Wer auf Nummer sicher gehen will, sollte Signal benutzen

Geben Sie Signal eine Chance

Reporter ohne Grenzen und taz.gazete haben ein Projekt zu digitaler Sicherheit gestartet. Im ersten Artikel unserer Serie sehen wir uns WhatsApp, Telegram und Signal an.

TAZ.GAZETE, 2019-02-07

Was die digitale Sicherheit angeht, legen selbst Personen, die potenziell ins Visier der illegalen Überwachung von Daten rücken könnten, oft eine erstaunliche Gleichgültigkeit an den Tag. Fragt man sie nach den Gründen für die mangelnde Vorsicht, antworten viele: „Die wissen doch eh schon alles“, „Wer soll sich denn darum kümmern?“, oder aber „Ich habe ja nichts zu verbergen“.

In einem Land wie der Türkei, wo es kaum gesetzliche Regelungen im Bereich Internetüberwachung gibt und die Justiz nicht unabhängig von der Politik ist, dienen bereits Privatnachrichten als Beweise für Vergehen. Selbst das bloße Herunterladen einer App kann die betroffene Person direkt zum Mitglied einer terroristischen Vereinigung machen. Können Sie sich vorstellen, was für Straftaten und Feinde aus den zur Verfügung gestellten Daten in solch einem Land konstruiert werden?

Um gegen die Gleichgültigkeit im Umgang mit unseren Daten und das Informationschaos anzugehen, haben Reporter ohne Grenzen und taz.gazete ein Projekt zur digitalen Sicherheit initiiert. Ziel des Projekts ist, Internetnutzer*innen mit grundsätzlichen Informationen zum Thema digitale Sicherheit zu versorgen. In einer Artikelreihe werden wir Datenschutz und Maßnahmen zum Schutz gegen widerrechtliche Überwachung aus verschiedenen Perspektiven beleuchten. Wir beginnen mit Messenger-Diensten, einem Thema also, das uns mehr oder weniger alle betrifft.

Wer sich Gedanken zur Sicherheit von WhatsApp und anderen Messengern macht, verlässt sich oft auf Hörensagen und urbane Legenden, die sich verbreitet haben. Bei dem in der Türkei wie auch weltweit meistgenutzten Messenger-Dienst WhatsApp gehen viele davon aus, er sei sicher – zumindest im Vergleich zu Festnetz und SMS. Zahlreiche Nutzer*innen sind auf ihren Smartphones in Gruppenchats aktiv. In diesen Gruppen wird mit mit persönlichen und berufsbezogenen Daten extrem sorglos umgegangen. Telegram gilt wiederum als sicherere Alternative zu WhatsApp.

Doch wie sicher sind WhatsApp, Telegram und Signal wirklich? Wussten Sie beispielsweise, dass es bei Telegram keine automatische Ende-zu-Ende-Verschlüsselung (Verschlüsselung von Sender*in bis Empfänger*in) der Nachrichtenverläufe gibt? Oder dass WhatsApp Profile von Verbindungsaktivitäten der Nutzer*innen erstellt? Doch welchen Messenger sollte man verwenden, wenn man auf Nummer sicher gehen will? Wir stellen WhatsApp, Telegram und Signal auf den Prüfstand.

WhatsApp

Was Sie als allererstes über WhatsApp wissen sollten, ist, dass die Anwendung Facebook gehört. Die Verbindungsdaten (Informationen darüber, wer mit wem wann in Kontakt ist) der Nutzer*innen werden zusammen mit den Daten, die über die Facebook-Anwendungen Instagram und Facebook Messenger gesammelt werden, gebündelt und auf den Servern des Unternehmen gespeichert. Zwar ist bislang noch kein ernsthafter Fall bekannt, in dem WhatsApp Daten an staatliche Behörden weitergegeben hat, durch die Personen kriminalisiert wurden. Doch das schiere Volumen an Daten und Kommunikationsnetzwerken eines Unternehmens mit 1,5 Milliarden Nutzer*innen liefert ausreichend Grund zur Besorgnis.

WhatsApp führte vor geraumer Zeit die Ende-zu-Ende-Verschlüsselung für den Nachrichtenverkehr zwischen Personen ein. Dem lag ein strategisches Kalkül zugrunde: Das Thema digitale Sicherheit hatte global Konjunktur und war profitabel. Man muss sich einmal überlegen, zum Gegenstand welcher Gerichtsverfahren die gespeicherten Daten werden könnten, sollte digitale Sicherheit eines Tages aufhören, ein profitables Geschäft zu sein – oder besser gesagt, sollte sich die Sicherheit von Staaten als die interessantere Geschäftsidee erweisen.

Eines der wichtigsten Kriterien von Anwendungen dieser Art ist die Frage, ob der Quellcode des Programms öffentlich verfügbar ist oder nicht. Programme mit offenen Quellcodes werden von Tausenden freiwilligen Spezialist*innen kontrolliert und auf Schwächen geprüft. Ist diese Transparenz jedoch nicht gegeben, bleibt als einziger Bezugspunkt die Aussage des jeweiligen Unternehmens selbst. Da die Quellcodes von WhatsApp nicht öffentlich zugänglich sind, ist unklar, welche Schwächen und Schlupflöcher sie aufweisen.

Telegram

Telegram wurde 2013 von zwei russischen Brüdern mit dem Anspruch gegründet, ein sichereres Kommunikationsmittel anzubieten. Die Anwendung ist jedoch nicht wirklich transparent. Es ist bekannt, dass das Unternehmen Nutzer*innendaten sammelt, keine Transparenzberichte veröffentlicht und darüber hinaus prinzipiell bereit ist, seine Daten in verschiedenen Fällen an Regierungen weiterzugeben.

Problematisch ist bei diesem Messenger vor allem das Vertrauen der Nutzer*innen, das sich aus der verbreiteten Meinung speist, Telegram sei sicher. Dabei gibt es einige Sicherheitslücken: Entgegen den Erwartungen verschlüsselt Telegram Nachrichten nicht automatisch. Die Verschlüsselung muss erst über die Einstellungen aktiviert werden. Zudem könnte man als Minuspunkt verbuchen, dass das Anmeldeverfahren für die Anwendung über eine Bestätigungs-SMS geregelt ist. Denn SMS sind problemlos zu hacken. So kann der Bestätigungs-Code schnell in falsche Hände gelangen. Außerdem ist die Verschlüsselung von Gruppenchats bei Telegram nicht möglich.

Ein weiterer Nachteil besteht darin, dass der Quellcode des Programms nicht offen ist. Alles in allem wird deutlich, dass Telegram nicht so vertrauenswürdig ist wie weithin angenommen. Genau diese Schwächen ermöglichten 2016 im Iran den Zugriff auf die Telegram-Konten von ca. 15 Millionen Personen. Die Administrator*innen verschiedener Chatgruppen landeten im Gefängnis, weil sie die geheime Chatfunktion und das Passwortsystem nicht benutzten.

Signal

Für Signal ist die 2013 ins Leben gerufene Organisation Open Whisper Systems verantwortlich. Da die sichere Verschlüsselung von Nachrichten das zentrale Anliegen bei der Unternehmensgründung war, ist Signal auf diesem Gebiet besonders stark. Die von Signal bereitgestellten Nachrichten- und Telefondienste unterliegen einer vollständigen Ende-zu-Ende-Verschlüsselung. Außerdem werden die anfallenden Verbindungsdaten vernichtet, ohne auf den Signal-Servern aufbewahrt zu werden. Das verringert die Wahrscheinlichkeit, dass Signal Daten an andere Unternehmen weitergibt, enorm.

Der eigentliche Vorteil der Anwendung ist jedoch ihr offener Quelltext. Der Code und die Verschlüsselungsprotokolle der Software werden sowohl von vielen anonymen Freiwilligen analysiert, als auch von wissenschaftlichen Expert*innen untersucht und auf Konferenzen auf transparente Weise diskutiert. Auch WhatsApp hat sein Verschlüsselungsprotokoll von Signal übernommen, stellt jedoch die Codes seiner eigenen Version der Öffentlichkeit nicht zur Verfügung.

Signals Schwachstelle ist, dass für die Anmeldung eine Telefonnummer erforderlich ist. Eine anonymisierte Form der Registrierung über einen Benutzernamen oder eine Mailadresse ist bislang nicht in Sicht. Davon abgesehen liegt die Anwendung unter Gesichtspunkten der Bedienbarkeit und des Reichtums an Bildmaterial weit hinter Telegram und WhatsApp zurück. Dennoch machen die strengen Kontrollen, durch die Signals Protokolle auf Sicherheitslücken überprüft werden, die Anwendung zur besten Alternative.

Aus dem Türkischen von Sebastian Heuer

TAZ.GAZETE, 2019-02-07
ZURÜCK
MEHR VOM AUTOR
Unterstützen Sie taz.gazete! Sie können für dieses Projekt spenden.