Hirntorsionen.ch

Blog von Dominic Zschokke

Von Whats­app auf Signal umstei­gen!

#tldr: Es ist höchs­te Zeit zu hin­ter­fra­gen, ob Whats­app nicht mehr aus unse­rem Leben weg­zu­den­ken ist. Hin­ter der Kom­mu­ni­ka­ti­ons-Platt­form Whats­app steckt Face­book, ein IT-Kon­zern, des­sen Geschäfts­mo­dell dar­in besteht, mit den Daten sei­ner Nut­ze­rin­nen zu han­deln. Der Daten­skan­dal bei Face­book erschüt­tert das Ver­trau­en in Tech­no­lo­gie-Gigan­ten ins­ge­samt und nach­hal­tig. Der Mes­sen­ger Whats­app ist schon wegen ihrer Besit­ze­rin nicht mehr über alle Zwei­fel erha­ben. Im Ver­gleich zu ande­ren Chat-Apps schnei­det Whats­app zudem nicht rosig ab. Vor allem eine App erweist sich im Bezug auf Sicher­heit und Pri­vat­sphä­re als über­le­gen: Der kos­ten­lo­se Mes­sen­ger «Signal1».

Der Messenger Whatsapp

Logo by Whats­app, Face­book Inc.

Der von 1.3 Mili­ar­den Men­schen genutz­te Mes­sen­ger Whats­app hat im Jah­re 2016 Ende-zu-Ende-Ver­schlüs­se­lung imple­men­tiert. Das bedeu­tet, dass nur Chat-Teil­neh­me­rin­nen die Inhal­te der über­mit­tel­ten Nach­rich­ten sehen kön­nen. Selbst die Ser­ver von Whats­app kön­nen die Nach­rich­ten weder ent­schlüs­seln noch mit­le­sen. Die Ver­schlüs­se­lung beruht auf dem Ver­fah­ren von Open Whis­per Sys­tems2. Die­ses Ver­fah­ren gilt in der Sicher­heits-Bran­che als äus­serst sicher. Lei­der weist Whats­app, wel­che von Face­book für 16 Mil­li­ar­den Dol­lar auf­ge­kauft wur­de, beim Design wesent­li­che Schwach­stel­len auf, wel­che die Sicher­heit der Nut­ze­rin­nen gefähr­den kön­nen.

Zum einen spei­chert Whats­app (Face­book) auf ihren Ser­vern die Meta­da­ten der Chats. Somit kann wei­ter­hin nach­voll­zo­gen wer­den, wer mit wem zu wel­chem Zeit­punkt kom­mu­ni­ziert hat. Die­se Meta­da­ten kön­nen mehr über die Nut­ze­rin­nen ver­ra­ten, als wir auf den ers­ten Blick ver­mu­ten wür­den. Face­book ist eine gewinn­ori­en­tier­tes Unter­neh­men, wel­ches von der Aus- und Ver­wer­tung von Daten lebt. Des­halb ist damit zu rech­nen, dass sie die­se Meta­da­ten aus­wer­ten. Sie haben sich zwar durch die Imple­men­tie­rung von star­ker Ver­schlüs­se­lung sel­ber der Mög­lich­keit beraubt, auf die Inhal­te der Whats­app-Chats zuzu­grei­fen. Die­ser Umstand ver­dient ange­sichts der Tat­sa­che, dass selbst Goog­le bis heu­te kei­ne siche­re E-Mail-Kom­mu­ni­ka­ti­on anbie­tet, eine gewis­se Aner­ken­nung. Goog­le will kon­se­quent mit­le­sen, aus­le­sen, ein­ord­nen.

Das Leben und die Gesund­heit sehr vie­ler Men­schen hängt von siche­rer Kom­mu­ni­ka­ti­on ab.

Zum ande­ren legt Whats­app beim Kon­kur­ren­ten Goog­le optio­nal ein ver­schlüs­sel­tes Back­up an. Einen eige­nen Ser­ver für die Siche­rung zu ver­wen­den, gehört nicht zum Funk­ti­ons­um­fang. Die­ses Back­up kann vor­erst nicht ohne Wei­te­res ent­schlüs­selt und ver­wer­tet wer­den. Wer direk­ten, phy­si­schen Zugang zu einem Smart­pho­ne hat, kann die­ses Back­up jedoch mit­tels einer Spe­zi­al-Soft­ware3 ent­schlüs­seln. Womög­lich genügt es bereits, ein Smart­pho­ne mit­tels Schad­soft­ware zu über­neh­men und fern­zu­steu­ern. Geheim­diens­te und Hacker rei­ben sich die Hän­de. Wer sich denkt, er habe wie­der ein­mal nichts zu ver­lie­ren, ver­set­ze sich kurz in die Lage von Regime-Kri­ti­ke­rinn­nen in tota­li­tä­ren Regi­men! Unter sol­chen Bedin­gun­gen ist siche­re Kom­mu­ni­ka­ti­on eine Fra­ge von Leben und Tod, Frei­heit oder Gefan­gen­schaft. Das Leben und die Gesund­heit sehr vie­ler Men­schen hängt von siche­rer Kom­mu­ni­ka­ti­on ab. Ange­hö­ri­ge west­li­cher Demo­kra­ti­en igno­rie­ren die­se über­le­bens­wich­ti­ge Not­wen­dig­keit all­zu leicht­fer­tig.

Wer Whats­app wei­ter­hin nut­zen will, ist gut bera­ten, die Ein­stel­lung “zuletzt online” zu deak­ti­vie­ren.

Eine wei­te­re Schwach­stel­le von Whats­app ist die Mög­lich­keit, die Akti­vi­tä­ten von Nut­ze­rin­nen anhand der Infor­ma­ti­on, wann eine Nut­ze­rin “zuletzt online” war, aus­zu­le­sen und mit den Akti­vi­tä­ten ande­rer Teil­neh­me­rin­nen des Tele­fon­bu­ches in Ver­bin­dung zu brin­gen. War das bis­lang nur mit akti­ven Nach­for­schun­gen mög­lich, so exis­tiert mitt­ler­wei­le eine dreis­te Stal­king-App4, wel­che die­se Ver­fol­gung von Freun­den und Bekann­ten auto­ma­ti­siert. Dar­aus las­sen sich Rück­schlüs­se auf das Pri­vat­le­ben und die Kom­munka­ti­on ande­rer zie­hen. Geht eine Bezie­hung gera­de in die Brü­che? Wer chat­tet mit wem zu spä­ter Stun­de? Die Infor­ma­tio­nen, die man aus sol­chen Ver­knüp­fun­gen ablei­ten kann, ver­let­zen die Pri­vat­sphä­re der Nut­ze­rin­nen erheb­lich. Obwohl auch die­se Stal­king-App nicht in der Lage ist, Inhal­te von Chats mit­zu­le­sen, las­sen sich aus die­sen Meta­da­ten sehr per­sön­li­che Infor­ma­tio­nen über die Bezie­hun­gen zwi­schen Freun­den und Bekann­ten oder deren Gewohn­hei­ten ablei­ten. Wer Whats­app wei­ter­hin nut­zen will, ist gut bera­ten, die Ein­stel­lung “zuletzt online” zu deak­ti­vie­ren. Doch Whats­app kann pro­blem­los durch siche­re­re Mes­sen­ger-Apps ersetzt wer­den.

Signal bie­tet das ein­drück­li­che Fea­ture, dass sich Nach­rich­ten nach einer vom Sen­der fest­ge­leg­ten Zeit­dau­er sel­ber löschen.

Signal Messenger

Logo by Signal, Open Whis­per Sys­tems

Jene Orga­ni­sa­ti­on, wel­che die Ver­schlüs­se­lungs-Tech­no­lo­gie für Whats­app ent­wi­ckelt hat, bie­tet sel­ber einen kos­ten­los ver­füg­ba­ren Mes­sen­ger an, der vie­les bes­ser macht als Whats­app. Open Whis­per Sys­tems ent­wi­ckel­te den Mes­sen­ger «Signal1». Die­ser Nach­rich­ten-App ver­zich­tet auf die Wei­ter­ga­be und Spei­che­rung von Meta­da­ten. Tele­fo­num­mern aus dem Adress­buch wer­den nicht an Ser­ver wei­ter­ge­ge­ben. Ein­zig für die Regis­trie­rung ist die ein­ma­li­ge Anga­be der eige­nen Num­mer erfor­der­lich. Die Ver­schlüs­se­lung und der Pro­gramm-Code wur­de in einem Peer-Review-Ver­fah­ren über­prüft und gilt als sicher. Ein exter­nes Back­up der Chats gibt es nicht. Soll­te das Tele­fon ver­lo­ren gehen oder ersetzt wer­den müs­sen, kön­nen die Chat­ver­läu­fe nicht wie­der­her­ge­stellt wer­den. Aus Sicher­heits­über­le­gun­gen ist die­ser Ver­zicht sinn­voll. Fer­ner bie­tet Signal das ein­drück­li­che Fea­ture, dass sich Nach­rich­ten nach einer vom Sen­der fest­ge­leg­ten Zeit­dau­er sel­ber löschen. Die­se Nach­rich­ten ver­blei­ben ledig­lich im Gedächt­nis des Emp­fän­gers. Hoch­sen­si­ble Infor­ma­tio­nen las­sen sich somit weder von Hackern noch von Geheim­diens­ten rekon­stru­ie­ren. Ja, auch die Straf­ver­fol­gungs­be­hör­den blei­ben auf­grund die­ses «Kil­ler-Fea­tures» aus­sen vor. Wie damit umzu­ge­hen ist, muss in sepa­ra­ten phi­lo­so­phi­schen Betrach­tun­gen dis­ku­tiert wer­den.

Selbst­ver­nich­ten­des Tape aus «Mis­si­on Impos­si­ble».

Signal bie­tet fer­ner ver­schlüs­sel­te Tele­fo­nie an. Die App ist für alle gros­sen Mobil- und Desk­top-Platt­for­men ver­füg­bar und unmit­tel­bar ein­setz­bar. Sie steht allen Inter­es­sen­ten als Open Source zur Ver­fü­gung, kann also von allen Exper­ten ein­ge­se­hen und auf Sicher­heits­lü­cken über­prüft wer­den. Ein sol­ches Sicher­heits-Audit wur­de durch­ge­führt mit dem Ergeb­nis, dass Signal aus­ser­ge­wöhn­lich gut und sicher pro­gram­miert wur­de. Renom­mier­te Exper­ten wie der Sicher­heits-For­scher Bruce Schnei­er5 oder der Whist­leb­lo­wer Edward Snow­den6 bür­gen für die Sicher­heit die­ser App. Es gibt gute Grün­de, die­sen Men­schen zu ver­trau­en. Einer­seits wis­sen sie, wovon sie spre­chen, and­rer­seits sind sie auf abso­lut siche­re Kom­mu­ni­ka­ti­on ange­wie­sen.

Als Maxi­me der Tech­no­lo­gie-Sicher­heit gilt: Die Metho­den und Algo­rith­men müs­sen offen, ein­seh­bar und über­prüf­bar sein.

Der Fakt, dass Signal als offe­ner Quell­text ange­bo­ten wird, wirkt einer feind­li­chen Über­nah­me oder Unter­wan­de­rung der ursprüng­li­chen Pro­gram­mie­rer ent­ge­gen. Soll­te sich die Aus­rich­tung von Open Whis­per Sys­tems zum Nach­teil der Nut­ze­rin­nen ändern, kön­nen ande­re den siche­ren Ent­wick­lungs­zweig wei­ter­füh­ren. Fer­ner fal­len absicht­lich im Quell­code ein­ge­bau­te Feh­ler auf­grund des offe­nen Ent­wick­lungs­mo­del­les schnel­ler auf. Als Maxi­me der Tech­no­lo­gie-Sicher­heit gilt: Die Metho­den und Algo­rith­men müs­sen offen, ein­seh­bar und über­prüf­bar sein. Pro­prie­tä­re, nicht ein­seh­ba­re Ver­schlüs­se­lungs-Soft­ware gilt als Schlan­gen­öl7, ein Wun­der­mit­tel, wel­ches kei­ne nach­weis­ba­re oder sogar eine schäd­li­che Wir­kung hat.

Wer­bung und Ver­schlüs­se­lung schlies­sen sich aus.

Wenn sich hin­ge­gen bei Face­book das Geschäfts­mo­dell ändert, könn­te die Ver­schlüs­se­lung von Whats­app sehr schnell auf­ge­weicht wer­den. Dass genau dies ein­tref­fen wird, ist gar nicht ein­mal so abwe­gig, denn schon lan­ge herrscht bei Face­book Rat­lo­sig­keit dar­über, wie man die Mil­lar­den-Inves­ti­ti­on in Whats­app end­lich in klin­gen­de Mün­ze ver­wan­deln kann. Es wur­de schon dar­über nach­ge­dacht, Whats­app-Nut­ze­rin­nen per­so­na­li­sier­te Wer­bung in die Chats aus­zu­spie­len. Wenn sich jedoch Face­book in ver­schlüs­sel­te Chats ein­klin­ken will, muss die Ver­schlüs­se­lung auf­ge­ho­ben oder rela­ti­viert wer­den. Ein Fest­hal­ten an Ver­schlüs­se­lung in Kom­bi­na­ti­on mit Wer­bung kann näm­lich nur bedeu­ten, dass die­se zwi­schen­ge­schal­te­ten Wer­be-Bot­schaf­ten als kon­text­los, absurd, aber­wit­zig bis belei­di­gend emp­fun­den wer­den. Wer­bung und Ver­schlüs­se­lung schlies­sen sich aus. Die Zukunft wird zei­gen, wie Face­book Whats­app aus­ser­halb der Ver­wer­tung von Meta­da­ten zu mone­ta­ri­sie­ren gedenkt.

Der Umstieg auf Signal ist das Gebot der Stun­de.

Es hat sich gezeigt, dass es auch abge­se­hen vom man­geln­den Ver­trau­en in Face­book unzäh­li­ge Grün­de gibt, von Whats­app auf Signal umzu­stei­gen. Erschwe­rend bei die­sem Umstieg kommt anfäng­lich hin­zu, dass Signal noch nicht über die kri­ti­sche Mas­se von Nut­ze­rinn­nen ver­fügt. Wer mit sei­nen Freun­din­nen sicher kom­mu­ni­zie­ren will, muss die­se zuerst davon über­zeu­gen, Signal zu instal­lie­ren. Eine Mög­lich­keit ist, die­ses Plä­doy­er für Signal zu tei­len. Fer­ner sind alle auf­ge­ru­fen, in ihrem nächs­ten Umfeld Über­zeu­guns­ar­beit für Signal zu leis­ten. Ein brei­ter Ein­satz von Signal schenkt uns nicht nur mehr Sicher­heit und Pri­vat­sphä­re, son­dern min­dert unse­re gros­se Abhän­gig­keit von unbe­re­chen­ba­ren US-Kon­zer­nen, wel­che mehr an Geld als am Wohl ihrer Kund­schaft inter­es­siert sind. Der Umstieg auf Signal ist das Gebot der Stun­de.

VN:F [1.9.22_1171]
Rating: 0.0/6 (0 votes cast)
image_pdfimage_print

CC BY-NC 4.0 Von Whats­app auf Signal umstei­gen! von Domi­nic Zschok­ke ist lizen­ziert unter Crea­ti­ve Com­mons Namens­nen­nung-Nicht­Kom­mer­zi­ell 4.0 inter­na­tio­nal.

, , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*