Egal ob jung oder alt, privat oder geschäftlich: Mehr als 2 Milliarden Menschen verwenden heutzutage Messenger Apps. Über das Netz verbinden sie kostenlos Nutzer aus aller Welt und sind so zum Inbegriff einer globalisierten Gesellschaft geworden. Gerade in Lockdown-Zeiten scheinen sie unentbehrlich, um Nähe zu Freunden und Familie aufzubauen. Allerdings überschattet ihre Selbstverständlichkeit im Alltagsleben oft die Kosten, die mit ihrer Nutzung verbunden sind.
Diskussionen über Messenger Apps und den Schutz der eigenen Privatsphäre sollten einen kritischen Blick beinhalten: Worauf sollten Nutzer bei der Wahl und Verwendung von Messenger Apps achten? Was unterscheidet sie voneinander, und wie wirken sich diese Unterschiede auf die Sicherheit der Nutzerdaten aus?
Ein erstes Unterscheidungsmerkmal bei Messenger Apps, erklärt uns Herr Michael Holzhüter, wissenschaftlicher Mitarbeiter bei Fraunhofer FOKUS und Lehrbeauftragter an der HTW Hochschule für Technik und Wirtschaft Berlin im Bereich Datenschutz und IT-Sicherheit, ist der Typ der Software, die diesen Apps zugrunde liegt. Dabei unterscheidet man zwischen Open-Source- und Nicht-Open-Source-Software.
Ist eine App Open Source, so wird ihr Quellcode vollständig offengelegt. Folglich kann jede Person diesen einsehen und entsprechend prüfen, wie die Anwendung funktioniert. Auch wenn es kontraintuitiv erscheinen mag, können durch eine Open-Source-Software Vorteile für die Sicherheit der Nutzer entstehen: „Da jeder den Quellcode auf Fehler oder Schwachstellen prüfen kann, können Lücken schnell durch die Nutzercommunity aufgedeckt und geschlossen werden, was dem Risiko eines Cybereingriffs vorbeugen kann. Mehr Transparenz führt hier zu mehr Sicherheit.“
Ein weiterer Indikator für die Datenschutzqualität von Messenger Apps ist die Art und Weise, wie geteilte Inhalte gesichert werden.
Entscheidend ist dabei die Art der Nachrichtenverschlüsselung, die die jeweiligen Apps nutzen. Eine Verschlüsselung soll ermöglichen, dass keiner außer dem Sender und Empfänger einer Nachricht Zugang zu deren Inhalt erlangt. Um die Nachrichten ihrer Nutzer zu schützen, verwenden Messenger Apps entweder eine Ende-zu-Ende-Verschlüsselung oder eine Transportverschlüsselung.
Apps mit Transportverschlüsselung stellen sicher, dass Nachrichten (nur!) auf dem Weg zum Empfänger nicht aufgebrochen werden. Sobald sie den Empfänger erreicht haben, wird die Verschlüsselung jedoch aufgehoben. Während also keiner auf dem Weg des Transports eine Nachricht lesen kann, wird die Ansicht ihrer Inhalte nach ihrer Ankunft beim Empfänger für jeden möglich, der Zugang zu dem Server hat, auf dem die Nachricht gespeichert wird.
Eine Ende-zu-Ende-Verschlüsselung hingegen schützt die Nachrichteninhalte nicht nur auf dem Weg zum Empfänger, sondern auch darüber hinaus. Auf diese Weise bleiben die ausgetauschten Informationen nur Sender und Empfänger zugänglich.
Unter der Bedingung, dass die Daten nicht extern gespeichert werden, können also Apps mit Ende-zu-Ende-Verschlüsselung einen besseren Schutz der Chatinhalte bieten. Allerdings tritt in einigen Fällen das Problem auf, dass bestimmte Nachrichtenformate von keiner Ende-zu-Ende-Verschlüsselung geschützt sind. „Links und Metadaten wie Standort und Profilbilder liegen in einigen Apps nicht verschlüsselt vor“, betont Michael Holzhüter. „Das liefert App-Betreibern Informationen über die Größe der Nachricht und auch Gesprächspartner.“
Lücken in der Verschlüsselung sorgen bei manchen Apps für Kritik.
„Liegen Schwachstellen vor, ist es beispielsweise möglich, heimlich in andere Gruppenchats einzudringen.“ Doch benötigt man dafür Zugriff auf die Server der verwendeten App: „Sollte der Zugang auf die Server gelingen, kann der Mitlesende nur die neuen Nachrichten ab Beitritt lesen, denn die alten bleiben nach wie vor verschlüsselt.“ Angenommen, es handelt sich dabei um eine Open Source App, nimmt das Risiko für die Privacy der Nutzer mit steigender Anzahl der Gruppenmitglieder zu. Sollte ein Eingriff in einer kleinen Gruppe gelingen, wo sich alle Mitglieder kennen, würde der Eindringling schnell aufgedeckt werden. Problematisch kann es hingegen in größeren Gruppenchats werden, in denen der Überblick über die Chatmitglieder leicht verloren geht.
Sorgen bereitet auch die Gefahr, eine lückenhafte Verschlüsselung könnte den Hack von Messenger Apps durch Regierungsbehörden begünstigen.
Eine unverhältnismäßige Überwachung von Privatchats in Deutschland hält Michael Holzhüter allerdings für unwahrscheinlich. Im Moment wird zwar an einem Gesetzesentwurf gearbeitet, der die Überwachung von Chats durch Sicherheitsdienste ermöglichen soll, doch darf diese nur in ausgewählten Fällen erfolgen. In anderen Ländern wie den USA sind ähnliche Regelungen längst in Kraft, sodass es beispielsweise möglich ist, Privatchats von nicht US-amerikanischen Nutzern zu observieren. „In Deutschland müssen sich Regierung und Behörden der öffentlichen Sicherheit an die Datenschutzgesetze halten. Einfach mitlesen geht da nicht. Doch aktuell ist es schon möglich, den Datenstrom mitzulesen und Metadaten aufzunehmen und auszuwerten.“
Auch hinsichtlich der Back-up-Systeme unterscheiden sich Messenger Apps erheblich.
Einige Systeme greifen dabei auf eine sogenannte Third-Party-Back-up-Lösung zurück, bei der auf dem Handy gespeicherte Daten in eine Cloud übertragen werden. Diese wird nicht von der App selbst, sondern je nach Betriebssystem durch Drittanbieter wie Apple oder Google (daher die Bezeichnung „third party“) zur Verfügung gestellt. Ein Risiko für die Sicherheit der Nutzerdaten bildet allerdings die Tatsache, dass Nachrichten in Third-Party-Back-ups unverschlüsselt vorliegen. Das heißt, „wenn die Sicherung in der iCloud oder Google abgelegt wird, kann Apple oder Google diese auslesen“.
Eine andere Back-up-Methode ist die zentrale Speicherung der Daten auf dem Server der jeweiligen Apps. In diesem Fall jedoch ist die Sicherheit der Nutzerdaten kaum gegeben, denn jeder, der Zugriff auf den Server hat, kann auch über die darin enthaltenen Informationen verfügen.
Mehr Schutz hingegen bieten solche Apps, die einen lokalen Back-up verwenden. Daten werden dabei nur auf dem Smartphone der Nutzer gespeichert und Datentransfers auf externe Clouds nicht unterstützt.
Achten sollte man auch darauf, welche und wie viele Nutzerdaten eine App sammelt.
Während einige Apps nur Metadaten sammeln, greifen andere auf weitere Informationen zu, wie Links, Gruppenchatmitglieder, Gruppennamen, Profilbilder und vieles mehr. Die Sammlung einer so hohen Anzahl an Nutzerdaten lässt sich darauf zurückführen, dass die jeweiligen Apps kostenlos angeboten werden und sich über den Verkauf der gesammelten Daten an Dritte finanzieren müssen. „Am besten wäre in der Tat eine App, die Geld kostet und dafür die Daten der Nutzer mit niemandem teilt. Leider existiert eine solche App zurzeit nicht.“
Open Source, echte Ende-zu-Ende-Verschlüsselung und ein lokales Back-up-System sind einige der Güterkriterien für sicherere Messenger Apps. Doch worauf sollten Nutzer bei deren Wahl und Verwendung noch achten?
Als erstes Gebot gilt: Keine persönlichen Daten wie Telefonnummern und Adressen in den Nachrichten austauschen. Auch sollte man lieber telefonieren, als Sprachnachrichten zu verschicken. Denn mittels KI kann sonst die Stimme der Nutzer künstlich nachgemacht und für andere Zwecke missbraucht werden. Darüber hinaus sollte man sich vergewissern, welche Rechte eine App hat, und ihre Einstellungen so bearbeiten, dass im besten Fall der Zugriff auf Telefonbuch, Foto- und Mikrofonfreigabe ausgeschaltet bleiben. „Ansonsten ist es schwierig, sich der Nicht-Nutzung zu entziehen“, gesteht Michael Holzhüter. Manche Messenger Apps habe er selbst nur wegen Kindergartengruppenchats heruntergeladen, während er vorher einfach die gute alte SMS nutzte oder schnell telefonierte. Doch stößt auch seine Vorsicht im Umgang mit Messenger Apps oft an ihre Grenzen: „Wenn über die Gruppen Fotos geteilt werden, dann beiße ich mir oft auf die Zunge. Aber man will ja auch hier kein Spielverderber sein.“
von Marilu Buttiglione / 2021
Das Lernlabor Cybersicherheit ist ein Weiterbildungsprogramm, in dem Experten und Expertinnen von Fraunhofer und ausgewählten Fachhochschulen aktuellste Erkenntnisse auf dem Gebiet der Cybersicherheit vermitteln. Fach-und Führungskräfte aus Industrie und öffentlicher Verwaltung können so ihre Kompetenzen zu IT-Sicherheit aktualisieren und spezialisieren. An zahlreichen Standorten in Deutschland erhalten Sie eine kompakte Qualifizierung in hochwertigen Laboren. Die Präsenzphasen der Seminare dauern nur ein bis drei Tage und sind mit Online-Angeboten ergänzt, so dass die Kurse berufsbegleitend belegt werden können.