Was macht eine Messenger-App sicher?

Wie Sie Chats auf Ihrem Telefon sichern können und warum eine Verschlüsselung allein nicht ausreicht.

Wir haben mehrere Vergleiche sicherer Messaging-Apps mit Ende-zu-Ende-Verschlüsselung veröffentlicht, empfohlene Einstellungen geteilt und die jeweiligen Mängel dieser Apps beschrieben. Aber was machen die Personen, die sichere Messenger wollen, aber nicht gerade technisch versiert sind? Dieser Blogbeitrag richtet sich nur an sie – er basiert auf einer umfassenden Studie und einem veröffentlichten Bericht mit dem Titel „Was ist sicher?“ von einer Expertengruppe der Agenturen Tech Policy Press und Convocation Research and Design.

Der Bericht enthält Empfehlungen sowohl für Benutzer als auch für Entwickler. Da jedoch nicht jeder alle 86 Textseiten durchlesen wird, fassen wir im Folgenden die wichtigsten Schlussfolgerungen zusammen.

Studienobjekt

Die Forscher befragten Benutzergruppen in Louisiana in den USA und Delhi in Indien, um die Stärken und Schwächen aktueller Messaging-Apps zu ermitteln. Untersucht wurden folgende beliebte Apps:

  • Apple iMessage
  • Meta (Facebook) Messenger
  • Nachrichten von Google
  • Signal
  • Telegram
  • WhatsApp

Die Studie hat sich auf die Art und Weise konzentriert, wie Menschen auf In-App-Tipps reagieren und wie sie die Bedeutung der einzelnen Funktionen verstehen. Noch wichtiger ist, dass die Befragten nach konkreten Ängsten gefragt wurden und gefragt wurden, inwieweit sie denken, dass sichere Messaging-Apps in ihrem Leben nützlich sind oder sein könnten. Einige der Befragten gaben an, sie seien besorgt über mögliche körperliche Gewalt, etwa häusliche Gewalt, im Zusammenhang mit dem Versenden von Nachrichten, andere fürchten eine Verfolgung durch die Behörden. Dies hatte einen großen Einfluss auf ihre Wahrnehmung von „Sicherheit“.

Die wichtigsten Erkenntnisse

Die Ende-zu-Ende-Verschlüsselung ist nur ein Aspekt der Sicherheit. Verschlüsselte Nachrichten lösen nicht jedes Problem, das ein bedrohter Benutzer hat. Daher muss man sich eine Strategie gegen motivierte Gegner überlegen. Besteht die Gefahr, dass Ihr Telefon beschlagnahmt wird? Besteht die Gefahr, dass Sie zum Entsperren gezwungen werden? Befürchten Sie, dass jemand versuchen könnte, Ihre Daten durch einen Rechtsstreit oder eine gerichtliche Anordnung von dem Unternehmen zu erhalten, dem die App gehört? Oder Ihr Telefon mit Spyware infizieren? Wäre es für die Bösewichte einfacher, diese Daten von der Person zu extrahieren, mit der Sie chatten? Für viele lautet die Antwort auf jede der oben genannten Fragen „Nein“, sodass eine verschlüsselte Messaging-App an sich schon ausreichend Sicherheit bietet. Und selbst wenn Sie mit „Ja“ antworten, ist das kein Grund, auf Verschlüsselung und sichere Nachrichtenübermittlung zu verzichten: Sie müssen nur ein Aspekt Ihres Schutzes sein.

Als weitere Tipps empfehlen die Forscher den oben genannten gefährdeten Benutzergruppen, mehrere technische Schritte zu unternehmen (mehr dazu weiter unten), vor allem aber, ihre Telefone nicht an Orte zu tragen, an denen sie physisch beschlagnahmt oder gewaltsam entsperrt werden könnten. Sie schlagen vor, sich für solch gefährliche Orte ein zweites Telefon zu besorgen und das Hauptgerät bei einer Person aufzubewahren, der sie vertrauen können.

Allgemeine Tipps zum sicheren Messaging

Die größten Geheimnisse erzählt man am besten persönlich. Keine Methode der digitalen Kommunikation ist völlig sicher. Daher sollten die riskantesten Informationen – insbesondere wenn sie eine Gefahr für die Gesundheit oder sogar das Leben darstellen – persönlich und nicht im Chat besprochen werden.

Treffen Sie Entscheidungen nicht blind. Benutzer bemühen sich bewusst um den Schutz ihrer Privatsphäre, verlassen sich jedoch häufig auf die Meinung der Bevölkerung zum Thema Sicherheit – und nicht auf verifizierte Quellen. Nur wenige lesen Dokumente, die Messaging-Apps beiliegen: Nutzungsbedingungen oder Transparenz- und Regierungsdatenaustauschberichte. Recherchieren Sie sorgfältig, was Ihr Messaging-Dienst tatsächlich wo speichert und mit wem er Daten teilt und in der Vergangenheit geteilt hat. Diese Informationen finden sich in Transparenzberichten und in der Presse.

Überprüfen Sie die App-Einstellungen sorgfältig. Machen Sie sich mit jeder Einstellung vertraut und aktivieren Sie alle sichersten Optionen. Bedenken Sie, dass Teile der Datenschutzeinstellungen möglicherweise auf die allgemeinen Einstellungen des Telefons (insbesondere für iMessage in iOS und Nachrichten von Google in Android) oder Abschnitte der App-Einstellungen (typisch für Telegram) verteilt sind.

Vermeiden Sie Hybridmodi. Mehrere Messaging-Apps unterstützen sowohl verschlüsselte als auch unverschlüsselte Nachrichten. In iMessage und Messages by Google können Sie im selben Chat offene Texte und verschlüsselte Nachrichten senden. Dies ist jedoch eine schlechte Idee, da diese Nachrichtentypen immer verwechselt werden. Sowohl Messenger als auch Telegram verfügen über separate verschlüsselte und unverschlüsselte Chats, wobei standardmäßig der unverschlüsselte Modus verwendet wird. Der Bericht empfiehlt die Verwendung von Messaging-Apps, die auf vollständiger Verschlüsselung basieren: Signal oder WhatsApp.

Je mehr Funktionen – desto höher das Risiko. Zusätzliche Funktionen wie Storys, Bots oder Links zu sozialen Netzwerkdiensten bieten zusätzliche Überwachungs- und Datenleckkanäle. Deaktivieren Sie solche Funktionen am besten oder vermeiden Sie die Nutzung der App ganz.

Deaktivieren Sie Linkvorschauen, Geolocation-Sharing und GIFs. Diese Funktionen sind zwar manchmal nützlich, können aber von verschiedenen Parteien, einschließlich verlinkten Websites, genutzt werden, um Sie aufzuspüren. Ein weiterer potenzieller Leak-Kanal ist das Finden und Teilen von GIFs in Chats.

Hilfreich sind Messaging-Apps, die ohne Telefonnummer funktionieren. Dazu gehören bis zu einem gewissen Grad Telegram, Messenger und iMessage, obwohl es einige Mühe erfordert, sie jeweils so zu konfigurieren, dass sie beim Chatten Ihren internen Benutzernamen oder Ihre E-Mail-Adresse als Kennung verwenden. Dem Bericht zufolge planen auch WhatsApp und Signal, eine solche Funktion hinzuzufügen.

Verwenden Sie verschwindende Nachrichten. Die Zimperlichsten unter uns können es ermöglichen, dass Chats nach kurzer Zeit, beispielsweise einer Minute, automatisch gelöscht werden. Leider verfügt nicht jede Messaging-App über solche Optionen, und bei einigen beträgt die kürzeste Sichtbarkeitsdauer 24 Stunden. Verschwindende Nachrichten schützen Sie kaum vor Screenshots oder anderen Möglichkeiten, Chats zu speichern. Das automatische Löschen von Nachrichten ist hilfreich, wenn Sie damit rechnen, dass in Kürze Fremde auf Ihrem Telefon herumschnüffeln.

Chat-Backups verschlüsseln. Standardmäßige Cloud-Backups sind ein häufiger Leckkanal, daher ist es unbedingt erforderlich, dass sie verschlüsselt sind (etwas, das sowohl in WhatsApp als auch in iMessage manuell aktiviert werden muss), lokal gespeichert werden (z. B. auf einer SD-Karte, wenn Sie ein Android-Telefon verwenden) oder ganz ausgeschaltet. Alle lokalen Backups sollten ebenfalls verschlüsselt werden.

Vergleichen Sie die Verschlüsselungsschlüssel mit denen der Personen, mit denen Sie chatten. Dieses Verfahren wird als Kontaktschlüsselüberprüfung (in iMessage), Sicherheitsnummern (in Signal), Sicherheitscode (in WhatsApp) und Verschlüsselungsschlüssel (in Telegram) bezeichnet und hilft sicherzustellen, dass Sie mit der richtigen Person chatten – mit dem richtigen Gerät. Verschlüsselungsschlüssel können für jeden Chat durch einen Codevergleich oder ein persönliches Treffen überprüft werden.

Schützen Sie sich vor Kontodiebstahl, indem Sie die Zwei-Faktor-Authentifizierung aktivieren. Für diese Funktion gibt es verschiedene Bezeichnungen, beispielsweise „Zwei-Schritt-Verifizierung“, „Registrierungs-PIN“ oder etwas anderes, aber das Wesentliche bleibt dasselbe: Für die Anmeldung bei demselben Konto auf einem neuen Gerät ist ein zusätzlicher Verifizierungsschritt erforderlich.

Trainieren Sie die Leute, mit denen Sie chatten. Dies ist von entscheidender Bedeutung für Gruppen, die über sensible Themen chatten. Dies erfordert, dass alle Mitglieder die folgenden Ethik- und Sicherheitsregeln teilen und beachten:

  • Keine Weitergabe vertraulicher Informationen
  • Keine Screenshots oder andere Kopien der Informationen im Chat
  • Unterstützung einer Kultur der Privatsphäre innerhalb der Gemeinschaft
  • Nutzen Sie die App-Einstellungen mit Bedacht
  • Deaktivieren Sie potenziell riskante Chatfunktionen

Was ist die sicherste Messenger-App?

Signal ist in der Studie klarer Spitzenreiter, aber die Anforderung, die eigene Telefonnummer preiszugeben, macht die Situation etwas komplizierter. Die folgende Tabelle enthält einen Vergleich der wichtigsten Sicherheitsfunktionen von Messaging-Apps, wobei die sicherste Option in jeder Zeile grün hervorgehoben ist.

Apple iMessage Meta (FB) Messenger Google Messages Signal Telegram WhatsApp
Ende-zu-Ende-Verschlüsselung in Eins-zu-Eins-Chats In bestimmten Fällen* Besondere Art von Chat In bestimmten Fällen* Immer Nur geheime Chats Immer
Ende-zu-Ende-Verschlüsselung in Gruppenchats In bestimmten Fällen* Besondere Art von Gruppe In bestimmten Fällen* Immer Nie Immer
Verifiziertes Verschlüsselungsprotokoll Nein Ja Ja Ja Nein Ja
Verschlüsselte Backups Ja, optional Keine Backups Nein Ja, standardmäßig aktiviert Keine Backups Ja, optional
Manueller Vergleich der Verschlüsselungsschlüssel Ja Ja Nein Ja Ja Ja
Registrierung ohne Telefonnummer Ja Ja (kompliziert) Nein Nein Nein Nein
Telefonnummer vor Kontakten verbergen Ja Ja Nein Nein Ja Nein
Links zu anderen Diensten oder Konten Ja Ja Nein Nein Nein Ja
Metadaten ausblenden** Teilweise Teilweise Teilweise Ja Teilweise Teilweise
Metadaten speichern** Ja Ja Ja Nein Ja Ja
Selbst löschende Nachrichten Nein Fünf Sekunden oder länger Nein Eine Sekunde oder länger Eine Sekunde oder länger 24 Stunden oder länger und einmalige Besichtigung
Linkvorschau deaktivieren Nein Nein Nein Ja Nur geheime Chats Nein
Screenshots blockieren Nein Nein Nein Ja Nur geheime Chats Nein
Screenshot-Benachrichtigung Nein Ja Nein Nein Nein Nein
* Verfügbar, solange alle Parteien dieselbe Plattform (iOS oder Android) und die entsprechenden App-Einstellungen verwenden.
** Vertraulichkeitseinstellungen, um zu verhindern, dass die folgenden Metadaten anderen Benutzern teilweise oder vollständig angezeigt werden: das Foto des Benutzers, die anderen Kontakte des Benutzers, Chat- und Gruppenmitgliedschaften, IP-Adresse und Chatzeiten.
Die Tabelle basiert auf den Daten des Berichts „Was ist sicher?“.

 

Tipps