch hier ist noch einiges Luft nach oben. Idealerweise bietet also bald ein entsprechender Dienst folgende Techniken der Kryptografie mit:

  • grundsätzliche Verschlüsselung aller Daten zwischen Client (App) und Server über SSL
  • Asymmetrische Public-Private-Keys mit Verifikationsmöglichkeit durch die verschiedenen Gesprächsteilnehmer über andere, unabhängige Kanäle
  • Perfect Forward Security, also der Festlegung eines individuellen Schlüsselpaars für die einzelne Session, der regelmäßig erneuert wird (gilt bereits auch für die generelle Kommunikation zwischen Client und Server)
  • hohe Bitbreite, denn mit längeren Schlüsseln steigt der Aufwand zum Knacken exponentiell an
  • Verringerung sogenannter Metadaten wie die Identifizierung der Gesprächsteilnehmer auf ein Minimum, denn diese können normalerweise nicht unabhängig vom Vermittler verschlüsselt werden
  • keine dauerhafte Speicherung der Daten beim Dienstleister, ggf auch beim Nutzer
  • nur verschlüsselte Lagerung aller Daten

Da die meisten Berechnungen wie die Schlüsselberechnung und deren Bestätigung auf den Endgeräten der Nutzer stattfindet (nur stattfinden kann und darf), kann und darf das Argument der Leistung und des Aufwandes nicht mehr für künstliche Limitierungen angeführt werden.

In dem Sinne: glaubt nicht alles, was auf der Verpackung steht und hinterfragt wenigstens einmal den Service, den ihr nutzt. Sicherheit ist nicht schwierig, aber erfordert eine gewisse Koordination und Planung. Wenn also beispielsweise euer neuer Messenger auf eine unzuverlässige Verschlüsselung wie einem optionalen symmetrischen System setzt, so dürft ihr euch nicht wundern, wenn da noch eine ganze Menge anderer Fehler schlummern, die irgendwer garantiert mal ausnutzen wird.

Threema
Threema
Entwickler: Threema GmbH
Preis: 2,99 €
Threema
Threema
Entwickler: Threema GmbH
Preis: 3,49 €

Pascal

ist seit 2010 bei Appexam als Autor tätig. Als bekennender Technikfan ist er immer auf der Suche nach neuen Spielzeugen und offen für unabhängige Tests.

Auch zu finden auf Google+

Deine Meinung?

 

© 2017 Appexam. All rights reserved. ·
Powered by WordPress · Designed by Theme Junkie
   •    Portfolio   •   + Kontakt   •   Autoren  •   Impressum